18. GDD-Sommer-Workshop
DA+

Aufsatz : Chancen für die Zertifizierung im Datenschutz : aus der RDV 2/2017, Seite 63 bis 68

Lesezeit 18 Min.

Wird 2018 den Durchbruch für die Datenschutzzertifizierung bringen? Angesichts des klaren Bekenntnisses der Datenschutz-Grundverordnung (DS-GVO) zu diesem wichtigen Instrument des Konformitätsnachweises und zur Unterscheidung im Wettbewerb darf man gespannt sein. Wenn die Mitgliedstaaten den Bereich fördern, wenn der EU-Datenschutzausschuss europäische Siegel rasch anerkennt und die Nachfrage vor allem im Cloud-Sektor steigt, dann bestehen gute Chancen auf einen großen Schub. Zwei chancenreiche Ansätze werden im Folgenden exemplarisch vorgestellt.

I. Gesetzliche Ausgangslage

Überlegungen hinsichtlich einer einheitlichen Prüfung und Bewertung technischer Produkte und Dienstleistungen auf datenschutzbezogene Gesetzeskonformität gibt es seit Mitte der 1990er Jahre. Pate stand das 1995 kodifizierte Umweltaudit[1], das bereits im Folgejahr Überlegungen und erste Aktivitäten zur Einführung von Datenschutz-Prüfungen und einem Datenschutzaudit anregte[2]. Eine Vereinheitlichung auf bundesgesetzlicher Ebene blieb jedoch bis heute aus. Die 2001 erlassene Programmnorm des § 9a BDSG wurde seither nicht ausgefüllt und wird es bis zum Außerkrafttreten des hergebrachten BDSG am 25. Mai 2018 auch nicht mehr werden. Der einzige ernsthafte Anlauf für das vorgesehene Bundesgesetz kam in den Jahren 2007 bis 2009 nicht über erste parlamentarische Beratungen hinaus[3]. Gescheitert ist das Datenschutzauditgesetz seinerzeit auch, weil mit ihm statt auf vorherige Begutachtungen unabhängiger Dritter auf ein System der Selbstzertifizierung und lediglich nachträglichen Überprüfung hatte gesetzt werden sollen.

Auf Landesebene bestehen seit 2000 weitergehende gesetzliche Regelungen in Schleswig-Holstein[4] und seit 2011 eine grundsätzliche Regelung in Mecklenburg-Vorpommern[5]. In Bremen wurde zwar 2004 auf landesrechtlicher Grundlage eine (2014 wieder außer Kraft getretene) Datenschutzauditverordnung erlassen[6], doch waren dortige Siegel allein für öffentliche Stellen des Landes vorgesehen. Bedeutung hat die Datenschutzzertifizierung durch staatliche Stellen bislang vor allem in Schleswig-Holstein erreicht. In Mecklenburg-Vorpommern hat die operative Phase, in Zusammenarbeit mit der EuroPrise GmbH als Zertifizierungsstelle[7] zumindest begonnen[8].

Mit der DS-GVO[9] bietet sich der öffentlichen Hand die Chance, sich mehr für die Datenschutzzertifizierung zu engagieren, als es in den letzten Jahren geschah. Der im Rahmen der Reform verfolgte Ansatz stieß früh auf Zustimmung[10]. Mit den in den vergangenen Jahren im Rahmen des Trusted Cloud-Programms der Bundesregierunggesetzen guten Startpunkten ist der Anfang gemacht (dazu unter IV.). Nun geht es darum, den Schwung zu nutzen und mehr zu erreichen als beim letztlich gescheiterten § 9a BDSG. Der europäische Gesetzgeber verlangt nunmehr vom mitgliedstaatlichen, dass auch dieser „die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen“ fördere[11]. Er belässt es aber nicht bei dieser nicht justiziablen Aufforderung, sondern gibt in Art. 42 und 43 einige konkrete Maßgaben zur Regelung zentraler Aspekte der Datenschutzzertifizierung in der Europäischen Union ab Frühjahr 2018. So ist nun festgelegt, dass die Datenschutzzertifizierung nicht verpflichtend ist und sowohl durch öffentliche als auch durch private Zertifizierungsstellen vorgenommen werden kann. Die Zertifizierungsstellen müssen die fachliche Eignung auf- und nachweisen und sich, je nach mitgliedstaatlicher Entscheidung, bei der gemäß Verordnung (EG) 765/2008 benannten nationalen Akkreditierungsstelle oder der zuständigen nationalen Datenschutzaufsichtsbehörde akkreditieren lassen. Die Bundesregierung hat sich in der Zuständigkeitsfrage für eine Akkreditierung durch die Deutsche Akkreditierungsstelle GmbH (DAkkS) entschieden[12].

