Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Es ist eine der anspruchsvollsten rechtlichen Verpflichtungen, die es zu dokumentieren und nachzuweisen gilt. Die Zertifizierung ist das einzige von Art. 25 DSGVO anerkannte Instrument, um die Einhaltung dieser Anforderung nachzuweisen.

Nachweis der Angemessenheit der Datenverantwortlichen

Art. 24 DSGVO klärt die Pflichten der Datenverantwortlichen. Es werden zwei Instrumente genannt, um die Einhaltung dieser Vorschriften nachzuweisen: Zertifizierung und Verhaltenskodizes.

Nachweis der Eignung ausgewählter Datenverarbeiter

Gemäß Artikel 28 der DSGVO „soll der Verantwortliche nur mit Auftragsverarbeitern arbeiten, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden.“ Er ist rechenschaftspflichtig und haftet für mögliche Verstöße und die Nichteinhaltung durch seine Datenverarbeiter. Es wird erwartet, dass er eine vollständige Bewertung der von seinen Datenverarbeitern ergriffenen wirksamen Maßnahmen durchführt, bevor er Daten an sie weitergibt. Glücklicherweise werden in diesem Artikel zwei Instrumente zur Bewertung der Angemessenheit anerkannt: Zertifizierung und Verhaltenskodizes.

Nachweis der Angemessenheit von Sicherheitsmaßnahmen

Kunst. 32 DSGVO verlangt die Gewährleistung eines angemessenen Sicherheitsniveaus. Was die Verarbeiter betrifft, erkennt sie auch Zertifizierungen und Verhaltenskodizes [mit regelmäßigen Audits] als Mittel an "0".

Auswirkungen auf Bußgelder

Kunst. 83 DSGVO verlangt, dass bei Nichteinhaltung die Einführung einer anerkannten Zertifizierung oder eines anerkannten Verhaltenskodex durch einen Verantwortlichen oder einen Auftragsverarbeiter bei der Bemessung der Höhe der Geldbuße berücksichtigt wird. Darüber hinaus tragen eine Zertifizierung und ein Verhaltenskodex dazu bei, das Risiko von Verstößen deutlich zu reduzieren.

Verfügbarkeit

Die gute Nachricht ist, dass die Zertifizierungskriterien und SCC genehmigt und unverändert verfügbar sind. Die Einführung eines Verhaltenskodexes erfordert einen erheblichen Aufwand. Darüber hinaus ist es erforderlich, eine repräsentative Anzahl von Unternehmen über einen Verband zu mobilisieren, um den Kodex zu entwickeln, umzusetzen und genehmigen zu lassen. Der Prozess kann mehrere Jahre dauern. Auch die Einführung verbindlicher unternehmensinterner Vorschriften bedarf der Genehmigung durch die Behörde. Der Prozess kann ebenfalls mehrere Jahre dauern und kann nur von Unternehmen genutzt werden, die formal zur selben Unternehmensgruppe gehören (und nicht beispielsweise von deren Datenverarbeitern).

Universalität

SCCs und DSGVO-Zertifizierungen wie Europrivacy sind branchenübergreifend und können von allen Datenverantwortlichen und -verarbeitern verwendet werden. Andere Zertifizierungen können ausschließlich auf Datenverarbeiter oder auf bestimmte Evaluierungsziele beschränkt sein. Verbindliche Unternehmensregeln sind unternehmensspezifisch. Verhaltenskodizes sind branchenbezogen. Dies bedeutet, dass für die Datenverarbeitung Verantwortliche und Verarbeiter, die Daten gemeinsam nutzen, unterschiedlichen Verhaltenskodizes unterliegen können. Beispielsweise ist ein Verhaltenskodex, der für die Gastronomie entwickelt wurde, für Dienstleister wie ein Buchhaltungsunternehmen, das für Gastronomieunternehmen arbeitet, nicht ausreichend.

Zeit und Aufwand

Unter der Annahme, dass ein Unternehmen die DSGVO bereits einhält, variieren der erforderliche Zeit- und Arbeitsaufwand je nach Instrument. Ein SCC erfordert, dass die Parteien die Bedingungen der Vereinbarung aushandeln und vereinbaren. Wenn ein Unternehmen über einen einzigen B2B-Partner verfügt, ist dies das schnellste Instrument. Während jedoch eine einzige Zertifizierung für eine unbegrenzte Zahl von Datenverantwortlichen und -verarbeitern verwendet werden kann, muss mit jedem einzelnen Partner, mit dem Daten geteilt werden, ein separater SCC verabschiedet und unterzeichnet werden.

Flexibilität und Anpassungsfähigkeit

Einige Instrumente konzentrieren sich auf Anforderungen auf Unternehmensebene (BCR, CC), während andere Instrumente den Schwerpunkt auf bestimmte Datenverarbeitungsaktivitäten (Zertifizierung, SCC) legen. Die erste Kategorie erfordert die Gewährleistung der Einhaltung auf einem höheren Niveau. Die zweite Kategorie ermöglicht es Unternehmen, ihre Bemühungen auf die für sie vorrangige Datenverarbeitung zu konzentrieren und das Wichtigste zuerst zu erledigen.

Zuverlässigkeit

Der Grad der Zuverlässigkeit hängt von der Art der Instrumente ab. Beispielsweise handelt es sich bei einem SCC um eine verbindliche Selbstverpflichtung eines Unternehmens, deren tatsächliche Einhaltung jedoch nicht geprüft oder kontrolliert wird. Bei der Zertifizierung hingegen sind regelmäßige Audits durch qualifizierte Dritte erforderlich. Die Trust Level Scale (TSL) bietet eine Skala von A (sehr zuverlässig) bis I (überhaupt nicht zuverlässig), um das Maß an Vertrauen in eine wirksame Compliance zu beurteilen. Bei Anwendung auf die vier Instrumente variiert das Ergebnis von F für SCC bis A für Zertifizierung.

Wertschöpfung

Alle Instrumente tragen dazu bei, die Compliance zu unterstützen. Eine davon, die Zertifizierung, ermöglicht es jedoch, Compliance in einen immateriellen Vermögenswert für das Unternehmen umzuwandeln. Eine Zertifizierung stellt ebenso wie ein Patent einen immateriellen Vermögenswert des Unternehmens dar. Es macht Compliance zu einer Quelle der Wertschöpfung. Es kann von Marketing- und Vertriebsteams als Wettbewerbsvorteil genutzt werden. Darüber hinaus kann es dazu genutzt werden, die Unsicherheit bei Finanzanalysten, Investoren und Aktionären zu verringern.

Die folgende Tabelle fasst die Eigenschaften der vier Instrumente zusammen.

Abschluss

Jedes DSGVO-Instrument bietet unterschiedliche Vorteile und ein unterschiedliches Maß an Verlässlichkeit im Hinblick auf die wirksame Einhaltung. Es obliegt dem DSB, denjenigen zu beurteilen und auszuwählen, der den Bedürfnissen seines Arbeitgebers am besten gerecht wird. Wir hoffen, dass diese Analyse Ihnen beim Vergleichen und Auswählen hilft.

Falls Sie Ihre Meinung ändern, ist der Wechsel von einem Instrument zu einem anderen oder die Kombination mehrerer Instrumente ganz einfach, nachdem Sie Ihre Konformität überprüft und dokumentiert haben.

Verweise