Die Datenschutzzertifizierung ist eine Prüfung eines Produktes, einer Leistung oder eines Betriebes im Hinblick auf den Datenschutz. Bei erfolgreicher Zertifizierung wird ein Qualitätszertifikat oder -siegel verliehen. Gegenwärtig gibt es eine große Anzahl von Prüfstellen mit eigenen Siegeln. Der Datenschutz nimmt nach vielen bekannt werdenden Datenschutzverletzungen für viele Menschen an Wichtigkeit zu. Bei der Verarbeitung personenbezogener Informationen ist die Sicherheit der Informationen besonders hoch.
Oft ist ein Auftraggeber aber nicht in der Position, den Datenschutz eines Betriebes zu bewerten, da er als Außenseiter weder das Wissen noch die Mittel hat, sich darüber zu informieren, geschweige denn eine eigenständige Beurteilung vorzunehmen. Der öffentliche Zugang zum Datenschutz ist in der Regel kein praktikabler Nachfolger.
Abhilfe für dieses Strukturproblem kann eine Datenschutzzertifizierung schaffen. Wer stellt ein Datenschutzzertifikat aus? Eine Datenschutzzertifizierung - was ist das? Es sind aber auch Tests nach anderen Gesichtspunkten möglich (z.B. ISO, ). Datenschutz wird gehandhabt. Es kann auch für ein konkretes Beispiel von Nutzen sein, wenn ein Betrieb über ein Datenschutzgütesiegel verfügt.
Dies beweist, dass das Datenschutz-Konzept den anwendbaren Vorschriften genügt und das Vertrauen des Unternehmens in den Datenschutz ausreichend groß ist. Dadurch kann das Untenehmen für die Kundschaft interessanter werden. Damit kann das Datenschutzzertifikat als Werbeträger genutzt werden. Vorausgesetzt, das Gütezeichen ist generell bekannt und wird erst nach eingehender Überprüfung erlangt.
Als spezielles Beispiel sei die De-Mail Zertifizierung genannt, die unmittelbar vom Beauftragten des Bundes für Datenschutz und Datensicherheit (BfDI) vorgenommen wird. Auf diese Weise werden Firmen zugelassen, die einen Dienst für gesicherte und vertrauenswürdige digitale Nachrichten, genannt De-Mail, bereitstellen. Eine Datenschutzzertifizierung kann jeder mit seinem eigenen Gütesiegel vorweisen. Eine Übersicht über die vielen Provider und Zertifizierungen erhalten Sie von der Eidgenössischen Datenschutzstiftung.
Im Regelfall wird die Untersuchung selbst von einem unabhängigen Sachverständigen durchgeführt, der keine Beziehung zu der zu testenden Institution haben sollte und der idealerweise selbst als qualifizierter Sachverständiger zugelassen ist. Die Gutachterin stellt die Resultate der Zertifizierungsgesellschaft vor, die das Datenschutzzertifikat erteilt. Damit sind drei unterschiedliche AkteurInnen vertreten: das zu beurkundende Unter-nehmen, der neutrale Prüfer und die Zertifizierungsinstanz, die das Prüfsiegel vergibt.
Die neue EU-Datenschutzverordnung (DSGVO), die ab dem 1. Januar 2018 direkt gilt, regelt die Zertifizierung nach Art. 42. Beispielsweise sollen Datenschutzzertifizierungen die Einhaltung der Vorschriften dieser Regelung nachweisen. Art. 43 regelt die Zulassungsstellen. Sie erteilen die Datenschutzzertifikate nach umfangreicher Überprüfung weiter, müssen aber von einer Überwachungsbehörde oder staatlicher Zulassungsstelle anerkannt werden.
Provider müssen unter anderem folgende Voraussetzungen erfüllen: Die EuroPriSe (European Privacy Seal) ist ein erster Standardisierungsschritt in der Zertifizierung. Sie überprüft Firmen nach europäischem Datenschutzstandard. Funktionsweise einer Datenschutzzertifizierung (gemäß § 9a BDSG). Diese Prüfung ist nach einem gemeinsamen Lastenheft durchzuführen.
Gewöhnlich ist der betriebliche Beauftragte für den Datenschutz in den Vorgang involviert, da er die Unternehmenssituation am besten kennt und somit für den ersten Blick nicht ausreicht. Bei der Überprüfung der Datenschutzzertifizierung wird in der Regel mit den allgemeinen Rahmenbedingungen begonnen: Gibt es überhaupt einen Datenschutzbeauftragten? Sind die Mitarbeitenden im Datenschutz ausgebildet?
Anschließend werden die jeweiligen Themenbereiche eingehend untersucht. Hierzu zählen zum Beispiel die Sicherung von Computersystemen, Prozesse im Unternehmen, aber auch die physikalische Sicherung von Daten: Für wen sind Geräte oder Räume mit Informationen zugänglich? Zum Beispiel sind die Server-Räume hinreichend abgesichert, was die Basis für die Zertifikatsausstellung durch die Zertifizierungsgesellschaft bildet.
Die Datenschutzzertifizierung sollte angemessen sein. Vor allem kleine und mittelständische Betriebe sind nicht in der Position, zu viel Geld auszugeben. Sollte das Testverfahren aufgrund sehr hoher Datenschutzanforderungen zu aufwendig sein, ist dies für kleine Firmen nicht mehr akzeptabel. Artikel 42 Absatz 1 DSGVO sieht daher auch vor, dass die speziellen Bedürfnisse von Kleinbetrieben bei der Zertifizierung berücksichtigt werden müssen.
Datenschutzzertifizierung: Welche anfallenden Gebühren sind zu tragen? Eine allgemeine Erklärung zur Datenschutzzertifizierung kann nicht abgegeben werden. Einer der Gründe dafür ist die große Zahl von Anbietern auf diesem Gebiet mit eigenen Prozeduren und Prüfsiegeln. Andererseits hängt der Aufwand aber auch von der Prozessintensität und -tiefe sowie der Objektkomplexität ab: Wird nur ein IT-Produkt oder eine Leistung getestet oder steht der Datenschutz eines ganzen Betriebes auf dem Spiel?
Auf Grund dieser unterschiedlichen Gegebenheiten können die Preise einer Datenschutzzertifizierung von Einzelfall zu Einzelfall und auch von Provider zu Provider unterschiedlich sein.