II. Marktsituation

Auf dem privaten Markt sind in den vergangenen Jahren diverse Anbieter aufgetreten, die datenschutzbezogene Auditierungen, Zertifizierungen und Gütesiegelprüfungen nebst den entsprechenden Bestätigungen, Prüfzeichen oder ähnlichen Nachweisen anbieten. Manche davon konnten sich etablieren und auch bei der Fallzahl kritische Masse erreichen. Die von den Zertifizierungsstellen angewandten Systematiken und Kriterienkataloge sind ähnlich, jedoch sind die Prüfgrundlagen nahezu durchweg nicht direkt kompatibel. Auch Mechanismen und Verfahren gegenseitiger Anerkennung oder anbieterübergreifender Modularität scheinen die Zertifizierungsanbieter zu scheuen. Zwecks Bestandsaufnahme und Einschätzung der Situation auf dem Markt für datenschutzbezogene Zertifikate und Gütesiegel in Deutschland begann die Stiftung Datenschutz im Herbst 2014 mit einer Sichtung des Marktes. Für die Übersicht zu den deutschen Datenschutzzertifizierungssystemen[13] fanden sich eine Vielzahl im Detail verschieden ausgestalteter Angebote zur Überprüfung von Produkten und Dienstleitungen[14]. Nicht einbezogen in den Marktüberblick wurden Zertifizierungen von Personen, wobei viele Anbieter jene wahlweise zusätzlich oder parallel anbieten. Auch ausgeklammert wurden reine Datensicherheitszertifizierungen. Bei den Prüfgrundlagen besteht große allgemeine Angleichung, doch stets Abweichung im Detail, so dass keine direkte Vergleichbarkeit gegeben ist. Herangezogen für die jeweiligen Kriterienkataloge wird aus dem materiellen Datenschutzrecht neben dem Bundesdatenschutzgesetz samt Anlage teilweise das am Sitz der Zertifizierungsstelle einschlägige Landesdatenschutzgesetz, oft noch ergänzt um das hergebrachte europäische Sekundärrecht[15]. Hinzukommen neben Einzelnormen aus TKG, TMG, StGB und Büchern des SGB vor allem technik- und sicherheitsbezogene Normen. Dazu gehören die IT-GrundschutzKataloge[16] und die ISO-Normen (hier 27000ff, 19001, 9001, 31010), allen voran die cloud-bezogene ISO 27108[17]. In sehr vielen Fällen wird diesen bestehenden fremden Regelwerken ein Katalog eigener Kriterien an die Seite gestellt, oder jene werden in die selbst aufgestellten Kataloge integriert.

Verbindendes Element aller Zertifizierungsangebote ist, dass sie vor allem auf technisch-organisatorische Maßnahmen abstellen und keine materiell-datenschutzrechtlichen Schwerpunkte setzen. Dies mag in der nicht einfach rasterbaren Bewertbarkeit in diesem Bereich liegen; die Tatbestände sind schwer zu parametrisieren[18].

Unterschiede bestehen zwischen den Anbietern bei Adressaten, Umfang und Gültigkeitsdauer der angebotenen Zertifikate. Letztere variiert zwischen ein und drei Jahren, so dass alle Anbieter jedenfalls in diesem Punkt bereits DSGVO-konform sind[19]. Unterschiedlich ausgeprägt ist weiterhin die Transparenzpolitik der Anbieter und deren Bilanz in Sachen bereits erteilter Prüfzeichen. So werden nicht alle Kriterienkataloge öffentlich vorgehalten. Was die Erfahrung anbelangt, so ergeben sich erhebliche Unterschiede; manche Zertifizierungssysteme stehen noch im Pilotstadium oder am Markteintritt, andere können bereits auf jahrelange Marktpräsenz und dadurch bedingt auf höhere Zahlen erteilter Zertifikate/Siegel verweisen. Setzt man allerdings die aus den Anbieterangaben kumulierte Gesamtzahl der Zertifikatserteilungen (ca. 2200; Stand November 2016) in ein Verhältnis zur Gesamtzahl potentiell zertifizierungsfähiger Produkte und Dienstleistungen im digitalen Bereich, so verbleibt man ernüchtert.

