Home / Aktuelles & Termine / it.sec blog

Wie schon im letzten Blog-Eintrag beschrieben, sieht die Datenschutzgrundverordnung (DSGVO) vor, dass Zertifizierungen als Nachweis zur Einhaltung einer Reihe von Vorgaben (z.B. Art. 25 DSGVO) dienen können. Unter welchen Bedingungen solche Zertifizierungen "amtlich" anerkannt sind, ist ebenfalls dort beschrieben.

Hier möchten wir ein führendes Zertifizierungsverfahren kurz vorstellen, das "ADCERT Privacy Siegel".

Das ADCERT Siegel deckt die Anforderungen der EU-DSGVO vollständig ab, ist aber so ausgelegt, dass auch internationale oder multiregulatorische Anforderungen, bzw. Spezialfälle im Rahmen eines Datenschutz-Managementsystems (DMS oder PMS) adressiert werden können.

Das ADCERT Verfahren ist nicht nur an die allseits bekannte ISO/IEC 27001 "angelehnt". Es fügt sich als derzeit einziges Siegel über die offizielle Schnittstelle für sektorspezifische Erweiterungen (ISO/IEC 27009) vollständig in die ISO/IEC 27001 ein, bzw. bildet die ISO/IEC 27001 Requirements vollständig ab.

Operativ kann das ADCERT Verfahren für sich alleine, als reines Datenschutz-Management-System (DMS) angelegt werden, es kann ebenso in ein bestehendes ISO/IEC 27001 ISMS eingebunden, oder später dahingehend erweitert werden. Insbesondere die Überlappung vieler technischer und organisatorischer Aspekte lässt sich so effizient darstellen und Redundanzen bei der Verwaltung vermeiden.

Auch wenn keine Zertifizierung angestrebt wird, ist es empfehlenswert die Methodologie dennoch anzuwenden

Die Herangehensweise oft schon durch Kenntnisse bei der ISO/IEC 27001 vertraut. Der Ansatz darf als zukunftssichere Investition gesehen werden, da eine kommende Normierung mindestens sehr nahe am ADCERT Verfahren liegen wird. Die Erfinder des Siegels sind in den entsprechenden Normierungsgremien der DIN vertreten und haben im Prinzip den aktuell in den Anfängen stehenden Normierungsbestrebungen zum Datenschutz vorgegriffen. Ebenfalls eingeflossen sind Erfahrungen aus von den Machern durchgeführten Europrise Zertifizierungen, welche halfen an vielen Stellen deutlich verbesserte Transparenz und Planbarkeit zu schaffen:

  • Anerkanntes Verfahrensprinzip
  • Trennung von Beratung und Audit
  • Vergleichbarkeit der Siegelqualität durch Minimierung des Einflusses von "individuellen Auditorenansichten"
  • Planbarkeit der Kosten für Audits
  • Über Requirement-Analyse für alle Rechts- und sonstigen Anforderungsräume geeignet, auch International.
  • Bestimmung der Risiken über eine Privacy Impact Analyse (PIM)
  • Maßnahmen müssen angemessen sein (keine simplen Ja/Nein Checklisten)
  • Nachhaltigkeit der Maßnahmen durch ein Managementsystem gewährleistet, kein bloßer Schnappschuss

Bei Fragen, wenden Sie sich bitte gerne an uns oder direkt an die ADCERT GmbH in Berlin.

Holger Heimann, Geschäftsführer it.sec

Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass im Rahmen der Beurteilung eines Verantwortlichen oder Auftragsverarbeiters Zertifizierungen herangezogen werden können, die als Nachweis zur Einhaltung einer Reihe von Vorgaben (z.B. Art. 25 DSGVO) dienen.

Solche Zertifizierungen können also eine dahingehende Indizwirkung entfalten und eigene Überprüfungsaufwendungen mindern helfen. Art. 42 und Art. 43 DSGVO regeln, welche Anforderungen und Möglichkeiten für solche Datenschutz-Zertifizierungen bestehen.

Zertifikate dürfen gemäß Art. 42 Abs. 5 DSGVO nur von den folgenden Zertifizierungsstellen ausgestellt werden:

  • Aufsichtsbehörden
  • Akkreditierte Zertifizierungsstellen

Die Zertifizierungsstelle, die die Zertifizierung vornimmt bzw. das Zertifikat ausstellt, muss gemäß Art. 43 Abs. 1 lit. a) und b) DSGVO von einer der folgenden Akkreditierungsstellen akkreditiert worden sein:

  • Zuständige Aufsichtsbehörde
  • Anerkannte Akkreditierungsstelle i.S.v. Art. 4 Abs. 1 der EU-Verordnung 765/2008 über die Vorschriften für die Akkreditierung (z.B. Deutsche Akkreditierungsstelle GmbH)

Art. 4 Abs. 1 der EU-Verordnung 765/2008 über die Vorschriften für die Akkreditierung schreibt vor, dass jeder EU-Mitgliedstaat eine einzige Akkreditierungsstelle zu benennen hat, die Zertifizierungsstellen akkreditiert. Seit dem 01.01.2015 können nur noch diejenigen Zertifizierungsstellen gültige Zertifikate ausstellen, auf die selbst eine Akkreditierungsurkunde der von den EU-Mitgliedstaaten benannten Akkreditierungsstellen für den betreffenden Akkreditierungsbereich ausgestellt wurde, gemäß Art. 39 der EU-Verordnung 765/2008 über die Vorschriften für die Akkreditierung.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abwehr terroristischer Straftaten ADCERT AfD Airbnb Amnesty Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anwendbarkeit Anwendung Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausspähen Austritt Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesarbeitsgericht Bundesfinanzministerium Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgelder BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzniveau Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsch Deutsche Bahn Deutsche Bundesbank Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen elektronische Kommunikation Empfänger Englisch Entlastung Entsorgung ePrivacy ePVO Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Vertreter EuGH Europa Europäische Aufsichtsbehörde Europäische Kommision Europäische Union EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Finanzsektor Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Foto Framework freiwillig Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gesellschaft für Informatik Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien Hack hack day Hackathon hacken Hacker Hackerangriff hackfest Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Installation Integrität interner Datenschutzbeauftragter Intrusion-Prevention-Systeme Investition IP-Adresse IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Krankenkasse Kriminalität KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Landesbeauftragte Landesverband Laptop Lazarus Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Like-Button Löschpflicht Löschung personenbezogener Daten Löschungsrecht Lösegeld Machtposition Makler Malware Markennamen Markenrecht Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen öffentliche Stelle Office Office 365 Öffnungsklauseln One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware Schüler Schutzmaßnahmen schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber SHA1 sicher Sicherheit Sicherheitslücke Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Sprache Standardvertragsklauseln Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchmaschine Supercomputer Risikolage Support Swiss IT Security Gruppe Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TIBER TIBER-DE TKG TLS TMG TOM Totalrevision Tracking Tracking Tools Tracking-Tools Twitter Übermittlung personenbezogener Daten Übernahme Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unzulässig US-Regierung USA UWG Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Videokamera Videoüberwachung Virus Vorteile Wachstum WAF WannaCry Web-Applikation-Firewalls Webseite Webseiten Website Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wirklichkeitsmodell Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff Zugriffsverwaltung Zukauf zulässig Zulässigkeit Zusatzschutz zuständig Zwangsgeld § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31