Neuer Datenschutzstandard DS-BvD-GDD-01 mit passendem Gütesiegel


MMR 2013, 617           Die jüngsten Skandale haben das Thema Datenschutz noch stärker in den Blick der Öffentlichkeit gerückt als bisher. Dazu kommen Datenpannen in Unternehmen, die bei den betroffenen Unternehmen nicht nur zu einem Imageverlust, sondern im Zweifelsfall auch zu Vertragsstrafen oder Regressansprüchen führen -- und zu Unsicherheiten bei den Verbrauchern. Unternehmen, die vertrauenswürdige Partner suchen, stehen deshalb verstärkt vor der Frage: Ist das potenzielle Partnerunternehmen in Sachen Datenschutz zuverlässig?

Ein gutes Datenschutzniveau ist unsichtbar. Es lässt sich weder an Produkteigenschaften noch an Kennzahlen wie Umsatz oder Mitarbeiteranzahl festmachen. Die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. haben deshalb einen Datenschutzstandard für die Auftragsdatenverarbeitung (DS-BvD-GDD-01) und ein auf dem Standard basierendes Datenschutzsiegel entwickelt.

 

Neuer Standard regelt die Anforderungen an den Auftragnehmer

Der Datenschutzstandard "DS-BvD-GDD-01" legt für Auftragnehmer Anforderungen und Vorgaben fest, die für eine datenschutzkonforme Leistungserbringung notwendig sind. Damit der Standard auf alle Branchen und Leistungen anwendbar bleibt, verzichtet er auf ähnlich detaillierte Vorgaben, wie sie aus den BSI-Grundschutzkatalogen bekannt sind. Hierdurch wird Unternehmen die Möglichkeit eröffnet, eigene standardkonforme und datenschutzkonforme Lösungen zu verwenden. Der Standard deckt mit seinen Modulen u.a. die folgenden Bereiche ab:

  • Input-Management,
  • Auftragsmanagement,
  • Output-Management,
  • Datenschutzkonzept,
  • IT-Sicherheitskonzept,
  • Datenschutz-Managementsystem,
  • IT-Sicherheitsmanagementsystem,
  • Auftragsmanagementsystem.

Best Practice-Beispiele zeigen, wie einige der Anforderungen und Vorgaben umgesetzt werden können, und werden sukzessive ausgebaut und fortgeschrieben.

 

Das Datenschutzsiegel: transparent, zweifach neutral, nachprüfbar und fachbezogen

Der Datenschutzstandard DS-BvD-GDD-01 zeigt, welche Anforderungen an eine datenschutzkonforme Leistungserbringung zu stellen sind. Damit ein Auftragnehmer gegenüber seinem Auftraggeber zeigen kann, dass er die Vorgaben einhält, entwickelten BvD und GDD ein Datenschutzsiegel. Das Datenschutzsiegel für Auftragnehmer bestätigt, dass die Anforderungen des Datenschutzstandards DS-BvD-GDD-01 zum Zeitpunkt der Überprüfung eingehalten wurden. Genau wie der Standard ist es branchen- und leistungsunabhängig. Es werden ausschließlich standardisierte Leistungen zertifiziert.

 

Das Datenschutzsiegel unterstützt auch Auftraggeber bei ihrer Kontrollpflicht nach § 11 Abs. 2 BDSG, denn Auftraggeber können das Siegel ihrem eigenen Kontrollermessen zu Grunde legen. Die Siegelvergabe erfolgt über diesen Weg: Unabhängige zertifizierte Auditoren führen zunächst Vor-Ort-Überprüfungen durch. Diese Prüfung basiert auf dem oben vorgestellten, öffentlich zugänglichen Datenschutzstandard DS-BvD-GDD-01. Alle Auditoren sind dazu speziell ausgebildet und zertifiziert. Die Prüfberichte und Empfehlungen der Auditoren werden sodann von der DSZ Datenschutz Zertifizierungsgesellschaft überprüft. Die DSZ entscheidet über die Vergabe der Siegel in einem dreiköpfigen Zertifizierungsausschuss. Er besteht aus drei unabhängigen zertifizierten Experten. Wenn das Siegel erteilt wird, werden die Prüfberichte öffentlich zugänglich gemacht. Dadurch kann sich jeder Auftraggeber ein eigenes Bild von den durchgeführten Prüfungen machen und wird so in die Lage versetzt, diese als Ersatz oder Ergänzung für eigene Prüfungshandlungen in seinem Ermessen zu berücksichtigen.

 

Um den schnellen technischen und organisatorischen Veränderungen Rechnung zu tragen, ist das Siegel zwei Jahre gültig und kann einmalig mit einer vereinfachten Prüfung um weitere zwei Jahre verlängert werden.