III. Bedarf

Der Bedarf nach belastbaren Datenschutzzertifikaten und -Siegeln ist hoch, sowohl im B2B- auch im B2C-Bereich. Es muss geradezu verwundern, warum bislang keine entschiedene öffentliche Förderung in diesem Bereich stattfand, wenn man die Ergebnisse einschlägiger Nutzerbefragungen betrachtet. Bereits 2010 erklärten bei einer Umfrage des IT-Wirtschaftsverbandes BITKOM 54 % der Internet-Nutzer sich „ein staatliches Datenschutzsiegel für Angebote im Internet“ zu wünschen[20]. 2012 ergab eine Umfrage des von der Deutschen Post eingerichteten Deutschen Instituts für Vertrauen und Sicherheit im Internet, dass sich 73 % der Bevölkerung in Deutschland die Einführung eines solchen staatlichen Datenschutz-Siegels für Angebote im Internet wünschen[21]. Und als 2015 das Institut für Handelsforschung erneut fragte, sprachen sich bereits 87 % der befragten Verbraucher für ein Datenschutz-Siegel aus[22].

Ganz abgesehen von der Erwartungshaltung in der Verbraucherschaft bestehen im Bereich der Wirtschaft handfeste Gründe für ein Voranbringen des Zertifizierungssektors. Besonders die Überprüfung der Einhaltung von Datenschutzvorgaben durch externe Dienstleister stellt die Unternehmen vor große Herausforderungen. So hat sich die Pflicht aus § 11 Abs. 2 Satz 4 BDSG zu einem Hauptanwendungsfall für Datenschutzzertifikate im professionellen Bereich herausgebildet. Dies ist dem tatsächlichen Aufwand geschuldet, den es regelmäßig bedeutet, wenn der Auftraggeber sich vor und ab Beginn der Auftragsdatenverarbeitung regelmäßig beim Auftragnehmer von der dortigen Datenschutzkonformität überzeugen muss. Immer mehr IT-Dienstleistungen werden durch Bereitstellung von Rechen- oder Speicherleistung über das Internet bereitgestellt. In einer globalisierten und vernetzten Arbeits- und Handelswelt kommt es kaum in Betracht, zur Verringerung des Aufwandes nur noch lokale und damit leichter überprüfbare Anbieter als Auftragsdatenverarbeiter auszuwählen. Zielführender ist der Lösungsvorschlag der Aufsichtsbehörden. Diese rieten bereits im Herbst 2014 in ihrer Orientierungshilfe zum Cloud Computing, dem Problem der schwierigen Überprüfbarkeit der datenschutzkonformen Verarbeitung der Daten dadurch zu begegnen, „dass lediglich Angebote von Cloud-Anbietern genutzt werden, die regelmäßig von unabhängigen Stellen auditiert und zertifiziert werden[23].

IV. Mindestanforderungen

Diese zertifizierungsfördernde Empfehlung ist zu begrüßen. Sie unterstreicht aufsichtsseitig den im selben Jahr gemachten Ansatz des Düsseldorfer Kreises. Das Gremium hatte grundsätzliche Vorgaben für eine aus dortiger Sicht belastbare Zertifizierung im Datenschutz aufgestellt. Die Aufsicht unterstütze demzufolge ausdrücklich auch Zertifizierungen durch private Stellen, jedenfalls dann, wenn diese auf von der Aufsicht befürworteten Standards basieren. Im dem Beschluss vom Februar 2014[24] wurden einige Mindestanforderungen an inhaltliche und organisatorische Vorkehrungen von Zertifizierungsverfahren aufgestellt, die von den Anbietern von Zertifizierungsdienstleistungen eingehalten werden sollten. Zu den geforderten Strukturelementen gehörten u.a. eine Trennung der am Zertifizierungsprozess beteiligten Instanzen (Prüfung/Auditierung, Bewertung/ Zertifizierung und Akkreditierung), eine Regelung zur Vermeidung von Interessenkollisionen der Beteiligten und die Festlegung von Anforderungen an die eingesetzten Prüfstellen. Nach Vorstellung der Aufsicht sollen die Zertifikate zudem für Endkunden verständlich und öffentlich sein. Dem ist zuzustimmen. Sowohl eine organisatorische (mindestens personelle) Trennung von Prüfung und Konformitätsbestätigung als auch eine unentgeltliche, einfache Abrufbarkeit der Prüfkriterien können verlangt werden.

Auch in der Wirtschaftswissenschaft hat man sich bereits mit Chancen und Voraussetzungen erfolgreicher Datenschutzzertifizierung auseinandergesetzt. Im Jahr 2012 wurde am Deutschen Institut für Wirtschaftsforschung untersucht, unter welchen Voraussetzungen Datenschutzzertifikate „funktionieren“ können, das heißt, wie sie tatsächliche Anreize bei Wirtschaftssubjekten für mehr Datenschutzaufwand setzen können[25]. Transparenz und Mindeststandards wurden dabei ebenso genannt wie die Notwendigkeit einer formellen Akkreditierung der prüfenden Gutachter.

