Als erstes Unternehmen in Österreich wurde die DSGVO-zt GmbH von der österreichischen Datenschutzbehörde als DSGVO (Datenschutzgrundverordnung) Zertifizierungsstelle nach Art.42 DSGVO akkreditiert. Die Akkreditierung erfolgte nach einem aufwendigen Genehmigungs- und Konsultationsverfahren unter Einbindung des Europäischen Datenschutzausschusses (EDSA). Produkte, Prozesse und Dienstleistungen können somit zertifiziert werden.
Die DGSVO-zt will mit der Zertifizierung zuallererst Unternehmen ansprechen, die große Mengen personenbezogener Daten verarbeiten, etwa Banken, Versicherungen oder Telekom-Anbieter.
„Mit einem DSGVO Zertifikat weisen Unternehmen sofort und sichtbar nach, dass sie DSGVO-konform agieren. Einem solchen Zertifikat kommt insbesondere in Verfahren vor Behörden und Verwaltungsgerichten besonderes Gewicht zu“, erklären Peter Gelber und Wolfgang Fiala, Gründer und Geschäftsführer der DSGVO-zt GmbH.
DSGVO-Zertifikat
Ein DSGVO-Zertifikat ist bis zu drei Jahre gültig, abhängig vom technologischen Fortschritt.
Zertifiziert werden können:
- Produkte (Beispiele dafür sind Apps, SW-Tools, Standard-Software)
- Prozesse (Beispiele dafür sind Verarbeitungstätigkeiten wie z.B. Bonitätsprüfung)
- Dienstleistungen (Beispiele dafür sind Web-Services, Druck- / Versand-Dienstleistungen)
Zertifizierungsablauf
- Zertifizierungs-Antrag: Die Unterlagen des Kunden zum Zertifizierungsobjekt werden von der Zertifizierungsstelle DSGVO-zt auf Durchführbarkeit geprüft und münden üblicherweise in der Zertifizierungsvereinbarung.
- Zertifizierungsvereinbarung: In dieser Vereinbarung werden die Rechte und Pflichten sowohl des Kunden als auch der ZeSt festgelegt.
- Self-Assessment: Der Kunde führt mittels Checklisten, die an das Zertifizierungsobjekt angepasster sind, das Self-Assessment (Selbstauskunft) durch.
- Zertifizierungsaudit: Das von der DSGVO-zt durchgeführte Audit kann als Web- oder Vor-Ort-Audit durchgeführt werden und ist abhängig von der Komplexität des Zertifizierungsobjektes. Es liefert als Ergebnis eine Auditbewertung entsprechend den Zertifizierungskriterien.
- Auditbestätigung: Durch zweiten unabhängigen Auditor wird das Ergebnis des Zertifizierungsaudits geprüft und ein Vorschlag zur Zertifikatsausstellung ausgearbeitet.
- Zertifikat: Das Zertifikat wird von der Leitung der Zertifizierungsstelle entsprechend dem Vorschlag der Auditbestätigung ausgestellt.
Strafen bei Datenschutzverstößen
Die Experten warnen davor, das Thema Datenschutz auf die leichte Schulter zu nehmen. Die DSGVO sieht bei Datenschutzverstößen eine Strafe von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens vor. Allein im Jahr 2023 wurden Unternehmen EU-weit zu Strafgeldern in der Höhe von 2,1 Milliarden Euro verurteilt.
Die Datenschutzbehörde kann aus drei Gründen tätig werden:
- Sie kann jederzeit eine Prüfung von Amts wegen anordnen,
- sie wird in der Regel bei Beschwerden tätig sowie
- bei Datenschutzvorfällen, sofern diese meldepflichtig sind.
Vorteile durch die DSGVO Zertifizierung
„Kann ein DSGVO-Zertifikat vorgelegt werden, hat das Unternehmen einen klaren Vorteil. Das Zertifikat ist ein sichtbarer Nachweis, dass der Datenschutz im Unternehmen ernst genommen wird. Wird in einem Verfahren ein DSGVO-Zertifikat nach Art.42 vorgelegt, muss und wird die Behörde das jedenfalls berücksichtigen“, erklärt Wolfgang Fiala.
Ein Zertifikat bestätigt die externe Prüfung und Bestätigung der Konformität und gibt daher Sicherheit – Unternehmen bekommen damit den Nachweis, gewissenhaft und DSGVO-konform zu agieren. Zudem haben Unternehmen mit entsprechender Zertifizierung einen Vorsprung gegenüber Mitbewerbern, der sich auch gut vermarkten lässt.
„Eine Bank, die sich als erstes Finanzinstitut dem Thema DSGVO-Zertifizierung widmet, könnte dies öffentlichkeitswirksam kommunizieren“, ergänzt Wolfgang Fiala.
Die Expertengruppe ist überzeugt, dass in einigen Jahren die Zertifizierung in einigen Branchen zum Standard gehören wird. Bereits heute wird ein DSGVO-Zertifikat bei Ausschreibungen positiv mit Zusatzpunkten bewertet.