Die Datenschutz-Grundverordnung (DSGVO) ist komplex und nicht immer leicht zu verstehen – sowohl für Unternehmen als auch für ihre Kundschaft. Mit dem European Data Protection Seal soll nun ein freiwilliges Zertifikat für mehr Klarheit sorgen.
Mit der Datenschutz-Grundverordnung (DSGVO) hat die EU 2018 einen einheitlichen Rechtsrahmen für den Datenschutz innerhalb der Union geschaffen. Ein Kritikpunkt daran ist die Komplexität der Anforderungen: Für so manche Organisation ist schwer einzuschätzen, ob sie tatsächlich allen Vorgaben folgt oder wo es noch hakt. Und für die Kunden ist nicht einfach ersichtlich, ob ein Unternehmen DSGVO-konform arbeitet. Gerade im B2B-Bereich ist das aber höchst relevant, denn Unternehmen müssen etwa sicherstellen, dass Dienstleister ebenfalls den Datenschutzregeln folgen.
Beide Aspekte soll nun das „European Data Protection Seal“ als unabhängiges Gütesiegel beheben.
Das Siegel ist dabei eine freiwillige Zertifizierung, die nach einer unabhängigen Prüfung die rechtskonforme Umsetzung der DSGVO bescheinigt. Es soll auf diese Weise Transparenz für Kunden und einen Wettbewerbsvorteil für Unternehmen schaffen. Vergeben wird das Siegel von speziell akkreditierten Zertifizierungsstellen. Sie arbeiten auf Basis europaweit einheitlicher Kriterien des European Data Protection Board, der EU-Datenschutzbehörde.
Damit Unternehmen das European Data Protection Seal erhalten, müssen sie umfangreiche und strengen Prüfkriterien erfüllen. Dabei untersucht die Zertifizierungsstelle sämtliche internen Prozesse und Massnahmen rund um die Verarbeitung personenbezogener Daten.
Zu den Punkten der Checkliste gehören unter anderem die Datenschutz-Folgenabschätzung, datenschutzfreundliche Voreinstellungen oder auch Sicherheitsmassnahmen wie Verschlüsselung und Zugriffskontrolle. Ausserdem begutachten sie, inwiefern die Betroffenenrechte korrekt berücksichtigt sind und sie überprüfen Verträge mit Auftragsverarbeitern. Das Unternehmen muss alle Kriterien vollständig erfüllen.
Das European Data Protection Seal gibt es für zwei unterschiedliche Anwendungsfälle:
Stellt sich noch die Frage, inwiefern sich der Aufwand für das Siegel lohnt.
Auf der Habenseite steht, dass dieses unabhängig vergebene Zertifikat Transparenz und Vertrauen im Verhältnis zwischen Kunden und Unternehmen schaffen kann. Verbraucher und Unternehmenskunden können sich dann darauf verlassen, dass die Produkte und Dienstleistungen eines Anbieters einem hohen Datenschutzstandard folgen.
Für Unternehmen bietet die Zertifizierung die Chance, Datenschutzmanagement und -prozesse auf den Prüfstand zu stellen und zu optimieren. Zudem kann die unabhängige Bestätigung der DSGVO-Konformität die Reputation stärken und Wettbewerbsvorteile sichern.
Im Vergleich zu rein nationalen Siegeln ist das European Data Protection Seal EU-weit einheitlich anerkannt.
Kritisch liesse sich anmerken, dass die Zertifizierung allein keine fortlaufende Garantie für Compliance bietet. Die Zertifizierung prüft die Prozesse eines Unternehmens schliesslich zu einem bestimmten Zeitpunkt. Danach muss das Unternehmen die Prozesse weiterhin korrekt umsetzen und auf Veränderungen reagieren.
Zudem ist das heute noch wenig bekannte Siegel für Verbraucher eventuell schwer greifbar. Es wird vor allem dann eine wichtige Rolle spielen, wenn das Vertrauen in die Datenverarbeitung ein wesentliches Entscheidungskriterium für oder gegen ein Unternehmen ist.
Auch für Unternehmen in der Schweiz kann das European Data Protection Seal interessant sein. Zum einen sind Schweizer Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, direkt der DSGVO verpflichtet. In diesem Fall kann die Zertifizierung helfen, die Compliance mit der DSGVO nachzuweisen.
Zum anderen orientiert sich auch das revidierte Schweizer Datenschutzgesetz stark an der DSGVO. Unternehmen, die die Kriterien für das European Data Protection Seal erfüllen, dürften daher meist auch die Anforderungen des Schweizer Datenschutzrechts gut umsetzen.
Ob sich das European Data Protection Seal langfristig gegenüber rein nationalen Lösungen durchsetzen kann, wird die Zukunft zeigen. Das Potenzial einer unabhängigen Prüfung und Zertifizierung ist grundsätzlich positiv. Unternehmen werden jedoch kritisch abwägen, ob sich Aufwand und Kosten für sie lohnen.