V. Cloud Computing als Treiber der Zertifizierung

Nicht nur für die IT-Wirtschaft auf nationaler, europäischer und globaler Ebene ist das Thema „Cloud“ von stetig wachsender Bedeutung. Es birgt gleichfalls große Chancen für den Zertifizierungsbereich. Die damit gemeinte Nutzung von IT-Strukturen externer Dienstleister (in Form von Rechenkapazität, Speicherplatz, Netzkapazität/Infrastruktur oder Plattform/Software) nimmt stetig zu. Die Nutzung dieser Cloud-Dienstleistungen ist datenschutzrechtlich zumeist als Auftragsdatenverarbeitung/Auftragsverarbeitung i.S.v. § 11 BDSG/Art. 28 DS-GVO einzuordnen. Diese Konstruktion beschert dem Cloud-Nutzer derzeit die Pflicht, beim CloudAnbieter die Einhaltung erforderlicher technischer und organisatorischer Maßnahmen zu überprüfen[26]. Infolge der europäischen Reform steigt zwar die Mitverantwortung des Auftragsverarbeiters[27], und die formellen Kontrollpflichten werden eingeschränkt[28]. Doch wird mit Art. 28 Abs. 1 DS-GVO bei der Einschaltung von Auftragsverarbeitern die zulässige Auswahl auf allein solche Akteure beschränkt, die hinreichende Garantien für die verordnungskonforme Durchführung technischer und organisatorischer Maßnahmen anbieten können. Zur Konkretisierung des Begriffs der Garantien dient der fünfte Absatz der Norm, der die Einhaltung genehmigter Verhaltensregeln (Art. 40 Abs. 5 DS-GVO) und genehmigter Zertifizierungsverfahren (Art. 42 Abs. 5 S. 1 DS-GVO) anführt. Die Formulierung ist gleichwohl an dieser Stelle sehr zurückhaltend, da Zertifikaten und Verhaltensregeln die Garantiefunktion nicht per se zuerkannt wird, sondern sie lediglich „als Faktor herangezogen werden, um hinreichende Garantien […] nachzuweisen“. Etwas mehr Mut und Bekenntnis zu Zertifizierungswesen seitens des europäischen Gesetzgebers wäre an dieser Stelle wünschenswert gewesen.

Die Verlagerung von immer mehr IT-gestützten „digitalen“ Dienstleistungen in fremde Rechenzentren und Speicher- und Datenverwaltungskapazitäten Dritter, mithin der Vormarsch „der Cloud“, ist jedenfalls geeignet, dem gesamten Bereich der Datenschutzzertifizierung Schub zu geben. Umgekehrt kann eine praxistaugliche, attraktive und belastbare Zertifizierung die Verbreitung von Cloud-Anwendungen beschleunigen, besonders im Mittelstand. Dies wird auch im Bereich der Datenschutzaufsicht erkannt. So sieht die bayerische Landesbehörde „sehr großes Potenzial“ von grundverordnungskonformen Zertifizierungen und geht davon aus, dass „insbesondere Cloud-Dienste entscheidend profitieren“, wenn geeignete Zertifikate eine schnelle datenschutzbezogene Bewertung bestimmter Produkte erlauben[29].

Die beiden im Folgenden herausgehobenen Ansätze erscheinen besonders aussichtsreich.

VI. Zertifizierungsstandard von BvD und GDD

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) und die Gesellschaft für Datenschutz und Datensicherheit (GDD) entwickelten den eigenen Datenschutzstandard „DS-BvD-GDD-01“[30] speziell für die Auftragsdatenverarbeitung; er wurde im Herbst 2013 vorgestellt. Dem vorausgegangen war die Anregung im nordrhein-westfälischen Landtag zu prüfen, wie Datenschutzgütesiegel vorangebracht werden könnten – nicht nur, jedoch auch im Bereich der Auftragsdatenverarbeitung[31]. Die Landesaufsicht hatte die Entwicklung von fundierten Standards wie des DS-BvD-GDD-01 allgemein befürwortet[32] und speziell den vorgelegten Entwurf der Fachverbände als zielführend begrüßt[33]. Der Standard ist branchenübergreifend ausgestaltet, sein Anwendungsbereich ist nicht auf Cloud-Dienstleistungen beschränkt. Die Transparenz und öffentliche Verfügbarkeit der Anforderungen des Standards ist begrüßenswert. Verbreitung und Vervielfältigung des Kriterienkataloges werden von den Urhebern denn auch ausdrücklich willkommen geheißen.

