Die DSGVO und Zertifizierung

image description

Dr. Axel-Michael Wagner

Rechtsanwalt
„Ich bin doch schon so oft zertifiziert! Damit muss ich doch auch DSGVO-konform sein!“

Für viele Themenbereiche gibt es Zertifizierungen, mit denen sich ein Unternehmen als „konform“ präsentieren kann. Da liegt es nahe, neue Compliance-Anforderungen ebenfalls über Zertifizierungen abzudecken und die Einhaltung der Anforderungen durch eine Zertifizierung nachzuweisen. Wie steht es diesbezüglich mit der DSGVO? Der Artikel gibt einen Überblick über bestehende und künftige Möglichkeiten der Zertifizierung zur Einhaltung der DSGVO.

Zertifiziert werden in der Praxis häufig organisatorische „Systeme“, insbesondere Management-Systeme wie etwa im Bereich Qualitätsmanagement oder Compliance-Management. Natürlich können auch Produkte oder Personen als solche zertifiziert werden, aber das soll hier nicht weiter behandelt werden. Die Anforderungen, deren Einhaltung im Rahmen der Zertifizierung geprüft wird, werden in Kriterien- bzw. Anforderungskatalogen oder (technischen) Regelwerken zugrunde gelegt. Häufig sind diese Anforderungskataloge Gegenstand von nationalen oder internationalen Normen (EN/ISO/EIC/DIN), die aber als solche keine Gesetzesqualität aufweisen. Bisweilen schreibt der Gesetzgeber eine bestimmte Zertifizierung auch zwingend vor, etwa im Fall der BSI-Zertifizierung bestimmter informationstechnischer Produkte wie im Bereich der „zertifizierten technischen Sicherheitseinrichtung“ für elektronische Kassensysteme (§ 146a AO). 

„Staat ernennt Akkreditierungsstelle akkreditiert Zertifizierungsstelle zertifiziert Unternehmen“

In der EU ist die Rechtsgrundlage für Zertifizierungen die Akkreditierungsverordnung der EU, die generell die Organisation und Durchführung der Akkreditierung von „Konformitätsbewertungsstellen“ (Zertifizierungsstellen) regelt. Dies gilt unabhängig davon, ob die Zertifizierung obligatorisch oder freiwillig ist. Jeder Mitgliedsstaat ernennt eine einzige nationale Akkreditierungsstelle, in Deutschland wurde hierfür die „deutsche Akkreditierungsstelle“ (DAkkS) geschaffen. Diese wird von der öffentlichen Hand gehalten und ist nach dem deutschen Akkreditierungsstellengesetz alleiniger Dienstleister für die Akkreditierung von Zertifizierungsstellen in Deutschland, soweit Zertifizierungen nicht durch Behörden (wie das BSI) vorgenommen werden. Die Akkreditierungsstelle darf selbst nicht zertifizieren, sondern ist (nur) für die Akkreditierung und Kontrolle der Zertifizierungsstellen verantwortlich.

Zertifizierung nach der DSGVO

Die DSGVO wäre kein modernes Gesetz, wenn sie nicht auch Zertifizierungsmechanismen vorsehen würde. Die originäre DSGVO-Zertifizierung ist freiwillig und bezieht sich inhaltlich darauf, dass „diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird“. Demnach werden hier nicht bestimmte Produkte (Hard- oder Software) zertifiziert, sondern Verarbeitungsvorgänge, und der Verantwortliche (bzw. Auftragsverarbeiter) wird durch diese Zertifizierung auch nicht von der Verantwortlichkeit bzw. Haftung nach der DSGVO entbunden. Mit anderen Worten: Die Zertifizierung nach der DSGVO ist kein „Freibrief“, sondern zeigt lediglich, dass zum Zeitpunkt der Zertifizierung ein Dritter – die Zertifizierungsstelle – davon überzeugt war, dass in Bezug auf einen bestimmten Verarbeitungsvorgang die DSGVO eingehalten wurde. Dies kann allerdings ein Indiz in späteren Verfahren wegen (vermeintlicher) Verletzung der DSGVO sein, da der Dritte (Zertifizierungsstelle) eine besondere Vertrauensstelle darstellt. 