Die DSZ Datenschutz Zertifizierungsgesellschaft mbH wurde von BvD und GDD als neutrale Zertifizierungsstelle gegründet. Das Datenschutzsiegel selbst verfügt über vier wichtige Merkmale:

  • Transparenz: Das Datenschutzsiegel basiert auf dem öffentlich zugänglichen Standard DS-BvD-GDD-01.
  • Interessensfreiheit: Regeln zur Interessensfreiheit geben vor, dass weder der Auditor noch Mitglieder des Zertifizierungsausschusses mit dem zu prüfenden Unternehmen wirtschaftlich verbunden sein dürfen.
  • Multi-Augen-Prinzip: Der Zertifizierungsausschuss prüft die Empfehlung des Auditors und entscheidet über die Siegelvergabe.
  • Nachprüfbarkeit: Der öffentlich zugängliche Prüfbericht gibt zu jeder Zeit den Prüfungsumfang und das Prüfungsergebnis wieder.

 

Voraussetzungen an zertifizierte Auditoren 

Das Gütesiegel kann ab sofort bei der DSZ Datenschutz Zertifizierungsgesellschaft mbH (www.dsz-audit.de) erworben werden. Wer sich als Auditor zertifizieren lassen möchte, muss bestimmte Bedingungen erfüllen. Dies haben BvD und GDD zur Bedingung gemacht, um dem hohen Anspruch des neu entwickelten Datenschutzstandards zur Auftragsdatenverarbeitung gerecht zu werden. Konkret bedeutet das: Zertifizierte Auditoren müssen über eine Ausbildung zum Datenschutzbeauftragten nach der zwischen dem BvD und der GDD abgestimmten Ausbildung von 2008 oder eine in Inhalt und Umfang vergleichbare Ausbildung verfügen. Erwartet wird zudem eine einschlägige Berufserfahrung als Datenschutzbeauftragter oder Mitarbeiter eines Datenschutzbeauftragten von mindestens sechs Jahren. Vier Jahre reichen bei vorliegendem Magister, Bachelor-Abschluss oder dem ersten juristischen Staatsexamen an einer staatlich anerkannten Hochschule aus. Wer zur Prüfung von Unternehmen zugelassen werden möchte, muss eine Ausbildung zum Auditor, respektive Berufserfahrung als Auditor in einem beliebigen Feld vorweisen. Obligatorisch ist eine Teilnahme an der Fortbildung zum Auditor nach DS-BvD-GDD-01, die ab Frühjahr 2014 von beiden Verbänden angeboten wird. Zusätzlich muss eine innerhalb der letzten zwölf Monate bestandene Prüfung zum Auditor nach DS-BvD-GDD-01 vorgewiesen werden können. Erst dann kann der Auditor Prüfungen im Rahmen dieses Zertifizierungsprozesses durchführen.

 

Für den Auditor selbst ergeben sich natürlich ebenfalls Vorteile: Er kann mit der Verleihung der Zertifizierung als Auditor werben und er wird in eine zentrale Auditorenliste eingetragen. Damit sich der Auditor regelmäßig weiterbildet und seine Unternehmensprüfungen stets auf dem neuesten Stand des Datenschutzstandards verlaufen, ist das Zertifikat drei Jahre ab Ausstellungsdatum gültig. Es kann jeweils um weitere drei Jahre verlängert werden, sofern die Zertifizierungsvoraussetzungen, wie nachgewiesene Fortbildungen, erfüllt werden.

 

Zusammenfassung: Der neue Standard zur Auftragsdatenverarbeitung

Experten von BvD und GDD haben den Datenschutzstandard „DS-BvD-GDD-01" speziell für die Auftragsdatenverarbeitung entwickelt, um die Vorgaben des § 11 BDSG zu konkretisieren und der Auftragsdatenverarbeitung in Unternehmen einen klar nachvollziehbaren und datenschutzrechtlich korrekten Rahmen zu geben. Dieser Standard ist Grundlage zur Erteilung des von BvD und GDD entwickelten Datenschutzsiegels. Vergeben wird dieses Siegel von der DSZ Datenschutz Zertifizierungsgesellschaft mbH, einem gemeinsamen Unternehmen von BvD und GDD. Vor Erteilung des Siegels wird die Auftragsdatenverarbeitung von einem von der DSZ zertifizierten Auditor geprüft. Auftraggeber und Auftragnehmer profitieren durch die Zertifizierung darüber hinaus in mehrfacher Hinsicht: Es fallen nur geringe Kosten für Datenschutzkontrollen an, es ergibt sich mehr Sicherheit durch zertifizierte Auftragnehmer und die Prüfung erfolgt unabhängig, transparent und offen nachvollziehbar.

Bonn, im Oktober 2013

 

 

Dr. Niels Lepperhoff

ist Geschäftsführer der DSZ Datenschutz Zertifizierungsgesellschaft mbH.

 

 

 

RA Andreas Jaspers

ist Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und der DSZ Datenschutz Zertifizierungsgesellschaft mbH.