Als Zertifizierungsstelle fungiert die hierfür von den Initiatoren des Standards in Bonn gegründete Datenschutz Zertifizierungsgesellschaft mbH (DSZ). Bei der DSZ waren Ende 2016 als Prüfstellen 26 von ihr zertifizierte Datenschutzauditoren gelistet[34]. Als Praxishilfe zum Standard wurde 2015 ein (kostenpflichtiger) Umsetzungsleitfaden veröffentlicht[35].

In Vorbereitung auf die ADV-Anforderungen der DS-GVO wird der Standard derzeit an das kommende Recht angepasst. Zudem ist geplant, eine Anerkennung des DS-BvD-GDD-01 als Verhaltensregel für Auftragsverarbeiter gemäß Art. 40 DS-GVO zu erreichen. Schließlich wird eine Akkreditierung der DSZ als Zertifizierungsstelle gemäß Art. 43 DS-GVO auf Basis der Prüfkriterien des Standards angestrebt[36].

VII. Zertifizierungssystem der Trusted Cloud-initiative

Das Bundeswirtschaftsministerium fördert im Rahmen des Technologieprogrammes Trusted Cloud seit Ende 2011 die Nutzung von Cloud-Diensten durch Unternehmen der mittelständischen Wirtschaft. Es setzt hierbei auf Ansätze zur Steigerung des Vertrauens in den Dienstleister. Dieser soll mit Hilfe eines Trusted Cloud-Labels[37] den Einhalt von Mindestanforderungen erleichtert nachweisen können oder mit einem Trusted Cloud-Zertifikat die Compliance/Gesetzeskonformität belegen. Zu der Zertifikatslösung hat in einem Beratungsprozess zwischen 2012 und 2015 die dazu eingesetzte Arbeitsgruppe „Rechtsrahmen für Cloud Computing“ im Rahmen des vom Bundeswirtschaftsministeriums geförderten Technologieprogramms Trusted Cloud das „Trusted Cloud – Datenschutzprofil für Cloud-Dienste (TCDP)“ entwickelt. Die Leitung lag bei Prof. Georg Borges, Direktor des Instituts für Rechtsinformatik der Universität des Saarlandes. Projektbeteiligte waren Vertreter diverser maßgeblicher Stakeholder aus dem Bereich der Datenschutz-Zertifi zierung. Dazu gehören insbesondere Datenschutzaufsichtsbehörden, Anbieter von Cloud-Diensten unterschiedlicher Größenordnung, Anbieter von Prüf- und Zertifizierungsleistungen sowie Verbände und Institutionen der IT-Wirtschaft und des Datenschutzes. Auch die Stiftung Datenschutz war in den Entstehungsprozess eingebunden. In einem Pilotprojekt wurden in 2015 / 2016 im Auftrag des BMWi durch ein Konsortium Verfahren und Kriterienkatalog getestet und erste Zertifikate verliehen (Ausführung: TÜV IT, Essen)[38]. Der im Kern auf dem BDSG und der ISO-Norm 27108 basierende TCDP-Kriterienkatalog und die ihn begleitende Verfahrensordnung sind öffentlich abrufbar[39].

Die Datenschutzzertifizierung nach TCDP ist modular ausgestaltet, so dass bei einer lediglich partiellen Änderung des Zertifizierungsgegenstandes eine erneute Auditierung/ Prüfung nur für den modifizierten Teil vorgenommen werden muss. Um den individuellen Schutzbedarf des Zertifizierungsobjektes und dessen Erfüllung durch zertifizierte Dienste praxisgerecht darzustellen, wurde ein Konzept abgestimmter Schutzklassen aufgestellt[40]. Anlass hierfür war, dass die Zertifizierung nicht auf einen konkreten Datenverarbeitungsvorgang eines bestimmten Nutzers bezogen werden kann. Mit dem Schutzklassenkonzept soll die Eignung eines Dienstes für ein bestimmtes Niveau von Sicherheitsanforderungen geprüft und im Zertifikat zum Ausdruck gebracht werden. Der Nutzer des Dienstes kann seinen individuellen Schutzbedarf in die Schutzklassen einordnen und einen Dienst wählen, dessen Datenschutz- und Sicherheitsniveau der von ihm benötigten Schutzklasse entspricht. Eine Einordnungshilfe kann ein sogenannter „Schutzklassenrechner“ bieten[41].

