Kriterienkatalog

Mit dem Zertifizierungsstandard DSGVO – information privacy standard können Verarbeitungsvorgänge als IT-gestützte Verarbeitung personenbezogener Daten gem. Art. 42 DSGVO zertifiziert werden. Der Zertifizierungsstandard folgt einem generischen Ansatz, wonach sowohl Verantwortliche als auch Auftragsverarbeiter zertifiziert werden können - in allen möglichen Branchen. DSGVO – information privacy standard besteht aus einer spezifischen Vorgehensweise und 50 konkreten Kriterien.

Anwendung des Zertifizierungsstandards

Die DSGVO – information privacy standard-Vorgehensweise sieht drei zentrale Bestandteile vor:

  • Scope-Beschreibung
  • Statement of Applicability (SoA)
  • Realisierungsbeschreibung

Scope-Beschreibung

Zur Anwendung des Zertifizierungsstandards DSGVO – information privacy standard ist zunächst der Bewertungsgegenstand – also die zu zertifizierende Datenverarbeitung – exakt zu bestimmen. Dazu muss eindeutig beschrieben sein, welche Verarbeitungsvorgänge exakt zum Bewertungsgegenstand gehören, an welchen Standorten diese Tätigkeiten erbracht werden, welche externen Dritte (z. B. Dienstleister, Auftragsverarbeiter, Behörden, Schwestergesellschaften oder Holding) ggf. einbezogen sind, welche IT-Komponenten erforderlich sind und auch welche Prozesse in einer Organisation etabliert sind, um die Datenverarbeitung insgesamt darstellen zu können. Diese eindeutige Festlegung ist nicht nur für die Organisation wichtig, sondern auch für die Evaluatoren und die Zertifizierungsstelle.

Aus diesem Grund muss die Datenverarbeitung (der Bewertungsgegenstand) – die „IT-gestützte Verarbeitung personenbezogener Daten“ – durch folgende Elemente (Zielobjektkategorien) charakterisiert werden:

  • Verarbeitungsvorgänge (VV) zur Konkretisierung der zu zertifizierenden Datenverarbeitung
  • Datenschutz-Managementsystem (DSMS) mit den internen Prozessen zur Steuerung der Datenschutz-Konformität
  • Prozesse (PRZ) mit den Tätigkeiten, die für die konkrete Datenverarbeitung (DV) benötigt werden; Prozesse (PRZ) werden definiert als eine Reihe von in Wechselbeziehung oder Wechselwirkung miteinander stehenden Tätigkeiten, die Eingaben nutzen, um ein angestrebtes Ergebnis zu liefern, die für die zu zertifizierende Datenverarbeitung erforderlich sind
  • Physische Infrastruktur (INFRA) mit Standorten und Räumen
  • IT-Infrastruktur (IT) mit allen relevanten Komponenten, z.B. Servern, Clients, Netzkomponenten, Datenbanken, Speichersystemen und Schnittstellen
  • Applikationen (APPL), über die die Datenverarbeitung realisiert wird
  • Externe Dritte (DL), z. B. Dienstleister, Auftragsverarbeiter, Behörden, Schwestergesellschaften oder Holding, die für die Realisierung der Datenverarbeitung benötigt werden oder an die personenbezogene Daten übermittelt werden, sofern relevant

Statement of Applicability (SoA)

Der generische Ansatz von DSGVO – information privacy standard erfordert, dass nach der Festlegung des Bewertungsgegenstand die Freiheitsgrade soweit eliminiert werden, dass der konkrete Maßstab feststeht. Das sogenannte „Statement of Applicability (SoA)“ wird durch sieben Fragen erstellt:

