Regelmäßig wird nach dem aktuellen Stand eines im Aufbau befindlichen „Datenschutz-Siegel einer staatlichen anzuerkennenden Zertifizierungsstelle“ gefragt. Es ist geplant, dieses Siegel neben unserem bereits bekannten und etablierten ePrivacyseal anzubieten, sobald die Akkreditierung abgeschlossen ist.
Das staatliche Verfahren, das seitens der Deutschen Akkreditierungsstelle (DAkkS) gesteuert wird, zieht sich jedoch nach wie vor in die Länge. Der erste Antrag auf Akkreditierung des Konformitätsbewertungsprogramms wurde bereits vor über vier Jahren gestellt. Bislang ist ein Ende des Verfahrens noch nicht abzusehen. Trotz langsam mahlender Mühlen der Behörden sind wir zwischenzeitlich große Schritte vorangekommen:
Erreichte Meilensteine auf dem Weg zum staatl. akkreditierten Datenschutz-Siegel:
Mai 2016 DSGVO tritt in Kraft
Mai 2018 DSGVO-Einführung; Ende DSGVO-Übergangsfrist
Feb 2019 Antragstellung auf ein staatlich akkreditiertes Datenschutz-Siegel
Dez 2020 DAkkS-Beschluss: alle Nicht-Konformitäten des Programms geschlossen
Juli 2021 finale fachliche Bewertung der zuständigen Datenschutz-Behörde
Juni 2022 zuständige Datenschutz-Behörde bestätigt DAkkS-Beschluss
Aug 2022 Unterlagen für EDSA-Stellungnahme werden vorgelegt
Sep 2022 Unterlagen für Zertifizierungsstelle werden eingereicht
Okt 2022 Rückmeldung des Programmausschusses der DAkkS
Feb 2023 Bestätigung der DAkkS: alle Auflagen vom Programmausschuss erfüllt
Feb 2023 Vor-Ort-Prüfung Zertifizierungsstelle durch DAkkS und Datenschutz-Behörde
Die letzte derzeit offene Anforderung ist damit nun die zusätzliche Einholung einer Stellungnahme des Europäischen Datensschutzausschusses (EDSA). Der europäische Gesetzgeber sieht diese zusätzliche Stellungnahme vor, obwohl das gesamte Verfahren bereits durch die deutschen Aufsichtsbehörden geprüft wurde.
Das Vorverfahren hierzu läuft bereits, das offizielle Verfahren ist aber noch nicht terminiert. Darüber hinaus ist man von der Finalisierung der Genehmigung der Zertifizierungsstelle seitens der DAkkS abhängig. Wir rechnen damit im Herbst/Winter 2023.
Das weitere Vorgehen
Ein staatlich anerkanntes Datenschutz-Siegel soll einen hohen Stellenwert haben und umfangreich genutzt werden können. Dieses Ziel verfolgen wir auch beim Aufbau des staatlich anzuerkennenden Datenschutz-Siegels.
Demgegenüber stellt sich die aktuelle Entwicklung des geplanten staatlichen Datenschutz-Siegel folgendermaßen dar:
- begrenzte Einsatzmöglichkeiten eines staatlichen Datenschutz-Siegels (nur für konkrete Datenverarbeitungen möglich, aber nicht für reine SW-Produkte, Plattformen etc.)
- geplante staatliche Datenschutz-Siegel werden aktuell i.d.R. spezifisch für bestimmte Teilbereiche, aber nicht umfassend aufgebaut (z.B. nur für Processor, Cloud-Anwendungen, Webseiten, spezielle eHealth-Anwendungen etc.)
- für den großen Bedarf generischer DSGVO-Prüfungen in der Digitalbranche eignet sich ein staatliches Datenschutz-Siegel nicht
- ein rein generisches staatliches Datenschutz-Siegel ist nicht möglich, da nach den Anforderungen der Behörden für alle zu prüfenden Prozesse vorab die genauen Kriterien und Prüfungsmethoden detailliert durch die Behörden genehmigt werden müssen
- begrenzter zusätzlicher Nutzen gegenüber anderen Datenschutz-Siegeln (d.h. nur zusätzlich gewisse Haftungs- und Dokumentations-Erleichterungen)
- sehr hoher administrativer Aufwand beim Aufbau und beim Betrieb einer Zertifizierungsstelle führt auch zu hohen Kosten des Siegels
- hoher Aufwand für Siegel-Inhaber bei Dokumentation, Prozess-Detailierung etc. (hohe interne Kosten)
- der Fokus auf Verbesserung des Datenschutzes für Siegelinhaber könnte gegenüber der notwendigen Dokumentationserfordernissen vernachlässigt werden
Wir werden weiterhin unser beantragtes Datenschutz-Siegel vervollständigen und intensiv die abschließende Genehmigung verfolgen. Jedoch stellen wir uns auf eine begrenzte, wenn auch sinnvolle Anwendung dieses Siegel ein. Für Interessenten empfiehlt sich, aufgrund der begrenzten Einsatzmöglichkeiten, der Komplexität und der zu erwartenden Kosten, ein staatliches Datenschutz-Siegel nur Bereichen anzustreben, wenn
- ein solches Siegel gesetzlich vorgeschrieben ist (z.B. bei digitalen Gesundheitsanwendungen in Deutschland (DiGA) ab 2024) oder
- der jeweilige Markt ein solches Siegel sehr stark erwartet und andere alternative Datenschutz-Siegel nicht ausreichen.