Die Prüfungen und Audits werden beim TCDP von unabhängigen Prüfstellen ausgeführt (z.B. Gutachter, IT-Sachverständige), die bei der Zertifizierungsstelle zugelassen sind. Die Zertifikate werden von akkreditierten Zertifizierungsstellen verliehen[42] (z.B. TÜV Süd). Zertifizierungsstelle und Prüfstelle können zur selben Organisation gehören; die jeweils handelnden Personen dürfen jedoch nicht in einem disziplinarischen Verhältnis zueinander stehen[43]. Die Zertifizierungsstellen selber stehen am Markt miteinander in Wettbewerb. Die Verwaltung des TCDP-Kriterienkataloges wird von der Stiftung Datenschutz übernommen. Ausschlaggebend für diese Zuständigkeit war der Gesichtspunkt, dass es einer möglichst unabhängigen Stelle für die Verwaltung bedarf. Die gemeinnützige Bundesstiftung verfolgt, anders als private Zertifizierungsstellen oder Datenschutzaufsichtsbehörden, keine gewerblichen oder aufsichtspolitischen Interessen. Sie kann daher die für die Fortentwicklung der Kriterien notwendige neutrale Plattform bieten. Bei der Fortentwicklung des TCDP-Standards sind zudem Diskussionsprozesse zu moderieren. Die Interessen an einer wirtschaftlichen Ausgestaltung des Zertifizierungsverfahrens (Kosten/Aufwand/Bürokratie) sind mit denen an möglichst stringenten Datenschutzvorgaben und möglichst hoher Prüftiefe in Einklang zu bringen.

Der TCDP-Kriterienkatalog muss bis spätestens Mai 2018 an die Normen der Datenschutzgrundverordnung angepasst sein. Nach erfolgter Angleichung soll das TCDP auf europäischer Ebene Beispiel geben können für ein bereits praktisch getestetes System der Datenschutzzertifizierung. Die Einbeziehung der deutschen Aufsichtsbehörden bei der Erstellung von Kriterien und Systematik dient als einer der Grundsteine des TCDP, um es dem Europäischen Datenschutzausschuss zur Genehmigung als Europäisches Datenschutzsiegel vorzulegen[44].

VIII. Ausblick

Welchen Schub die europäische Datenschutzreform der Datenschutzzertifizierung auf europäischer wie nationaler Ebene zu geben vermag, wird sich in den kommenden Jahren zeigen. Einer der entscheidenden Faktoren wird sein, ob sich gewichtige Akteure auf Angebots- wie Nachfrageseite entschieden in den Zertifizierungsmarkt einbringen werden. Auch sollte eine sinnvolle Abstimmung der Zertifizierungssysteme in den Bereichen von Datenschutz und IT-Sicherheit angestrebt werden. Kompatibilität und Modularisierung in Bezug auf neue Initiativen im Datensicherheitsbereich wie den Cloud Computing Compliance Controls Catalogue (C5) des BSI[45] und das diesen einbeziehende ESCloud Label[46] wäre wünschenswert.

Auch die Aufsichtsbehörden werden eine ausschlaggebende Rolle spielen – im Europäischen Datenschutzausschuss, aber auch im jeweils eigenen Handlungsradius. Auf der diesjährigen internationalen Datenschutzkonferenz Computers, Privacy & Data Protection (CPDP) in Brüssel war zu vernehmen, wie die Aufsichtsbehörden in den Mitgliedstaaten sich der Datenschutzzertifizierung auf durchaus unterschiedliche Weise nähern. Auf einem Podium diskutierten Vertreter der belgischen, französischen und britischen Aufsichtsbehörden zum Fortgang in diesem Themenfeld[47].

Das UK Information Commissioner‘s Office (ICO) betonte, „zur Wahrung der eigenen regulatorischen Unabhängigkeit auch zukünftig keine eigenen Zertifizierungen“ vornehmen zu wollen. Bei der Commission Nationale de l‘Informatique et des Libertés (CNIL) in Frankreich werden dagegen eigene Zertifikate ausgestellt, die „certification CNIL“[48]. Dass diese behördlichen Konformitätsaussagen zudem kostenlos erteilt werden, dürfte empfindlichen Einfluss auf den französischen Zertifizierungsmarkt haben. Die deutsche Datenschutzaufsicht war auf der wie stets international gut besuchten CPDP-Konferenz leider nicht mit Redebeiträgen präsent.

