Home / Aktuelles & Termine / it.sec blog

Wie schon im letzten Blog-Eintrag beschrieben, sieht die Datenschutzgrundverordnung (DSGVO) vor, dass Zertifizierungen als Nachweis zur Einhaltung einer Reihe von Vorgaben (z.B. Art. 25 DSGVO) dienen können. Unter welchen Bedingungen solche Zertifizierungen "amtlich" anerkannt sind, ist ebenfalls dort beschrieben.

Hier möchten wir ein führendes Zertifizierungsverfahren kurz vorstellen, das "ADCERT Privacy Siegel".

Das ADCERT Siegel deckt die Anforderungen der EU-DSGVO vollständig ab, ist aber so ausgelegt, dass auch internationale oder multiregulatorische Anforderungen, bzw. Spezialfälle im Rahmen eines Datenschutz-Managementsystems (DMS oder PMS) adressiert werden können.

Das ADCERT Verfahren ist nicht nur an die allseits bekannte ISO/IEC 27001 "angelehnt". Es fügt sich als derzeit einziges Siegel über die offizielle Schnittstelle für sektorspezifische Erweiterungen (ISO/IEC 27009) vollständig in die ISO/IEC 27001 ein, bzw. bildet die ISO/IEC 27001 Requirements vollständig ab.

Operativ kann das ADCERT Verfahren für sich alleine, als reines Datenschutz-Management-System (DMS) angelegt werden, es kann ebenso in ein bestehendes ISO/IEC 27001 ISMS eingebunden, oder später dahingehend erweitert werden. Insbesondere die Überlappung vieler technischer und organisatorischer Aspekte lässt sich so effizient darstellen und Redundanzen bei der Verwaltung vermeiden.

Auch wenn keine Zertifizierung angestrebt wird, ist es empfehlenswert die Methodologie dennoch anzuwenden

Die Herangehensweise oft schon durch Kenntnisse bei der ISO/IEC 27001 vertraut. Der Ansatz darf als zukunftssichere Investition gesehen werden, da eine kommende Normierung mindestens sehr nahe am ADCERT Verfahren liegen wird. Die Erfinder des Siegels sind in den entsprechenden Normierungsgremien der DIN vertreten und haben im Prinzip den aktuell in den Anfängen stehenden Normierungsbestrebungen zum Datenschutz vorgegriffen. Ebenfalls eingeflossen sind Erfahrungen aus von den Machern durchgeführten Europrise Zertifizierungen, welche halfen an vielen Stellen deutlich verbesserte Transparenz und Planbarkeit zu schaffen:

  • Anerkanntes Verfahrensprinzip
  • Trennung von Beratung und Audit
  • Vergleichbarkeit der Siegelqualität durch Minimierung des Einflusses von "individuellen Auditorenansichten"
  • Planbarkeit der Kosten für Audits
  • Über Requirement-Analyse für alle Rechts- und sonstigen Anforderungsräume geeignet, auch International.
  • Bestimmung der Risiken über eine Privacy Impact Analyse (PIM)
  • Maßnahmen müssen angemessen sein (keine simplen Ja/Nein Checklisten)
  • Nachhaltigkeit der Maßnahmen durch ein Managementsystem gewährleistet, kein bloßer Schnappschuss

Bei Fragen, wenden Sie sich bitte gerne an uns oder direkt an die ADCERT GmbH in Berlin.

Holger Heimann, Geschäftsführer it.sec

Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass im Rahmen der Beurteilung eines Verantwortlichen oder Auftragsverarbeiters Zertifizierungen herangezogen werden können, die als Nachweis zur Einhaltung einer Reihe von Vorgaben (z.B. Art. 25 DSGVO) dienen.

Solche Zertifizierungen können also eine dahingehende Indizwirkung entfalten und eigene Überprüfungsaufwendungen mindern helfen. Art. 42 und Art. 43 DSGVO regeln, welche Anforderungen und Möglichkeiten für solche Datenschutz-Zertifizierungen bestehen.

Zertifikate dürfen gemäß Art. 42 Abs. 5 DSGVO nur von den folgenden Zertifizierungsstellen ausgestellt werden:

  • Aufsichtsbehörden
  • Akkreditierte Zertifizierungsstellen

Die Zertifizierungsstelle, die die Zertifizierung vornimmt bzw. das Zertifikat ausstellt, muss gemäß Art. 43 Abs. 1 lit. a) und b) DSGVO von einer der folgenden Akkreditierungsstellen akkreditiert worden sein:

  • Zuständige Aufsichtsbehörde
  • Anerkannte Akkreditierungsstelle i.S.v. Art. 4 Abs. 1 der EU-Verordnung 765/2008 über die Vorschriften für die Akkreditierung (z.B. Deutsche Akkreditierungsstelle GmbH)

Art. 4 Abs. 1 der EU-Verordnung 765/2008 über die Vorschriften für die Akkreditierung schreibt vor, dass jeder EU-Mitgliedstaat eine einzige Akkreditierungsstelle zu benennen hat, die Zertifizierungsstellen akkreditiert. Seit dem 01.01.2015 können nur noch diejenigen Zertifizierungsstellen gültige Zertifikate ausstellen, auf die selbst eine Akkreditierungsurkunde der von den EU-Mitgliedstaaten benannten Akkreditierungsstellen für den betreffenden Akkreditierungsbereich ausgestellt wurde, gemäß Art. 39 der EU-Verordnung 765/2008 über die Vorschriften für die Akkreditierung.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

ADCERT Anwendbarkeit Art. 17 DSGVO Art. 26 DSGVO Art. 32 DSGVO Audit Auftragsverarbeitung Auskunftsrecht Automatisierte Einzelentscheidung Autsch Begrifflichkeiten Beherbergungsstätten Betroffenenrechte Compliance Datenlöschung Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenübermittlung Datenübermittlung in Drittstaaten Datenverarbeitung Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSGVO Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO EU-Datenschutz-Grundverordnung Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Konzern konzerninterner Datentransfer Löschung personenbezogener Daten Meldescheine Passwörter. 2016 Personalausweiskopien Privacy Shield Profiling Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Sony PSN Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Tracking Tools Übermittlung personenbezogener Daten unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Vertrag zur Auftragsverarbeitung Videoüberwachung Vorteile Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30