In Ausfüllung dieses von der DSGVO gesetzten Rahmens hat der deutsche Gesetzgeber Regelungen zu den Zuständigkeiten erlassen und der EU-Datenschutzausschuss bereits im Mai 2018 Leitlinien zur Zertifizierung veröffentlicht. In Deutschland wird die Akkreditierung von der DAkkS vorgenommen und dann die eigentliche Befugnis, als Zertifizierungsstelle tätig sein zu dürfen, von der zuständigen (Landes-)Datenschutzbehörde erteilt. Eine DSGVO-Zertifizierungsstelle bedarf also zweier „Genehmigungen“. Die Akkreditierung setzt inhaltlich voraus, dass ein Konformitätsbewertungsprogramm für ein bestimmtes Zertifizierungsverfahren, welches die Zertifizierungsstelle anwenden will, von der zuständigen Datenschutzbehörde genehmigt wurde. Dieses Programm beschreibt spezifische Anforderungen, Regeln und Prüfverfahren für die Zertifizierungsstelle als solche und dabei natürlich insbesondere, wie der Kriterienkatalog im Einzelnen von der Zertifizierungsstelle geprüft werden wird, um dann ein Zertifikat zu vergeben (oder zu verweigern). Die obengenannten Leitlinien zur DSGVO-Zertifizierung nehmen insoweit Bezug auf die Richtlinie DIN EN ISO/IEC 17065 („Konformitätsbewertung - Anforderungen an Stellen, die Produkte, Prozesse und Dienstleistungen zertifizieren“), die Teil der Anforderungen an Zertifizierungsstellen ist und damit auch den Inhalt des Konformitätsbewertungsprogramms mit bestimmt. Diese Norm betrifft demnach in ihrem ursprünglichen Anwendungsbereich die Zertifizierung von „Prozessen“ (sowie von Produkten und Dienstleistungen), nicht aber von „Managementsystemen“. Dies entspricht der Vorgabe der DSGVO, dass Gegenstand der Zertifizierung der einzelne Datenverarbeitungsvorgang, also ein Prozess ist – eine Erkenntnis, die etwa zur Abgrenzung von ISO/IEC 27001-basierten Zertifizierungen (s. u.) wichtig ist. 

Eine auf dieser Basis akkreditierte Zertifizierungsstelle darf dann in Anwendung des Konformitätsbewertungsprogramms bestimmte Verarbeitungsvorgänge bei einem Verantwortlichen (Unternehmen) zertifizieren, wenn ein von der zuständigen Aufsichtsbehörde genehmigter inhaltlicher Kriterienkatalog (Anforderungskatalog) vorliegt, dessen Einhaltung dann von der Zertifizierungsstelle geprüft werden kann. 

Bislang gibt es allerdings noch keine akkreditierten Zertifizierungsstellen für DSGVO-Zertifizierungen und damit auch keine DSGVO-Zertifikate. 

Ein Kriterienkatalog sowie ein Konformitätsbewertungsprogramm wird aber derzeit beispielsweise im Hinblick auf Verarbeitungsvorgänge im Kontext des Cloud Computings im Rahmen des sog. „AUDITOR“-Zertifizierungsverfahrens aufgestellt bzw. mit der Behörde abgestimmt. Es ist daher demnächst mit ersten Zertifizierungsstellen und dann auch mit ersten Zertifikaten zu rechnen, die dann auch einen (erheblichen) Marketing-Mehrwert darstellen werden.

