Zertifizierungsverfahren und Datenschutzsiegel: Überblick und Ausblick

Transkript

1 Zertifizierungsverfahren und Datenschutzsiegel: Überblick und Ausblick ZertiVer 2018 Zertifikate und Verhaltensregeln für Datenschutz und IT-Sicherheit 4. Dezember 2018 in Köln Britta Hinzpeter LL.M.

2 Agenda Überblick Zertifizierungen und Verfahren Praxisbericht Vor- und Nachteile Die europäische Perspektive Fazit und Ausblick Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 2

3 Zertifizierungen und Datenschutzsiegel nach der DS-GVO Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 3

4 Sinn und Zweck Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 4

5 Sinn und Zweck Im Erwägungsgrund 100 zur DS-GVO wird ausgeführt: Um die Transparenz zu erhöhen und die Einhaltung dieser Verordnung zu verbessern, sollte angeregt werden, dass Zertifizierungsverfahren sowie Datenschutzsiegel und - prüfzeichen eingeführt werden, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen. (ErwGr 100 DS-GVO) Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 5

6 Sinn und Zweck Mit den Artikeln 42 und 43 DS-GVO legt der Gesetzgeber einen rechtlichen Grundstein für europäisch einheitliche Akkreditierungs- und Zertifizierungsverfahren, die dazu dienen, die Einhaltung der DS-GVO nachzuweisen. Minderung des Haftungs- und Sanktionsrisikos von Unternehmen Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 6

7 Sanktionen Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 7

8 Überblick Zertifizierung und Verfahren Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 8

9 Zertifizierung nach Art. 42 DS-GVO Art. 42 Abs. 1 DS-GVO: Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 9

10 Zertifizierung nach Art. 42 DS-GVO Wer kann ein Zertifikat erhalten? Art. 42 Abs. 1 S. 1 DS-GVO: Verantwortliche und Auftragsverarbeiter. Was kann zertifiziert werden? Art. 42 Abs. 1 S. 1 DS-GVO: Verarbeitungsvorgänge, d.h. Produkte und Dienstleistungen, nicht Unternehmen an sich Ist eine Zertifizierung verpflichtend? Art. 42 Abs. 3 DS-GVO: Nein, die Zertifizierung muss freiwillig zugänglich sein Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 10

11 Zertifizierungsstellen, Art. 43 DS-GVO Wer erteilt die Zertifizierung? Art. 42 Abs. 5 S. 1 DS-GVO: (akkreditierte) Zertifizierungsstellen oder die zuständigen Aufsichtsbehörden Wer akkreditiert die Zertifizierungsstellen? Art. 43 Abs. 1 S. 2 DS-GVO: Die Mitgliedstaaten stellen sicher, dass Zertifizierungsstellen akkreditiert werden von: der zuständigen Aufsichtsbehörde; und/oder der nationalen Akkreditierungsstelle Akkreditierung in Deutschland: Deutsche Akkreditierungsstelle (DAkkS) als Beliehene zusammen mit den zuständigen Aufsichtsbehörden des Bundes oder der Länder gemäß 39 BDSG (neu), Akkreditierungsstellengesetz Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 11

12 Kriterien für Akkreditierung von Zertifizierungsstellen, Art. 43 Abs. 2 DS-GVO Nachweis der Unabhängigkeit und des Fachwissens hinsichtlich des Gegenstands der Zertifizierung der privaten Stelle (Abs. 2 lit. a). Verpflichtung zur Einhaltung der von der zuständigen Aufsichtsbehörde oder dem Europäischen Datenschutzausschuss genehmigten Zertifizierungskriterien (Abs. 2 lit. b). Festlegung eines Verfahrens sowohl für die Erteilung, die regelmäßige Überprüfung und den Widerruf der Datenschutzzertifizierung (Abs. 2 lit. c) als auch für ein wirksames und transparentes Beschwerdemanagementsystem (Abs. 2 lit. d) der privaten Stelle. Wahrnehmung der Aufgaben einer Zertifizierungsstelle führt zu keinem Interessenkonflikt (Abs. 2 lit. e) Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 12

13 Akkreditierungsverfahren, Art. 43 Abs. 1 S. 2 DS-GVO Gesamtverfahren im Überblick Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 13

14 Welches Verfahren ist für die Zertifizierung vorgesehen? Die DSGVO gibt kein konkretes Verfahren vor. Art. 42 Abs. 3 DS-GVO: Zugänglichkeit der Zertifizierung über ein transparentes Verfahren Art. 43 Abs. 2 lit. c DS-GVO: Festlegung von Verfahren für die Erteilung, die regelmäßige Überprüfung und den Widerruf von Zertifizierungen durch Zertifizierungsstellen Art. 43 Abs. 5 DS-GVO: Mitteilung der Gründe für die Erteilung oder den Widerruf der beantragten Zertifizierung an zuständige Aufsichtsbehörde durch Zertifizierungsstelle Art. 42 Abs. 5 S.1 DS-GVO: Erteilung der Zertifizierung anhand der von der zuständigen Aufsichtsbehörde oder durch den Ausschuss genehmigten Kriterien Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 14

15 Mitwirkungspflichten des Antragstellers Art. 42 Abs. 6 DS-GVO: Zurverfügungstellung aller für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen durch Verantwortliche / Auftragsverarbeiter Gewährung des erforderlichen Zugangs zu Verarbeitungstätigkeiten Relevante Dokumentation: Verfahrensverzeichnis, Datenschutzerklärung, PIA, ADV-Verträge, Einwilligungserklärungen etc. Zugang zu Verarbeitungstätigkeiten: Ermöglichung einer technischen Überprüfung (remote und / oder vor Ort ( on-site-visit )) Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 15

