08
August
2022

Sind Sie auch schon DSGVO-konform?

Das Internet ist voll mit solchen Werbe­aus­sagen und entspre­chenden Siegeln – Doch was bedeuten diese?

16.05.2022   Sind Sie auch schon DSGVO-​​konform?

Das Internet ist voll mit solchen Werbe­aus­sagen und entspre­chenden Siegeln – Doch was bedeuten diese?

Viele Unter­nehmen zeigen gerne, auch mit Recht, was sie im können bzw. welche Vorgaben und Struk­turen sie im Unter­nehmen leben. In der Welt der ISO-​​Normen spricht man dabei von einer Zerti­fi­zierung nach ISO Norm 9001, 13485 oder 27001, je nachdem in was das Unter­nehmen zerti­fi­ziert ist.

Möchte man sein Unter­nehmen zerti­fi­zieren lassen, stellt man einen Antrag auf Zerti­fi­zierung, führt ein entspre­chendes System ein, daraufhin kommt ein  unabhän­giger Zerti­fi­zierer und führt ein Audit durch. Ist dieses Audit zufrie­den­stellend durch­ge­führt worden, erhalten Sie Ihr Zerti­fikat. Dieses Zerti­fikat wird dann jährlich durch Überwa­chungs­audits bestätigt und in regel­mä­ßigen Abständen auch vollständig neu auditiert. 

Die ISO-​​9001 verlangt z.B. alle 3 Jahre ein solches Rezer­ti­fi­zie­rungs­audit und dazwi­schen jeweils ein Überwa­chungs­audit. Diese Zerti­fi­zierung bzw. diese Audits gehen auf nationale oder inter­na­tionale Standards zurück und machen Unter­nehmen vergleichbar. Das bedeutet z.B. das jedes Unter­nehmen, welches über eine ISO-​​9001 Zerti­fi­zierung verfügt, einen gewissen Mindest­standard an Prozessen und Dokumenten vorweisen kann. 

Als guter Indikator dient das Zerti­fikat als Erken­nungs­merkmal dafür, dass ein Unter­nehmen struk­tu­riert arbeitet und sich fortlaufend verbessert und entwi­ckelt. Dies gibt Geschäfts­partnern und anderen Unter­nehmen eine gewisse Sicherheit über die Unter­neh­mens­struktur.

Doch wie sieht es aus wenn man zeigen will, dass sich seine Webseite oder das eigene Unter­nehmen nach der DSGVO richtet? Im Internet finden Sie heutzutage unzählige Anbieter und verschiedene Siegel, welche man als Unter­nehmen erwerben kann. Jedoch ist die Aussa­ge­kraft begrenzt und die Vergleich­barkeit erst recht. 

Warum ist das so? 

Nun, das ist ganz einfach. Es gibt in diesem Bereich, anders als in den o.g. Normen, keine Standards und keine unabhängige Stelle, welche ein solches Audit durch­führt.

Wenn Sie ein Siegel sehen, das eine DSGVO-​​Konformität bestätigt, dann hat in diesem Fall immer ein privates Unter­nehmen nach eigenen Vorgaben ein anderes privates Unter­nehmen geprüft. Eine nachweis­liche Unabhän­gigkeit bzw. eine vergleichbare Aussage über den Umfang der Prüfung ist nicht gegeben.  

Dies ist auch der Grund warum wir unseren Kunden ein solches Siegel nicht anbieten. Denn nach unserer Auffassung handelt es sich dabei lediglich um ein Werbe­siegel mit wenig Nutzen im Kontext von Unter­nehmen und keinerlei Aufzeigen von Kompe­tenzen des Unter­nehmens. 

Doch es gibt sinnvolle Alter­na­tiven, diese sind zwar aufwendig, bringen Ihnen aber einen Mehrwert in der Entwicklung und der Vergleich­barkeit von Unter­nehmen. 

Aller­dings beziehen sich diese erst einmal nicht vorder­gründig auf die DSGVO, sondern auf das Thema Infor­ma­ti­ons­si­cherheit. Hier gibt es 2 „BIG-​​Player“. Zum Einen der IT-​​Grundschutz des BSI (Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik) und die Norm ISO-​​27001 (in der Automobile Branche haben wir noch TISAX). Dazu kommen noch weitere private Zerti­fi­zierer wie z.B. CISIS12.  

Von diesen 3 genannten ist aber nur die ISO-​​27001 inter­na­tional vergleichbar und anerkannt. Den BSI Grund­schutz können Sie auch auf Basis der ISO-​​27001 erwerben, dies kommt dann einer ISO-​​27001 Zerti­fi­zierung gleich. Wollen Sie jetzt noch Ihre Fähig­keiten in der DSGVO nachweisen, können Sie zusätzlich zu ISO-​​27001 eine Zerti­fi­zierung nach ISO-​​27701 durch­führen lassen. 

Dies ist aktuell die einzige Möglichkeit ein unabhän­giges und vergleich­bares Zerti­fikat als Nachweis zur Erfüllung der Anfor­de­rungen der DSGVO zu erhalten. 

Viele Zahlen, viel Text – Wir fassen zusammen:

  • Es gibt im Moment nur eine Möglichkeit unabhängig und vergleichbar den Daten­schutz im Unter­nehmen zerti­fi­zieren zu lassen: ISO27701 in Kombi mit BSI Grund­schutz oder ISO-​​27001
  • Alle anderen Zerti­fikate sind von privaten Unter­nehmen und sind in Umfang und Vergleich­barkeit einge­schränkt.
  • CISIS12 ist ein privater Anbieter, mit einer guten Struktur.  Eine unabhängige Zerti­fi­zierung über die DQS (Deutsche Gesell­schaft zur Zerti­fi­zierung von Manage­ment­sys­temen) ist möglich.
  • Lesen Sie gerne mal kritisch das Klein­ge­schriebene bei Anbietern von privaten Siegeln.

Das Thema Daten­schutz und Infor­ma­ti­ons­si­cherheit spielt immer häufiger eine große Rolle.

Um zu zeigen, dass Sie gut aufge­stellt sind und das Thema angemessen bearbeiten, bietet die ISO-​​27701 ein aufwen­diges aber sehr gutes Tool. 

Selbst wenn Sie aktuell keine Zerti­fi­zierung anstreben, lohnt sich ein Blick in diese Richtung. Denn auch ohne Zerti­fi­zierung kann Ihr Unter­nehmen sehr von den möglichen Struk­turen profi­tieren.

Wir sind als Berater im Bereich  IT-​​Grundschutz, sowie als ISO-​​27000 Office und Lead Auditor bestens geschult um Ihnen von der ersten Frage bis zum Zerti­fikat kompetent Auskunft zu geben zu können. 

 

Copyright © 2023 QS-​​Kornmann