Nur am Rande soll hier darauf hingewiesen werden, dass (auch) im Kontext der DSGVO „Gesetzeskonformität“ und „Zertifizierung“ nicht gleichbedeutend sind. Der Kriterienkatalog im Rahmen der Zertifizierung soll zwar „nur“ das Gesetz (d. h. die DSGVO) in prüfbare und möglichst eindeutige Zertifizierungskriterien „übersetzen“, muss den Gesetzestext aber natürlich – je abstrakter das Gesetz formuliert ist, desto mehr – interpretieren. Stellt sich die Interpretation später als falsch heraus, etwa indem im Rahmen der Aufstellung des Kriterienkatalogs die gesetzlichen Vorgaben zu strenge oder zu lasche Vorgaben aus dem Gesetz herausgelesen wurden, kann dies zu unnötigen Kosten (zu strenge Vorgaben im Verhältnis zum Gesetzestext) oder zu einem Gesetzesverstoß (zu lasche Vorgaben im Verhältnis zum Gesetzestext) geführt haben. Ein solcher Gesetzesverstoß wird dann zwar unvermeidlich gewesen sein, weil ihm ein (damals) nicht zu beseitigender Irrtum zugrunde lag. Aber bisherige erste Kriterienkataloge lassen erkennen, dass die DSGVO dabei verhältnismäßig streng ausgelegt wird.

Was macht die Konkurrenz? 

Neben „frei definierten“ Zertifikaten der Privatwirtschaft, die letztlich ihre „Überzeugungswirkung“ aus dem Renommee des jeweiligen Anbieters beziehen, sind im Wesentlichen zwei weitere Ansätze erwähnenswert.

Einerseits wurde die Norm ISO/IEC 27001 für das Informationssicherheits-Managementsystem um die Norm ISO/IEC 27552 im Bereich des Datenschutzmanagements erweitert. Diese erweiterten Anforderungen können im Rahmen einer ISO/IEC 27001-Zertifizierung mit betrachtet werden, erweitern aber diese Zertifizierung nicht zu einer „Datenschutz-Zertifizierung“ im Sinne der DSGVO. Die ISO/IEC 27001 kann schon deshalb nicht DSGVO-konform sein, weil im Rahmen der DSGVO nur Prozesse, keine Managementsysteme zertifiziert werden: Originäre DSGVO-Zertifikate werden sich nie auf „den Datenschutz“ in einem Unternehmen insgesamt beziehen, sondern immer nur auf (einzelne oder mehrere) Verarbeitungsvorgänge.

Daneben sind Prüfungen von Wirtschaftsprüfern außerhalb der eigentlichen Jahresabschlussprüfung zu erwähnen. So stellt der Prüfungsstandard IDW PS 860 eine Art Rahmen für die IT-Prüfung außerhalb der Abschlussprüfung dar, dessen Grundsätze in Bezug auf die Prüfung einzelner IT-gestützter Prozesse und Verfahren durch sogenannte „Prüfungshinweise“ konkretisiert werden. Im Bereich des Datenschutzes gibt es hierzu den Prüfungshinweis IDW PH 9.860.1, der die „Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz“ betrifft. Diese Prüfung kann – wie häufig bei Prüfungen von Wirtschaftsprüfern – als Angemessenheits- oder als Wirksamkeitsprüfung durchgeführt werden.

Im ersten Fall bezieht sie sich auf die Prozessbeschreibungen, also insbesondere ob die „schriftliche Ordnung“ im Unternehmen dem formulierten Anforderungs- bzw. Kriterienkatalog entspricht, im zweiten Fall geht es zusätzlich um die Frage, ob sie auch so tatsächlich im Unternehmen „gelebt“ wird, wie sie vorgegeben wurde. Der hierzu vom IDW entworfene Kriterienkatalog konkretisiert die Regelungen der DSGVO und des Bundesdatenschutzgesetzes „und stellt geeignete Kriterien für die Beurteilung der vom Unternehmen getroffenen datenschutzspezifischen Maßnahmen dar“. Auch hier wurden die Gesetzestexte also in greifbare Kriterien „übersetzt“, wobei ein Blick in den Kriterienkatalog zeigt, dass viele Auslegungsspielräume, welche die DSGVO eröffnet und welche im Einzelfall schwierig auszufüllen sind, sich so auch in den Anforderungen wiederfinden. Dies ist einerseits zu begrüßen, weil damit keine überzogenen Anforderungen gestellt werden, andererseits aber weiß das geprüfte Unternehmen nicht genau, was es tun muss, um mit hinreichender Sicherheit den Anforderungen zu genügen. Letztlich muss dies der Wirtschaftsprüfer im Rahmen der Prüfung konkretisieren bzw. entscheiden.

