Kontakt: +49 (0)7721 69811 00|info@vimopro.de
FacebookXingYouTubeSupportSupport

Datenschutzkonform – Werbeversprechen oder verlässlich?

Immer wieder sieht man bei Produkten oder auf Webseiten ein großes „DSGVO-konform“ Siegel oder andere schöne Aussagen, die Konformität zum Datenschutz versprechen. Doch was hat es damit auf sich und können Sie sich darauf verlassen?

„Datenschutzkonform“ – zeigen Sie mir ein Gesetz, das „Datenschutz“ heißt. Bereits die Bezeichnung wirft einige Fragen auf. Was ist denn der Datenschutz? Der Datenschutz wird maßgeblich durch bestimmte Gesetze geprägt, ist aber kein geschützter Begriff in der Form. Grundsätzlich geht es um den Schutz von Daten, aber wie der Begriff tatsächlich definiert ist, wird Ihnen wohl keiner beantworten können.

„DSGVO-konform“: Hier wird es spannend. Zum einen gibt es noch mehr Gesetze als die DSGVO, die in den „Datenschutz“ eingreifen, andererseits ist es aber ein guter Anfang, um die Konformität darzustellen, denn hier finden wir wenigstens konkrete Anforderungen. Nur – was wäre denn notwendig, um die Einhaltung der Anforderungen bestätigt zu bekommen?

Ein Blick in Art. 42 DSGVO hilft: „Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.“ Wer darf diese ausstellen? Nur von den Aufsichtsbehörden oder der EU-Kommission akkreditierte Zertifizierungsstellen. Genau hier wird es schwer, denn diese existieren in Deutschland bisher noch nicht. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (kurz: BfDI) gibt nach wie vor den Hinweis heraus, dass zwar Anträge vorliegen, aber noch keine Zertifizierungsstelle danach prüfen oder gar ein Zertifikat ausstellen darf.

Es gibt zwar Best-Practice Standards wie die ISO 27701 zur Einführung eines Datenschutz Managementsystems, dabei kann aber kein Zertifikat und damit auch kein Nachweis für eine etwaige Konformität erbracht werden, da die Zertifizierung nach ISO 27001 erfolgt.

Das Prüfsiegel „DSGVO-konform“ oder „Datenschutzkonform“ gibt es also bis dato nicht. Und trotzdem: Wenn Sie nun Ihren Dienstleister oder den Vertriebler fragen, ob sie oder ihre Software „DSGVO-konform“ sind, – wird er Ihnen selbstverständlich mit „Ja“ antworten. Warum? Die Antwort ist simpel: Wer gibt schon offiziell zu, Gesetze nicht einzuhalten und dann auch noch solche, die Bußgelder in Millionenhöhe nach sich ziehen – wenn er überhaupt weiß welche Anforderungen daraus denn alles gelten.

Die Wahrheit ist, dass er eigentlich mit „Nein“ antworten müsste. Ich kenne praktisch kein Unternehmen, welches alle Regelungen und Vorschriften aus der DSGVO einhält. Dazu bräuchte man nämlich sehr viel Personal, Aktenordner und Nerven. Denn leider ist das weder stets von einem selbst abhängig noch kann man alles auf dem Schirm behalten, was notwendig ist. Selbst Kleinunternehmen haben mittlerweile so viele Verarbeitungstätigkeiten und Tools im Einsatz, dass man schwer den Überblick behalten kann, welche Daten wohin übertragen werden und wie dies dann wieder abzusichern ist. Gleichzeitig denken die meisten Unternehmen auch nicht primär an das Wohl des Auftraggebers, Mitarbeiters oder Kunden… sondern sind vielmehr darum bedacht, sich selbst abzusichern und mit wenig Aufwand das Produkt an den Markt zu bringen.

Bedeutet das, man sollte sich darauf ausruhen? Nein! Umso weniger Sie tun oder Ihrer Sorgfaltspflicht nachkommen, umso höher fällt das Bußgeld am Ende aus. Das Wichtigste ist, „sich darum gekümmert und bemüht zu haben“, die Vorschriften einzuhalten. Selbst dann kommt man vielleicht um Bußgelder und Schadensersatzforderungen nicht herum, aber sie fallen deutlich netter aus.

Sie sollten sich daher grundsätzlich bewusst sein:

  1. Es gibt aktuell keine Bestätigung für eine DSGVO-Konformität
  2. Insbesondere beim Einsatz von Software oder Dienstleistern zur Verarbeitung sollten Sie den Schutz der personenbezogenen Daten in Ihrer Verantwortung ernst nehmen und geprüft haben.
  3. Verlassen Sie sich nicht auf Aussagen in Bezug auf Prüfungen, Auditberichte oder ähnlich – die gibt es aktuell nicht in einer Form, dass eine echte Aussage zur Konformität getroffen werden könnte.

Werden Sie auch hellhörig, wenn die Aussage getroffen wird, dass ein Unternehmen durch Rechtsanwälte oder Behörden geprüft wurde. Eine Prüfung heißt erstens nicht, dass nichts festgestellt wurde (in diesem Fall fordern Sie doch einfach mal den Prüfungsbericht an). Zweitens werden solche Prüfungen derzeit immer auf Anlass durchgeführt – also würde dies vermuten lassen, dass eine entsprechende Beschwerde oder Datenschutzverletzung schon den Aufsichtsbehörden bekannt wurde. Rechtsanwälte hingegen versuchen auch immer nur die zu vertretende Partei abzusichern und so zu gestalten, dass diese am Ende keine Haftung mehr tragen muss.

Über den Autor

Samantha Sander ist für den Bereich Informationssicherheit bei vimopro verantwortlich. Sie entwickelt unter anderem das Informationssicherheitsmanagementkonzept für unsere Kunden und Dienstleistungen weiter. Sie ist als Informationssicherheitsbeauftragte, IT-Auditorin, Datenschutzbeauftragte und Beraterin tätig.
3,8 min readPublished On: 07.09.2022Kategorien: Blog, DatenschutzSchlagwörter: , , ,

Weitere Blog-Einträge:

Copyright vimopro® GmbH | Alle Rechte vorbehalten
Nach oben