Europäische IT-Sicherheitsbehörde ENISA unterstützt Zertifizierungsprozesse für Datenschutz-Grundverordnung

07.12.2017

Die europäische IT-Sicherheitsbehörde „European Union Agency for Network and Information Security“ (ENISA) unterstützt die Entwicklung europäischer Zertifizierungsverfahren anlässlich des bevorstehenden Inkrafttretens der Datenschutz-Grundverordnung (DS-GVO).

Die neue DS-GVO tritt am 25.05.2018 in Kraft und verlangt von Unternehmen den Einsatz angemessener technischer und organisatorischer Maßnahmen, um die Umsetzung der Verordnung, auch im Hinblick auf IT-Sicherheit (Art. 5 DS-GVO), zu gewährleisten. Bei Nichterfüllung drohen empfindliche Bußgelder.

Freiwillige Zertifizierungen

Mit freiwilligen Zertifizierungen (Art. 42, 43 DS-GVO) können Datenverarbeiter gegenüber den Aufsichtsbehörden nachweisen, dass sie die gesetzlichen Verpflichtungen einhalten.

ENISA hat zu dem Thema der Zertifizierungen unter dem Titel „Recommendations on European Data Protection Certification“ einen Bericht veröffentlicht, um „eine effektive Umsetzung der Gesetzgebung“ zu unterstützen. In dem Bericht wird hervorgehoben, dass es bei der Zertifizierung nach der DS-GVO nicht um Produkte, Systeme oder Organisationen geht, sondern um die Datenverarbeitungsvorgänge. Es werde nicht geprüft, welche Maßnahmen getroffen wurden, sondern ob diese auch den Anforderungen der DSGVO genügen.

Ausbau eines harmonisierten Zertifizierungsverfahrens

ENISA selbst soll ab nächstem Jahr die Etablierung eines europaweiten, freiwilligen Zertifizierungsverfahrens für IT-Sicherheit übernehmen. Überdies berät sie die EU-Kommission bei der Festlegung der Anforderungen und technischen Standards für die Datenschutz-Zertifizierungen.

Ziel von ENISA ist die Harmonisierung der verschiedenen Zertifizierungsansätze innerhalb der Europäischen Union. Die Zertifizierungskriterien können von den zuständigen Aufsichtsbehörden oder durch den Europäischen Datenschutzausschuss festgelegt werden. Laut ENISA sollten die Aufsichtsbehörden sich auf ein gemeinsames Vorgehen verständigen und überdies darauf verzichten, selbst Zertifizierungen vorzunehmen, um mögliche Interessenkonflikte zu vermeiden.

Umsetzung der DS-GVO: Online Selbsttest für Unternehmen

Auch deutsche Datenschutzaufsichtsbehörden unterstützen Unternehmen bei der Umsetzung der DS-GVO. So bietet ein Online Test des Bayrischen Landesamtes für Datenschutzaufsicht die Möglichkeit für Unternehmen anhand von 28 Fragen selbst zu testen, wie gut sie bereits auf die DS-GVO vorbereitet sind. Unternehmen sollen auf datenschutzrechtlich problematische Punkte in ihrer Organisation aufmerksam gemacht werden. Laut der Datenschutzaufsichtsbehörde werden ihre Datenschutzprüfungen ab Mai 2018 auf die im Online-Test adressierten Fragenbereiche abzielen.

Haben Sie Fragen? Kontaktieren Sie gerne: Pascal Schumacher 
Practice GroupTelekommunikation, IT, Outsourcing und Datenschutz