16.05.2022 Sind Sie auch schon DSGVO-konform?
Das Internet ist voll mit solchen Werbeaussagen und entsprechenden Siegeln – Doch was bedeuten diese?
Viele Unternehmen zeigen gerne, auch mit Recht, was sie im können bzw. welche Vorgaben und Strukturen sie im Unternehmen leben. In der Welt der ISO-Normen spricht man dabei von einer Zertifizierung nach ISO Norm 9001, 13485 oder 27001, je nachdem in was das Unternehmen zertifiziert ist.
Möchte man sein Unternehmen zertifizieren lassen, stellt man einen Antrag auf Zertifizierung, führt ein entsprechendes System ein, daraufhin kommt ein unabhängiger Zertifizierer und führt ein Audit durch. Ist dieses Audit zufriedenstellend durchgeführt worden, erhalten Sie Ihr Zertifikat. Dieses Zertifikat wird dann jährlich durch Überwachungsaudits bestätigt und in regelmäßigen Abständen auch vollständig neu auditiert.
Die ISO-9001 verlangt z.B. alle 3 Jahre ein solches Rezertifizierungsaudit und dazwischen jeweils ein Überwachungsaudit. Diese Zertifizierung bzw. diese Audits gehen auf nationale oder internationale Standards zurück und machen Unternehmen vergleichbar. Das bedeutet z.B. das jedes Unternehmen, welches über eine ISO-9001 Zertifizierung verfügt, einen gewissen Mindeststandard an Prozessen und Dokumenten vorweisen kann.
Als guter Indikator dient das Zertifikat als Erkennungsmerkmal dafür, dass ein Unternehmen strukturiert arbeitet und sich fortlaufend verbessert und entwickelt. Dies gibt Geschäftspartnern und anderen Unternehmen eine gewisse Sicherheit über die Unternehmensstruktur.
Doch wie sieht es aus wenn man zeigen will, dass sich seine Webseite oder das eigene Unternehmen nach der DSGVO richtet? Im Internet finden Sie heutzutage unzählige Anbieter und verschiedene Siegel, welche man als Unternehmen erwerben kann. Jedoch ist die Aussagekraft begrenzt und die Vergleichbarkeit erst recht.
Warum ist das so?
Nun, das ist ganz einfach. Es gibt in diesem Bereich, anders als in den o.g. Normen, keine Standards und keine unabhängige Stelle, welche ein solches Audit durchführt.
Wenn Sie ein Siegel sehen, das eine DSGVO-Konformität bestätigt, dann hat in diesem Fall immer ein privates Unternehmen nach eigenen Vorgaben ein anderes privates Unternehmen geprüft. Eine nachweisliche Unabhängigkeit bzw. eine vergleichbare Aussage über den Umfang der Prüfung ist nicht gegeben.
Dies ist auch der Grund warum wir unseren Kunden ein solches Siegel nicht anbieten. Denn nach unserer Auffassung handelt es sich dabei lediglich um ein Werbesiegel mit wenig Nutzen im Kontext von Unternehmen und keinerlei Aufzeigen von Kompetenzen des Unternehmens.
Doch es gibt sinnvolle Alternativen, diese sind zwar aufwendig, bringen Ihnen aber einen Mehrwert in der Entwicklung und der Vergleichbarkeit von Unternehmen.
Allerdings beziehen sich diese erst einmal nicht vordergründig auf die DSGVO, sondern auf das Thema Informationssicherheit. Hier gibt es 2 „BIG-Player“. Zum Einen der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) und die Norm ISO-27001 (in der Automobile Branche haben wir noch TISAX). Dazu kommen noch weitere private Zertifizierer wie z.B. CISIS12.
Von diesen 3 genannten ist aber nur die ISO-27001 international vergleichbar und anerkannt. Den BSI Grundschutz können Sie auch auf Basis der ISO-27001 erwerben, dies kommt dann einer ISO-27001 Zertifizierung gleich. Wollen Sie jetzt noch Ihre Fähigkeiten in der DSGVO nachweisen, können Sie zusätzlich zu ISO-27001 eine Zertifizierung nach ISO-27701 durchführen lassen.
Dies ist aktuell die einzige Möglichkeit ein unabhängiges und vergleichbares Zertifikat als Nachweis zur Erfüllung der Anforderungen der DSGVO zu erhalten.
Viele Zahlen, viel Text – Wir fassen zusammen:
- Es gibt im Moment nur eine Möglichkeit unabhängig und vergleichbar den Datenschutz im Unternehmen zertifizieren zu lassen: ISO27701 in Kombi mit BSI Grundschutz oder ISO-27001
- Alle anderen Zertifikate sind von privaten Unternehmen und sind in Umfang und Vergleichbarkeit eingeschränkt.
- CISIS12 ist ein privater Anbieter, mit einer guten Struktur. Eine unabhängige Zertifizierung über die DQS (Deutsche Gesellschaft zur Zertifizierung von Managementsystemen) ist möglich.
- Lesen Sie gerne mal kritisch das Kleingeschriebene bei Anbietern von privaten Siegeln.
Das Thema Datenschutz und Informationssicherheit spielt immer häufiger eine große Rolle.
Um zu zeigen, dass Sie gut aufgestellt sind und das Thema angemessen bearbeiten, bietet die ISO-27701 ein aufwendiges aber sehr gutes Tool.
Selbst wenn Sie aktuell keine Zertifizierung anstreben, lohnt sich ein Blick in diese Richtung. Denn auch ohne Zertifizierung kann Ihr Unternehmen sehr von den möglichen Strukturen profitieren.
Wir sind als Berater im Bereich IT-Grundschutz, sowie als ISO-27000 Office und Lead Auditor bestens geschult um Ihnen von der ersten Frage bis zum Zertifikat kompetent Auskunft zu geben zu können.