Datenschutzzertifikat / Datenschutz-Zertifikat / Datenschutz-Siegel

Ein Datenschutzzertifikat (Datenschutz-Siegel) ist ein von einer registrierten Zertifizierungsstelle verliehenes G├╝tesiegel, das best├Ątigt, dass die Anforderungen des Datenschutzgesetzes durch die Stelle erf├╝llt sind.

Und da geht auch schon der Streit der Experten los. Einige sagen, dass ein G├╝tesiegel erteilt werden kann, wenn die gesetzlichen Forderungen erf├╝llt sind. Andere sagen, dass kein Zertifikat erteilt werden kann, nur weil man die gesetzlichen Forderungen erf├╝llt,  denn ein Zertifikat/G├╝tesiegel sei ja etwas besonderes, es w├╝rden besondere Leistungen honoriert und “das Gesetz einhalten” sei ja nichts besonderes, eher weniger, n├Ąmlich Pflicht.

Welche Zertifizierungsstellen f├╝r Datenschutzzertifizierung gibt es? Zertifizierungsstellen sind z.B: DatenschutzCert, Desag, DQS, INOIS, T├ťV, ULD (*).

In der Regel sind in dem Prozess “Datenschutz zertifizieren” drei Parteien involviert:

  • die zertifizierungswillige Stelle,
  • der Datenschutzberater, der intern oder extern sein kann
  • und die zertifikatserteilende Stelle.

Was haben wir zu tun, wenn wir ein Zertifikat f├╝r unsere Anstrengungen erhalten m├Âchten? Nun, zumindest haben Sie die gesetzlichen Forderungen vollst├Ąndig zu erf├╝llen (siehe aber oben “Streit”) UND Sie m├╝ssen aufzeigen (nachweisen), dass Sie ein “Datenschutz-Managementsystem” eingerichtet haben und dieses betreiben (z.B. nach dem PDCA-Zyklus).

Welche gesetzlichen Forderungen haben wir zu erf├╝llen? In unserem Glossar-Eintrag “Datenschutzbeauftragter Software” (siehe links im Men├╝) haben wir diese Forderungen f├╝r Sie in aller K├╝rze dargestellt.

Gibt es Vorgaben, wie ein Datenschutz-Managementsystem eingerichtet wird und was es enth├Ąlt? Nein, zumindest nichts offizielles. Brunsch-Boser haben dazu die datenschutztangierende Norm ISO 27001 mit der Anlage ISO 27002, hergenommen und “auf Datenschutz getrimmt”. Nach unserer Meinung eine sehr gute Idee, weil wir davon ausgehen, dass, sollte es jemals eine internationale Norm zum Datenschutzmanagement geben (nach der auditiert wird), diese fast deckungsgleich mit der ISO 27001 sein wird.

Brunsch-Boser gliedern das Datenschutz-Managementsystem, die Auditanforderungen und die “Datenschutz-Controls” wie folgt:

D.5 Datenschutzkonzept
D.5.1 Datenschutzleitlinie bzw. Datenschutzrichtlinie
D.6 Organisation des Datenschutzes
D.6.1 Interne Organisation
D.6.2 Externe Beziehungen
D.7 Management von personenbezogenen Daten
D.7.1 Verantwortung f├╝r personenbezogene Daten
D.7.2 Klassifizierung von personenbezogenen Daten und Informationen
D.8 Datenschutz f├╝r Besch├Ąftigungsverh├Ąltnisse
D.8.1 Vor der Anstellung
D.8.2 W├Ąhrend der Anstellung
D.8.3 Beendigung oder Änderung der Anstellung
D.8.4 Betriebsrat und Betriebsvereinbarungen
D.9 Physische und umgebungsbezogene Sicherheit
D.9.1 Sicherheitsbereiche
D.9.2 Sicherheit von Betriebsmitteln (Assets)
D.10 Betriebs- und Kommunikationsmanagement
D.10.1 Verfahren und Verantwortlichkeiten (┬ž4e Nr.2 BDSG)
D.10.2 Management der Dienstleistungserbringung von und f├╝r Dritte (┬ž11 BDSG)
D.10.3 Systemplanung und Abnahme (┬ž4g Abs.1 Nr.1)
D.10.4 Schutz vor Schadsoftware und mobilem Programmcode
D.10.5 Backup
D.10.6 Management der Netzsicherheit
D.10.7 Mobile personenbezogene Speicher- und Aufzeichnungsmedien (┬ž6c BDSG)
D.10.8 Austausch von Informationen und ├ťbermittlung von personenbezogenen Daten (auch ┬ž4b BDSG)
D.10.9 E-Commerce-Anwendungen
D.10.10 ├ťberwachung (┬ž9a BDSG und ┬ž4g Abs.1 Nr.1 BDSG)
D.11 Zugangskontrolle (Anlage zu ┬ž9 Satz 1, Nr.2 BDSG)
D.11.1 Gesch├Ąftsanforderungen f├╝r Zugangskontrolle
D.11.2 Benutzerverwaltung
D.11.3 Benutzerverantwortung
D.11.4 Zugangskontrolle f├╝r Netze
D.11.5 Zugriffskontrolle auf Betriebssysteme (Anlage zu ┬ž9 Satz 1, Nr.3 BDSG)
D.11.6 Zugangskontrolle zu Anwendungen und Informationen
D.11.7 Mobile Computing und Telearbeit (Anlage zu ┬ž9 Satz 1, Nr.4 BDSG)
D.12 Beschaffung, Entwicklung und Wartung von Informationssystemen
D.12.1 Anforderungen an Informationssysteme (Sicherheit, Datenvermeidung, Datensparsamkeit)
D.12.2 Korrekte Verarbeitung in Anwendungen (Nachvollziehbarkeit Eingabe, Ver├Ąnderung, L├Âschung)
D.12.3 Kryptografische Ma├čnahmen (Anlage zu ┬ž9 Satz 1, letzter Satz BDSG)
D.12.4 Sicherheit von Systemdateien (Protokollierung)
D.12.5 Sicherheit bei Entwicklungs- und Unterst├╝tzungsprozessen
D.12.6 Schwachstellenmanagement
D.13 Umgang mit Datenschutzvorf├Ąllen (┬ž42a BDSG)
D.13.2 Umgang mit Datenschutzvorf├Ąllen und Verbesserungen
D.14 Sicherstellung des Gesch├Ąftsbetriebs (Business Continuity Management)
D.14.1 Informationssicherheitsaspekte bei der Sicherstellung des Gesch├Ąftsbetriebs
D.15 Einhaltung von Vorgaben (Compliance)
D.15.1 Einhaltung gesetzlicher Vorgaben
D.15.2 Einhaltung von Sicherheitsregelungen und -standards, und technischen Vorgaben
D.15.3 ├ťberlegungen zu Revisionspr├╝fungen von Datenschutzverfahren