Auch diese Form der Prüfung ist keine „echte“ DSGVO-Zertifizierung, weil sie sich nicht auf einzelne Datenverarbeitungsvorgänge bezieht, nicht auf von den Datenschutzbehörden genehmigten Kriterien beruht und nicht von auf der Basis eines genehmigten Konformitätsbewertungsprogramms akkreditierten Zertifizierungsstellen vorgenommen wird. Gleichwohl kann eine solche Prüfung – bei entsprechender Prüfungsqualität – durchaus eine valide Indikation mit entsprechender Außenwirkung im Hinblick auf die Angemessenheit bzw. Wirksamkeit der implementierten Datenschutz-Organisation darstellen. 

Auch die bislang bestehenden „Zertifizierungen“ im Umkreis des Datenschutzes bzw. der DSGVO können demnach keine Rechtssicherheit für die Einhaltung der DSGVO bieten. Sie dürften aber im Grundsatz geeignet sein, bei dennoch festgestellten Datenschutzverstößen zugunsten des verantwortlichen Unternehmens dessen „Schuld“ geringer ausfallen zu lassen, weil entsprechende Anstrengungen unternommen wurden, Datenschutzkonformität anzustreben.

Ausblick

Man kann die DSGVO von zwei Seiten betrachten: Es ist relativ leicht, sie formal zu erfüllen, indem man die von der DSGVO geforderte Dokumentation aus den mittlerweile überall zugänglichen Standard-Mustern heraus verfasst (Verarbeitungsverzeichnis, Pflichtinformationen gegenüber den Betroffenen, Standard-Prozessbeschreibungen etc.). Dabei mag dann vieles inhaltlich „nicht ganz stimmen“, aber dass man überhaupt ein solches „checkbox exercise“ als Fleißaufgabe auf sich genommen hat – und vielleicht auch versucht, sich nach den selbst aufgestellten Vorgaben zu richten –, ist sicherlich bereits lobenswert. Es ist demgegenüber aber äußerst komplex und aufwändig (und damit zeit- und kostspielig), die eigenen Datenverarbeitungsaktivitäten im Detail anhand ihrer individuellen Besonderheiten zu durchdenken und die DSGVO dann auch wirklich genau einzuhalten. Letzteres scheitert oft an den vielen Unwägbarkeiten der vielen unbestimmten Rechtsbegriffe und Abwägungen, welche die DSGVO enthält bzw. vorgibt. Die wenigsten Unternehmen haben diese Sisyphusarbeit zu sämtlichen von einem Unternehmen verarbeiteten Daten bislang angestrengt. 

Wo sich die DSGVO-Zertifizierung hier einpendelt, ist derzeit noch offen. Es gibt sie schlicht noch nicht. Angesichts des Erfordernisses der Genehmigung der Kriterienkataloge durch die Datenschutzbehörden steht aber zu vermuten, dass diese Kataloge inhaltlich sehr „datenschutzfreundlich“ ausfallen und damit der Aufwand der Erfüllung der Kriterien erheblich sein wird. Mit anderen Worten: Vermutlich wird die Erfüllung der Kriterien den zertifizierungswilligen Unternehmen einiges abfordern, was vorab erhebliche Kosten der Implementierung verursachen wird – ein Implementierungsaufwand, der vielleicht bei einem „schnellen Durchlesen“ der DSGVO nicht gesehen wurde. Angesichts dessen bleibt abzuwarten, ob Unternehmen bereit sind, (nur) um der Zertifizierung willen das dort vorgegebene Niveau auch tatsächlich für sich zu schaffen – oder ob sie lieber abwarten, bis das eine oder andere Kriterium aufgrund zukünftiger Rechtsprechung nicht mehr „haltbar“ ist. Dann verbleibt es vielleicht vorerst doch in vielen Fällen nur bei einem „checkbox exercise“.