16 Wie lange ist eine Zertifizierung gültig? Art. 42 Abs. 7 S.1 DS-GVO: Erteilung der Zertifizierung für eine Höchstdauer von drei Jahren Verlängerung möglich Art. 42 Abs. 7 S. 2 DS-GVO: Widerruf durch Zertifizierungsstelle oder zuständige Aufsichtsbehörde, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 16

17 Praxisbericht Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 17

18 Ausgewählte Zertifizierungsstellen European Privacy Seal (EuroPriSe): Durch das Unabhängige Landeszentrum für Datenschutz (ULD) gegründetes und nunmehr privatwirtschaftlich geführtes Datenschutzsiegelverfahren Sitz in Bonn Deutschland: U.a. Behördliches Datenschutzsiegel des ULD gem. 4 Abs. 2 LDSG Schleswig-Holstein TÜV Übersicht über in Deutschland angebotene Datenschutzgütesiegel und Datenschutzzertifikate der Stiftung Datenschutz: Frankreich: seit 2014 Standard on Data Protection Governance Großbritannien: ICO Privacy Seal Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 18

19 Ausgewählte Zertifizierungen : Payback Bonussystem Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 19

20 Ausgewählte Zertifizierungen: Webseite Versorgungsanstalt des Bundes und der Länder Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 20

21 Weitere ausgewählte Zertifizierungen Zertifikatsliste ISO/IEC 27001: CANCOM SE, Prüfobjekt Informationstechnologie und Cloud Computing yourit GmbH, Prüfobjekt: Informationssicherheitsmanagement Gothaer Finanzholding AG: Prüfobjekt: Informationssicherheitsmanagementsystem TÜV Rheinland jameda GmbH, Prüfobjekt: geprüfte Online-Applikation EuroPriSe: DRACOON, Prüfobjekt: IT-Produkte und Dienstleistungen Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 21

22 EuroPriSe Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 22

23 Vor- und Nachteile Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 23

24 Vorteile Nachweis der Einhaltung der DS-GVO Insbesondere relevant bei: Datenschutz durch Technik, Datensicherheit, grenzüberschreitende Datenübermittlungen, Datenschutzfolgeabschätzung Wichtiges Auswahlkriterium für Auftragsverarbeiter Erhöhung der datenschutzrechtlichen Transparenz und der Rechtssicherheit, z.b. bei Beschaffung von Hard- und Software Faktor zur Minderung von möglichen Sanktionen Risikominimierung Marketingzwecke, Wettbewerbsvorteil Vorteil bei Kontrollen durch die Aufsichtsbehörden Form der Selbstkontrolle Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 24

25 Nachteile Hoher Aufwand durch Bürokratie und Dokumentationspflichten Hohe Kosten durch ressourcenintensive Vorabüberprüfung Finden eines geeigneten Zertifizierers Rechtsunsicherheit noch keine genehmigten Zertifizierungsverfahren- und kriterien noch keine verbindlichen Akkreditierungsvorschriften bzw. akkreditierte Stellen Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 25

26 Die europäische Perspektive Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 26

27 Warum ist ein europäischer Ansatz wichtig? Erteilung von Zertifizierungen (voraussichtlich) überwiegend von privaten Zertifizierungsstellen Andernfalls droht folgendes Worst-Case-Szenario: Herausbildung einer Vielzahl von Zertifikaten / Siegeln unterschiedlicher Qualität in den einzelnen Mitgliedstaaten der EU; Abwärtsspirale in Sachen Kosten und Qualität; Nachhaltige Beschädigung der Glaubwürdigkeit von Datenschutzzertifizierungen insgesamt. Besonders wichtig für Unternehmen: mit Niederlassungen in mehr als einem Mitgliedstaat der EU; die personenbezogene Daten im Auftrag ihrer Kunden verarbeiten, und deren Kunden aus mehr als einem Mitgliedstaat der EU stammen Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 27

28 Warum ist ein europäischer Ansatz wichtig? Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 28

29 Europäisches Datenschutzsiegel Art. 42 Abs. 5 DS-GVO: Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde gemäß Artikel 58 Absatz 3 oder gemäß Artikel 63 durch den Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 29

30 Europäisches Datenschutzsiegel Ausdrückliche Erwähnung in Art. 42 Abs. 5 S. 2 DS-GVO Gemeinsame Zertifizierung durch zuständige Behörde und Europäischen Datenschutzausschuss (EDSA) Beschluss der Kriterien direkt vom EDSA Veröffentlichung der Zertifizierungsverfahren und Datenschutzsiegel durch EDSA in einem Register Schaffung der Grundlage für ein Europäisches Datenschutzsiegel durch DS-GVO; Anforderungen müssen noch definiert werden Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 30

31 Fazit und Ausblick Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 31

32 Fazit Zertifizierung kann Wettbewerbsvorteil und gutes Mittel zur Einhaltung und Durchsetzung der DSGVO sein Allerdings derzeit noch hohes Maß an Rechtsunsicherheit Kosten/Nutzen Abwägung Nationale Behörden und befasste Stelle auf EU Ebene müssen aktiv(er) werden: Die deutschen Aufsichtsbehörden diskutieren mit der DAkkS in der AG Zertifizierung über die künftigen Modalitäten von Zertifizierung / Akkreditierung European Data Protection Board (EDPB): Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 (adopted on 25 May 2018) Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 32

33 Vielen Dank für Ihre Aufmerksamkeit! Heuking Kühn Lüer Wojtek Zertifizierungsverfahren und Datenschutzsiegel 33