Hallo zusammen,
ich habe noch nicht gehört, dass es in Deutschland eine Zertifizierung hinsichtlich des Datenschutzes in einem Unternehmen gibt.
Nun ist mir auf einer Webseite ein Siegel begegnet: “Geprüfter Datenschutz”
ausgegeben vom TÜV Saarland.
Wie aussagekräftig ist ein Solches Zertifikat? Was genau wird da denn geprüft?
Danke im Voraus und viele Grüße
D.
Je nachdem, wonach man zertifiziert (ISO, SDM etc.) - unter dem Strich zertifiziert man, dass sich jemand an das Gesetz hält. Zumindest in Europa, wo wir ein entsprechendes Gesetz haben. Von daher finde ich das auch recht überflüssig - immerhin zertifiziere ich mir ja auch nicht BGB-Compliance. Außerhalb von Europa macht es vielleicht Sinn, wenn man mit europäischen Unternehmen Geschäfte machen möchte.
Es hängt stark davon ab welche Art von Zertifikat es ist.
Ein Datenschutzsiegel unter DSGVO Artikel 42 ist schon bedeutsam - es wird ja auch in der DSGVO genau beschrieben, und müsste eigentlich beim Nachweis eines funktionierenden DSMS helfen.
Noch einmal eine ganz andere Tragweite hätte das Datenschutzprüfsiegel für DIGA von der BfArM - quasi ein DSGVO Art 42 Siegel ++ … mit sehr speziellen zusätzlichen Prüfkriterien.
Unklar allerdings wann das tatsächlich verfügbar wird - war eigentlich ab Sommer 2024 verpflichtend.
Die DSGVO sieht AUSSCHLIESSLICH die Zertifizierung von Verarbeitungen vor.
Von daher könnte hier die Verarbeitung durch die Webseite geprüft worden sein.
Es gibt in der DSGVO aber keine Zertifizierung von Organisationen oder Personen.
Dazu gibt es noch für Organisationen bei Drittlandübermittlungen die Anforderungen aus Art. 47 (Genehemigte interne Verhaltensregeln), die in den Kriterien (unscharf) beschreiben, was für ein angemessenes Datenschutzniveau sicher gestellt werden muss, dies entfaltet nach Anerkennung durch eine Aufsicht aber nur Rechtswirkung im Drittlandtransfer.
Bei Zertifizierungen, die nicht einer veröffentlichten, anerkannten Norm unterliegen, kann jeder Zertifizierer machen, was er will. Das bedeutet, der Wert der Zertifizierung hängt am Vertrauen, welches dem Zertifizierer entgegengebracht wird.
Der TÜV geniesst nicht nur in D-Land ein hohes Vertrauen und von daher bekommt ein solches Zertifkat einen gewissen (Marketing-)Wert, bietet aber keine Gewähr für irgendwas, so lange die Zertifizerierungs-Kriterien nicht offengelegt werden. (… und dann müsste man diese immer noch gegen die eigenen Anforderungen prüfen.)
Ich persönlich stehe allen Zertifkaten für Personen und Organisationen mit DSGVO-Bezug SEHR kritisch gegenüber, so lange die Zertifizierungskriterien nicht offen gelegt werden und man darüber feststellen kann, gegen was zertifiziert wurde. (Das gilt auch für meine eigenen Personenzertifizierungen aus dem Datenschutz.)
Hier haben die Zertifizerungs-Anbieter und der Zertifizierte so starke gemeinsame Interessen, dass - nach meiner persönlichen Ansicht - Zertifkate schon bei der Erfüllung sehr niedriger Anforderungen vergeben werden. (Oft als Multiple-Choice-Tests ohne Fallbezüge ausgeführt, ohne eine Prüfung der theoretischen Handlungskompetenz …)
Ankedote dazu:
Ich hatte den Fall als ext. DSB, dass wir für einen Mandaten eine AV zu prüfen hatten. Dieser war duch ein anderes DS-Büro als “DSGVO-Konform” zertifiziert und verweigerte die Bereitstellung von Informationen zu den toM im AV-Vertrag mit Verweis auf das Zertifikat.
Auf Nachfrage zu den Zert-Kriterien wurden diese verweigert, da man einem Mitbewerber diese Informationen nicht zur Verfügung stellen wolle. (Was ich irgendwie verstehen kann.)
Wir konnten dann unserem Mandanten nur mitteilen, dass wir die Prüfung der Zuverlässigkiet des AV-AN aufgrund fehelender Informationen nicht abschliessend durchführen können.
Ich bin skeptisch, dass Zertifizierungen immer wirklich belastbar sind. Zu oft waren Dienste bei näherem Hinsehen nicht zu gebrauchen. Trotz “100 %.”, “GDPR”, “27001”, “TÜV”,…
Zertifizierungen von Auftragsverarbeitern bestätigen irgendwas. Was? Dass hoffentlich überall bei diesem Dienst die Grundsätze und Einzelvorschriften (theoretisch) eingehatlen werden können. Oder tatsächlich (praktisch) eingehalten werden. Wird die Konformität eines Verfahrens bestätigt, oder dass regelmäßig auch das Ergebnis passt?
Der Verantwortliche muss checken, ob das genügt, um seine beabsichtigte Verarbeitung abzusichern. Je nach Schutzbedarf und Nutzungsbandbreite kann es anders ausfallen.
D., dem die Prüfung nichts nutzt, ob ein System theoretisch in der Lage ist, Datenschutzanforderungen zu erfüllen, wenn die geprüfte Stelle nicht wirklich danach verfährt.