Möglichkeiten für Interessenten
In vielen Fällen sind die Vorteile eines staatlich anerkannten Datenschutz-Siegels nicht allzu groß. Die Anforderungen an die Umsetzung und der wirtschaftliche Aufwand werden aber regelmäßig sehr hoch sein, genauso wie der Zeitbedarf und die Unsicherheit, ob ein Siegel tatsächlich verliehen werden kann.
Als gute Alternative existieren neben den geplanten, staatlich anerkannten Datenschutz-Siegeln weiterhin auch bekannte und seit langem genutzte Datenschutz-Siegel, ohne staatliche Anerkennung (wie z.B. das ePrivacyseal):
- Konzentration auf Datenschutz-Umsetzung
- gute Unterstützung der DSGVO-Compliance
- weniger aufwändige Zertifizierungsprozesse führen zu geringeren Kosten
- gute Einsatzchancen u.a. auch durch weltweite Anwendung
- keine staatliche Anerkennung nach Art. 42,43 DSGVO
- Datenschutz-Siegel als Vorstufe zum staatlichen Siegel aber auch eigenständig nutzbar
Für viele Unternehmen wird es also bessere Lösungen geben, als die Beantragung eines staatlichen Gütesiegels, da es zu kostspielig und zu zeitaufwändig sein wird.
Das gilt umso mehr, als das staatliche Datenschutzgütesiegel aufgrund eines „Webfehlers“ des Gesetzgebers gerade in der Digitalbranche kaum praktische Anwendung finden wird. Das liegt daran, dass das staatliche Datenschutzgütesiegel nur für konkrete Verarbeitungsprozesse beantragt werden kann. Die meisten Unternehmen der Onlinebranche bieten jedoch ihre Technologie ihren Kunden an und verfügen deshalb über keine eigenen Verarbeitungsprozesse, die zertifiziert werden könnten. Das wird dazu führen, dass das staatliche Gütesiegel aller Voraussicht nach nur auf einen Bruchteil der Unternehmen der Digitalbranche überhaupt anwendbar sein wird.
Wir vertreten den Standpunkt, dass auch Unternehmen der Digitalbranche und der Onlinemarketing Branche das Recht besitzen sollten, ihre Produkte und Dienstleistungen durch eine dritte, unparteiische Stelle zertifizieren zu lassen.
Aktuell wird das bewährte Datenschutz-Siegel ePrivacyseal sehr erfolgreich genutzt (vergebene Siegel) und sogar weiterentwickelt. Um den Bedürfnissen international agierender Unternehmen nachzukommen, wurde ein neues Datenschutz Gütesiegel entwickelt, das sogenannte „ePrivacyseal Global“:
Es bestätigt die Umsetzung von DSGVO-Anforderungen, kann weltweit genutzt werden und kann auch Produkte/Technologien auf den Einsatz in der EU vorbereiten. Das ePrivacyseal Global kann sowohl als Vorstufe für ein staatliches Datenschutz-Siegel genutzt, als auch selbstständig eingesetzt werden.
Aktuell empfehlen wir unseren Kunden bei den bekannten und bewährten Datenschutz-Siegeln, wie z.B. ePrivacyseal, zu bleiben und erst einmal abzuwarten, wie sich die staatlich anerkannten Siegel entwickeln.
Kommen Sie gerne bei Fragen auf uns zu – wir stehen auch für ein persönliches Gespräch zur Verfügung, ob unter den beschriebenen Enwticklungen für ihr Produkt oder Technologie ein staatliches Datenschutz-Siegel möglich wäre.
Oder informieren Sie sich gerne dazu in unserem nächsten kostenfreien ePrivacy Webinar:
Was Sie erwartet:
Wir informieren zum geplanten staatlich anerkannten Datenschutz-Siegel: aktueller Stand, Anwendungsbereiche, Vorgehensweise, Vorbereitungen vor Antragstellung, alternative Lösungsmöglichkeiten.
Wann findet das Webinar statt:
20. April 2023, 12:00 Uhr, Dauer ca. 30-40 Minuten
An wen richtet sich das Webinar:
Datenschutzbeauftragte im Unternehmen, Unternehmensjuristen,
Verantwortliche für Marketing und/oder Produkte
Referent:
Prof. Dr. Christoph Bauer ePrivacy GmbH, Gründer und Geschäftsführer