  • Frage 1: Auf welcher Rechtsgrundlage werden die einzelnen Verarbeitungsvorgänge der zu zertifizierenden Datenverarbeitung durchgeführt? Hierüber wird die konkrete gesetzliche Grundlage festgelegt, beispielsweise Art. 6 Abs. 1 DSGVO. Aber auch eine Verarbeitung im Auftrag als Auftragsverarbeitung oder die Verarbeitung von Art. 9- oder Art. 10-Daten wird hierüber fixiert.
  • Frage 2: Werden externe Dritte (DL) im Geltungsbereich eingesetzt?
  • Frage 3: Besteht für den Verantwortlichen bzw. Auftragsverarbeiter die Pflicht, einen Datenschutzbeauftragten (DSB) zu bestellen?
  • Frage 4: Besteht für den Verantwortlichen bzw. Auftragsverarbeiter die Pflicht, ein „Verzeichnis von Verarbeitungstätigkeiten“ (VVT) vorzuhalten?
  • Frage 5: Besteht die Notwendigkeit, eine „Datenschutz-Folgenabschätzung“ (DSFA) durchzuführen?
  • Frage 6: Erfolgt eine Datenübermittlung in Drittstaaten? Ist der Antragsteller außerhalb der EU/EWR niedergelassen und hat einen Vertreter innerhalb der EU bestimmt?
  • Frage 7: Erfolgt eine automatisierte Entscheidung bzw. Profiling? 

Durch die Beantwortung kommen sodann die relevanten Anforderungselemente aus dem Kriterienkatalog zur Anwendung.

Realisierungsbeschreibung

DSGVO – information privacy standard sieht zur Zertifizierung vor, dass zu jedem anwendbaren Kriterium die Umsetzung ausführlich dargelegt wird. 

DSGVO – information privacy standard-Kriterienkatalog

Der „Kriterienkatalog zur Zertifizierung einer IT-gestützten Verarbeitung personenbezogener Daten gem. Art. 42 DSGVO (DSGVO – information privacy standard)“ stellt die verbindlichen inhaltlichen Anforderungen für die Prüfung und Bewertung einer IT-gestützten Verarbeitung personenbezogener Daten gem. Art. 42 DSGVO dar. Er enthält neben den Kriterien auch die Vorgehensweise, um die Kriterien für eine konkrete Verarbeitungsvorgang optimal anzuwenden. Der Kriterienkatalog sieht 50 Kriterien vor, die in 8 Bereichen gruppiert sind:

P.1 Zulässigkeit der Datenverarbeitung

  • P.1.1 Identifikation Grundlagen
  • P.1.2 Rechtsgrundlage Vertrag
  • P.1.3 Rechtsgrundlage berechtigtes Interesse
  • P.1.4 Rechtsgrundlage Einwilligung
  • P.1.5 Rechtsgrundlage rechtliche Verpflichtung
  • P.1.6 Rechtsgrundlage lebenswichtige Interessen
  • P.1.7 Rechtsgrundlage öffentliches Interesse
  • P.1.8 Verarbeitung bei besonderen Kategorien personenbezogener Daten
  • P.1.9 Verarbeitung bei strafrechtlichen Verurteilungen und Straftaten
  • P.1.10 Datenverarbeitung im Auftrag

P.2 Grundsätze

  • P.2.1 Privacy-by-Design (Datenschutz durch Technikgestaltung)
  • P.2.2 Privacy-by-Default (Datenschutzfreundliche Voreinstellungen)
  • P.2.3 Zweckbindung
  • P.2.4 Datenminimierung
  • P.2.5 Richtigkeit
  • P.2.6 Speicherbegrenzung
  • P.2.7 Treu und Glauben

P.3 Pflichten des Kunden

  • P.3.1 Informationspflichten des Kunden

P.4 Auftragsverarbeitung

  • P.4.1 Vertrag zur Auftragsverarbeitung (AV-Vertrag)
  • P.4.2 Umsetzung der Maßnahmen gem. AV-Vertrag
  • P.4.3 Audit