Auf was haben wir noch zu achten? Achten Sie von Anfang an darauf, dass das komplette Managementsystem den Auditempfehlungen der ISO 19011 folgt. Legen Sie beim Berater mehr Wert auf Erfahrung, als auf die K├╝rze seiner Datenschutz-Checkliste. Lassen Sie sich von der Leitung Ihrer Stelle gr├╝nes Licht geben, bevor Sie auch nur in die Planung des Datenschutz-Zertifikates einsteigen. Gehen Sie davon aus, dass die Zertifizierung einen f├╝nf-stelligen Betrag (ÔéČ) erreichen kann.

Kann opus i solch ein Managementsystem abbilden und unterst├╝tzen? Ja, Punkt und Ende.

(*) Sollten wir Sie als Datenschutz-Zertifizierungsstelle hier noch nicht aufgef├╝hrt haben, melden Sie sich bitte bei uns.

(c) kronsoft (r)                          Referenzen | Presse | Auszeichnungen | IT-Tag | Sitemap | Kundenbereich | Freeware

kronsoft-Datenschutz-Glossar

Ihr Datenschutz-Glossar
bereitgestellt von kronsoft

Archivierung
Akteneinsicht
Audit
Aufgabe des Datenschutzes
Aufsichtsbeh├Ârde
Auftragsdatenverarbeitung
Auftragskontrolle
Auskunftsrecht
Automatisierte Verarbeitung
Automatisiertes Abrufverfahren
Bundesdatenschutzgesetz (BDSG)
Benutzerkontrolle
Besondere Arten personenbezogener Daten
Bring Your Own Device (BYOD)
Callcenter
Cloud
Customer Relationship Management (CRM)
Computerviren/Diskettenlaufwerke/ CD-ROM-Laufwerke/USB-Stick
Datengeheimnis
Datenschutz-Ist-Analyse
Datenschutz-Zertifizierung
Datenschutzaudit
Datenschutzbeauftragter
Datenschutzbeauftragter Software
Datenschutzgrundlagen
Datenschutzumsetzung
Datenschutzumsetzung 2
Datenschutzumsetzung 3
Datenschutzumsetzung 4
Datenschutzzertifikat
Datensparsamkeit
Datentransfer in Drittl├Ąnder
Datentr├Ągerkontrolle
Datenverarbeitung
Datenverarbeitungsanlage
Digitale Signatur
Drittstaat
Dokumentenmanagement
Eingabgekontrolle
Fernwartung
Interessenabw├Ągung
Internet
IT-Sicherheit
Kontrolle beim Einsatz von PCs
Konventionelle Telefaxger├Ąte
Laptops/Notbeooks/Blackberry
Letter Shops
L├Âschungskonzept
Meldepflicht
nicht-├Âffentliche Stelle
├Âffentliches Verfahrensverzeichnis
Organisationskontrolle
├Âffentliche Stelle
personenbezogene Daten
private Computer
Safe Harbor
Schutzstufe
Sicherheitsbereich
Speicherkontrolle
Technisch-organisatorische Ma├čnahmen (TOM)
Telearbeit
Telekommunikationseinrichtungen
Transportkontrolle
Trennungsgebot
├ťbermittlungskontrolle
verantwortliche Stelle
Verarbeitung
Verarbeitungs├╝bersicht
Verfahren
Verfahrensverzeichnis
Verfahrensverzeichnis, ├Âffentliches
Verfahrenverzeichnis
Verf├╝gbarkeitskontrolle
Vernichtung von Schrifgut und Datentr├Ągern
Video-Beobachtung und Video├╝berwachung
Weitergabekontrolle
Zugangskontrolle
Zugriffskontrolle
Zutrittskontrolle
Zweckbindung