IX. Fazit

Die konkrete Verankerung der Zertifizierung in der EU-Datenschutz-Grundverordnung ist Erfolg und Auftrag zugleich. Die Chancen, dass die Zertifizierung im Bereich des Datenschutzes zukünftig zum Erfolgsmodell wird, stehen so gut wie nie zuvor. Diese Chance muss jetzt durch die Mitgliedstaaten jedoch auch ergriffen werden.

RA Frederick Richter, LL.M. leitet seit 2013 als Vorstand die im selben Jahr von der Bundesregierung gegründete Stiftung Datenschutz. Die Bundesstiftung dient als Diskussionsplattform für eine effektive und effiziente Datenpolitik und hat ihren Sitz in Leipzig. Darüber hinaus soll sie die Zertifizierung im Bereich des Datenschutzes fördern.

Nach dem Studium der Rechtswissenschaften an der Universität Hamburg absolvierte Richter einen Masterstudiengang an den Universitäten Wien und Hannover. Ab 2005 arbeitete er als wissenschaftlicher Mitarbeiter eines Bundestagsabgeordneten im Bereich der Mittelstandspolitik. Von 2008 bis 2010 war er Datenschutzbeauftragter eines Industrieverbandes. Von 2010 bis 2013 beriet er eine Fraktion des Deutschen Bundestages im Bereich der Urheberrechts- und Netzpolitik. Frederick Richter ist u.a. Mitglied der IAPP sowie des Beirats im Projekt ABiDa – Assessing Big Data an der Universität Münster. Er ist zudem unabhängiges Mitglied des Data Privacy Advisory Panel der AXA Group in Paris.

[1]www.gesetze-im-internet.de/uag/BJNR159100995.html.

[2] Konzept und Entwurf eines Gesetzes für ein Datenschutzaudit – Rechtsgutachten für das Bundesministerium für Wirtschaft und Technologie; Prof. Dr. Alexander Roßnagel; Universität GH Kassel – Projektgruppe verfassungsverträgliche Technikgestaltung (provet); Kassel, Mai 1999; Gliederungspunkt 1.2; www.datenschutz-help.de/ audit.htm.

[3] Gesetz zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften, BT-Drs. 16/12011, http://dip21.bundestag.de/dip21/btd/16/120/1612011.pdf.

[4] § 4 Abs. 2 LDSG; darauf basierend Landesverordnung über ein Datenschutzgütesiegel (Datenschutzgütesiegelverordnung – DSGSVO) vom 30.11.2013 (GVOBl. 2013, S. 536).

[5] § 5 Abs. 2 DSG M-V.

[6] Bremische Datenschutzauditverordnung (BremDSAuditV), Brem.GBl. 2004, 515; http://transparenz.bremen.de/sixcms/detail.php?gsid=bremen2014_tp.c.66016.de&asl=bremen02.c.732.de&template=20_gp_ifg_meta_detail_d.

[7]www.european-privacy-seal.eu/EPS-en/Guetesiegel-M-V-DE

[8]www.datenschutz-mv.de/datenschutz/guetesiegel/Produkte.html.

[9] Verordnung (EU) 2016/679.

[10] Rodrigues/Wright/Wadhwa, International Data Privacy Law (2013) 3 (2), 100-116, https://doi.org/10.1093/idpl/ips037.

[11] Art. 42 Abs. 1 S. 1 DS-GVO.

[12] § 39 S.1 Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (DSAnpUG-EU), www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/entwurf-datenschutzgrundverordnung.pdf?__blob=publicationFile

[13]Https://stiftungdatenschutz.org/zertifizierung/zertifikate-uebersicht.

[14] Nach einer Evaluierung der erstmals 2014 veröffentlichten Liste 2016 verblieben 31 der vormals 41 einzelnen Zertifizierungs-/Gütesiegelsysteme.

[15] Richtlinie 95/46/EG

[16]www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/ Download/download_node.html.

[17]www.iso.org/iso/catalogue_detail.htm?csnumber=61498.

[18] Feik/v. Lewinski, ZD 2014, 59 [61].

[19] Art. 42 Abs. 7, S. 1 DS-GVO schreibt eine dreijährige Höchstgeltungsdauer vor.

[20]www.mittelstandswiki.de/2010/03/datensicherheit-jeder-zweiteinternetnutzer-wunscht-datenschutz-siegel.

[21]www.divsi.de/fast-drei-viertel-der-deutschen-wuenschen-sich-staatliches-datenschutz-siegel-im-internet.