P.5 Technisch-organisatorische Maßnahmen

  • P.5.1 Festlegung geeigneter Maßnahmen
  • P.5.2 Zutrittskontrolle (Vertraulichkeit und Integrität auf Ebene der physischen Zutritte)
  • P.5.3 Zugangskontrolle (Vertraulichkeit und Integrität auf Ebene der Systemzugänge)
  • P.5.4 Zugriffskontrolle (Vertraulichkeit und Integrität auf Ebene der Anwendungszugriffe)
  • P.5.5 Transportkontrolle (Vertraulichkeit und Integrität auf Transport-Ebene)
  • P.5.6 Trennungskontrolle
  • P.5.7 Eingabekontrolle
  • P.5.8 Verfügbarkeitskontrolle
  • P.5.9 Pseudonymisierung / Anonymisierung
  • P.5.10 Überprüfung, Bewertung und Evaluierung

P.6 Datenschutz-Management

  • P.6.1 Fortlaufende Datenschutz-Kontinuität
  • P.6.2 Datenschutzbeauftragter
  • P.6.3 Verpflichtung auf Vertraulichkeit / Schulungen
  • P.6.4 Verzeichnis von Verarbeitungstätigkeiten
  • P.6.5 Datenschutz-Folgenabschätzung
  • P.6.6 Meldung von Datenschutzverletzungen
  • P.6.7 Zusammenarbeit mit Aufsichtsbehörden

P.7 Datenverarbeitung außerhalb der EU

  • P.7.1 Datenübermittlung in Drittstaaten
  • P.7.2 Vertreter innerhalb der EU

P.8 Betroffenenrechte

  • P.8.1 Recht auf Auskunft
  • P.8.2 Recht auf Berichtigung
  • P.8.3 Recht auf Löschung ("Recht auf Vergessenwerden")
  • P.8.4 Recht auf Einschränkung
  • P.8.5 Mitteilungspflicht
  • P.8.6 Recht auf Datenübertragbarkeit
  • P.8.7 Recht auf Widerspruch
  • P.8.8 Recht auf Widerruf bei Einwilligung
  • P.8.9 Automatisierte Entscheidungen / Profiling
  • P.8.10 Beschwerde-Management

Jedes Anforderungselement enthält neben der konkreten Anforderung auch den Verweis auf die gesetzliche Grundlage. Zusätzlich werden typische Nachweise dargestellt.

Kriterienkatalog

Zertifizierungsprozess

Ein DSGVO – information privacy standard-Zertifikat ist drei Jahre gültig, nach der Erst-Zertifizierung sind jährliche Überwachungen vorgesehen. Es ist ein klassisches Zwei-Stufen-Verfahren etabliert, wonach ein Evaluationsteam – bestehend aus Juristen und Technikern – den Verarbeitungsvorgang in allen Facetten untersucht, bevor die Zertifizierungsstelle ein Zertifikat erteilen kann. Die Dauer und die Kosten für die Zertifizierung hängen stark vom Bewertungsgegenstand und dem Umfang und der Anzahl der Verarbeitungsvorgänge, der Anzahl der Mitarbeiter, der verwendeten Apps und der Standorte ab.

Ablauf eines Zertifizierungsverfahrens

Schema Ablauf eines Zertifizierungsverfahrens nach dem DSGVO – information privacy standard

Ihr Ansprechpartner

Bei allen Fragen rund um DSGVO – information privacy standard stehen wir Ihnen gerne zur Verfügung.

Sönke Maseberg

Dipl.-Math.

Dr. Sönke Maseberg

Geschäftsführer

E-Mail: office@re-move-this.datenschutz-cert.de

Telefon: +49 421 69 66 32-550

DSGVO – information privacy standard ist der Standard für DSGVO-Zertifikate

blaues Outlinebild eines Bürohauses

Zertifikat erlangen

Sie streben ein DSGVO-Zertifikat an? DSGVO – information privacy standard ist Ihr Zertifikat für DSGVO-konforme IT-gestützte Datenverarbeitungen.

Mehr erfahren

blaues Outlinebild eines Siegels

Zertifizierungsstelle werden

Sie möchten DSGVO-Zertifikate erteilen?

Werden Sie Zertifizierungsstelle für DSGVO – information privacy standard.

Mehr erfahren

 

blaues Outlinebild eines Gebäudes mit einer Stilisierten Person

Informationen für Berater

Sie möchten DSGVO – information privacy standard beraten und unterstützen?

Mehr erfahren