AVS: Erfolgreiches Datenschutz-Audit

Bildquelle: https://pixabay.com/de/illustrations/hacker-hacken-internet-sicherheit-1944688/

Im Januar hat sich AVS erneut einem Audit für Datenschutz und Datensicherheit anhand des DSGVO-Zertifizierungsprogammes der „datenschutz cert GmbH“ unterzogen - mit Erfolg! Die „Datenschutz cert“ ist eine Zertifizierungsstelle, die auf dem Gebiet des Datenschutzes und der Informationssicherheit Konformitätsbewertungen anbietet.

Im Alltag sind unsere Kunden häufig mit dieser Fragestellung konfrontiert: „Woher weiß man, ob datenschutzrechtliche Vorgaben von einem Unternehmen eingehalten werden?“. Die einfachste und pragmatischste Lösung ist, sich dies durch ein entsprechendes Zertifikat nachweisen zu lassen. Auch AVS hat seinen Kunden in der Vergangenheit mit einem entsprechenden Zertifikat diese Sicherheit gegeben und gleichzeitig das eigene Risiko bezüglich (teurer) Datenverstöße minimiert.

Im Mai 2018 ist die neue Europäische Datenschutz-Grundverordnung (DSGVO) wirksam geworden. Mit den Artikeln 42 und 43 der DSGVO legt der Gesetzgeber einen rechtlichen Grundstein für europäisch einheitliche Akkreditierungs- und Zertifizierungsverfahren, die dazu dienen, die Einhaltung der DSGVO bei Verarbeitungsvorgängen nachzuweisen.

An diesem Punkt gelangt man zu einem Dilemma. Obgleich das Gesetz bereits eineinhalb Jahre in Kraft ist, gibt es bis heute kein Zertifizierungsverfahren, mit denen Unternehmen ein Nachweis über Datenschutzkonformität gelingen könnte. Genehmigte Zertifizierungsverfahren nach Art. 42 DSGVO setzen voraus, dass die erteilende Zertifizierungsstelle national akkreditiert ist und seitens der Datenschutzaufsichtsbehörden anerkannt wurde. Für ein EU-weit gültiges Siegel ist ferner der Europäische Datenschutzausschuss (EDSA) einzubeziehen. Akkreditierungsstellen, Behörden und EDSA sind weiterhin im Aufbau und der Abstimmung von Genehmigungsprozessen. Die „datenschutz cert GmbH“ hofft das Akkreditierungsverfahren für ihr Programm im Verlauf des Jahres 2020 abschließen zu können. Bis dahin wird das Verfahren in Pilotaudits erprobt.

AVS hat sich im Rahmen einer Wiederholungsbegutachtung, welches an frühere Zertifizierungsverfahren anknüpft, als erstes Unternehmen diesem Pilotaudit ("Auftragsverarbeitung in den Bereichen Datenmanagement, Kartensysteme, Meldescheinsysteme, Callcenter Lettershop") gestellt. Die Prüfer kamen zu dem Ergebnis, dass AVS seinen Kunden eine DSGVO-konforme Auftragsverarbeitung garantieren kann. Des Weiteren fördert AVS mit seiner hilfreichen Dokumentation und seinem vorbildlichen Datenmanagement die Einhaltung des Datenschutzes. Lediglich ein Zertifikat (in Form einer Urkunde o. Ä.) kann nicht ausgehändigt werden, solange das laufende Akkreditierungsverfahren nicht abgeschlossen ist. Mit einer späteren DSGVO Zertifizierung wird AVS voraussichtlich zu den ersten offiziell erfolgreich zertifizierten Unternehmen in Deutschland gehören.

Quellen:
https://www.datenschutz-cert.de/news/cert-news
https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_9.pdf