[22] Perspektiven für den Datenschutz in Europa aus der Sicht der Verbraucher und des (elektronischen) Handels – Kurzbericht zur empirischen Studie des Instituts für Handelsforschung, S. 13; www.einzelhandel.de/index.php/datenschutzstudie/item/download/8454_8da8a7be8cc562178d6ab5d57c658b52.

[23] Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Version 2.0 v. 9.10.2014, S. 39, www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf.

[24] Beschluss der Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich (Düsseldorfer Kreis am 25./26. Februar 2014), www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Beschluesse_Duesseldorfer_Kreis/Inhalt/2014/Modelle_ zur_Vergabe_von_Pr__fzertifikaten/Beschluss_Modelle_f__r_Pr__fzertifikate.pdf.

[25] Was können Datenschutz-Gütesiegel leisten? Jentzsch, DIW Berlin, Wirtschaftsdienst, 92. Jg., 2012, 413ff., http://archiv.wirtschaftsdienst.eu/jahr/2012/6/was-koennen-datenschutz-guetesiegel-leisten/search/nicola+jentzsch/0/.

[26] § 11 Abs. 2, S.4 BDSG.

[27] Härting, Datenschutz-Grundverordnung, 2016, Rz. 580.

[28] Härting, Datenschutz-Grundverordnung, 2016, Rz. 584.

[29] Info-Papier „Das BayLDA auf dem Weg zur Umsetzung der Verordnung, II, Zertifizierung – Art. 42 DS-GVO“, Juni 2016, www.lda.bayern.de/media/baylda_ds-gvo_2_certification.pdf.

[30] „Anforderungen an Auftragnehmer nach § 11 BDSG – DATENSCHUTZSTANDARD DS-BVD-GDD-01, Version 1.01 vom 01.09.2015“, www.dsz-audit.de/wp-content/uploads/GDD-BvD-DATENSCHUTZSTANDARD-DS-BVD-GDD-01-V1-0.pdf

[31] Antrag der Fraktionen von SPD, BÜNDNIS 90/DIE GRÜNEN und FDP „Datenschutz und Datensicherheit verbessern […]“ v. 20.11.2012, Drs. 16/1469, www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument?Id=MMD16/1469&quelle=alle.

[32] www.ldi.nrw.de/mainmenu_Service/submenu_Newsarchiv/Inhalt/Modellprojekt_zum_Datenschutzaudit_startet/Modellprojekt_zum_Datenschutzaudit_startet.php.

[33] Modellvorhaben „Datenschutzsiegel in Nordrhein-Westfalen“, www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Wirtschaft/Inhalt/Modellvorhaben_Datenschutzsiegel/Modellvorhaben_Datenschutzsiegel.pdf.

[34] Liste DSZ-Zertifzierter Auditoren, www.dsz-audit.de/wp-content/uploads/DSZ_Auditoren.pdf.

[35] Herweg/Weiß, Datenschutzkonforme Auftragsdatenverarbeitung – Umsetzungsleitfaden für den Datenschutzstandard DS-BvD-GDD-01, 2015, www.gdd.de/gdd-arbeitshilfen/gdd-ratgeber/datenschutzkonforme-auftragsdatenverarbeitung.

[36]www.rdv-online.com/aktuelles/akkreditierung-des-datenschutzstandards-ds-bvd-gdd-01-in-der-dsgvo.

[37]www.trusted-cloud.de/de/artikel/aktivit-ten-des-kompetenznetzwerkstrusted-cloud.

[38]www.tcdp.de/index.php/pilotprojekt.

[39]www.tcdp.de/index.php/start.

[40]www.tcdp.de/data/pdf/Schutzklassenkonzept-fuer-die-DatenschutzZertifizierung-nach-TCDP-Version-1-0.pdf.

[41]www.idgard.de/schutzbedarf-check.

[42] § 2.5 Abs. 2 VerfO-TCDP [Akkreditierung].

[43] § 2.6 VerfO-TCDP [Verhältnis zwischen Zertifizierungsstelle und Prüfstelle].

[44] Art. 42 Abs. 5 S. 2 DS-GVO.

[45]www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Anforderungskatalog/Anforderungskatalog_node.html;jsessionid=64E33A252BBEE355E240BDECDF882321.2_cid091.

[46]www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/ESCloudLabel/ESCloudLabel_node.html.

[47] Demonstrating compliance as the basis for certification; www.cpdpconferences.org/26012017/cave.html; Video-Mitschnitt der Podiumsdiskussion abrufbar unter: www.youtube.com/watch?v=Tb_xiB9rT5s.

[48] Siehe www.cnil.fr/en/cnils-missions.