1.
Einleitung ^
Zertifizierung von betrieblichen Datenschutzprozessen und auch Datenschutzbeauftragten wird in der EU-DSGVO eine wichtige Rolle spielen. Dies öffnet für die Wirtschaft neue Möglichkeiten für besseren Datenschutz, aber auch Gefahren, wie etwa durch unterschiedliche kommerzielle «Zertifizierungskurse» mit variabler Qualität. Der Aufsatz diskutiert die rechtlichen und organisatorischen Rahmenbedingungen für eine von der EU geforderten nationalen Reglementierung zukünftiger Zertifizierungen von Datenschutzbeauftragten. Wir zeigen, dass hier als Basis noch Bedarf für Normenkonkretisierung besteht, und zeigen Wege auf wie europaweit anerkannte Zertifizierungssysteme aussehen könnten.
2.
Grundlagen der normenkonformen Zertifizierung ^
2.1.
Wie entstehen Normen? ^
2.1.1.
Nationale Normen ^
2.1.2.
Internationale Normen ^
Auf internationaler Ebene funktioniert der Prozess der Normung ähnlich wie auf nationaler Ebene, es werden Working Groups gebildet, die auf nationaler Ebene quasi als «Spiegelkomitees» auftreten. Beschlüsse, die auf nationaler Ebene gefasst werden, können in internationalen Gremien durch den Komitee Manager eingebracht werden und müssen auf Länderebene einstimmig erfolgen. Der Prozess der Beschlussfassung ist durch entsprechende Geschäftsordnungen der Normungsorganisation definiert. Interessant ist in diesem Zusammenhang, dass auf ISO-Ebene jedes Land nur eine Stimme hat, unabhängig von der Größe des Landes. In diesem Prozess ist auch vorgesehen, dass jedes Land auch neue Normen initiieren kann.
2.2.
Vorgaben der EU ^
2.2.1.
Article-29 Working Party ^
Darin wird auch speziell das Thema «Betrieblicher Datenschutzbeauftragter» konkret behandelt, seine Aufgabenpflichten und Rechte und somit kann dieses Dokument als Basis für Zertifizierungsvorgaben herangezogen werden.
2.2.2.
Empfehlungen der ENISA ^
2.3.
Nationale Basisnormen für die EU-DSGVO in Österreich ^
Als gesetzliche Grundlage wurde in Österreich das Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 – DSG 2000), BGBl. I Nr. 165/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 83/2013 und die Kundmachung BGBl. I Nr. 132/2015, am 31. Juli 2017 mit dem Kurztitel «Datenschutz-Anpassungsgesetz-2018»7 adaptiert. Einige wesentliche Änderungen konnten mangels einer möglichen Zweidrittelmehrheit im Parlament (Verfassungsparagraphen) nicht umgesetzt werden, daher ist in absehbarer Zeit mit einer Novellierung dieses Gesetzes zu rechnen.
3.1.
Zertifizierung ^
3.2.
Datenschutzbeauftragter ^
4.1.
Notwendigkeit eines Datenschutzbeauftragten ^
4.2.
Qualitätssteigerung durch interne oder externe Beratung ^
4.3.
Datenschutzmanagementsysteme zum Abbilden von Prozessen ^
4.4.
Vorteile für Organisationen ^
Ein nach definierten Kriterien (Normen) zertifizierter Datenschutzbeauftragter gibt Organisationen und deren Partnern und Kunden den Nachweis, dass gesetzlich erforderliche Maßnahmen eingehalten werden. Dies bezieht sich nicht nur auf externe Dienstleistungen, sondern auch auf Personal und Image des Unternehmens in Form der Arbeitgebermarke (engl. Employer Branding). Dadurch ergibt sich ein klarer Wettbewerbsvorteil.
5.
Fazit ^
Normen dienen der Standardisierung von Vorgängen und Prozessen als Resultat von bekannten «Best Practises». Eine normenkonforme Zertifizierung zum Datenschutzbeauftragten bringt daher Organisationen, die solche zertifizierten Mitarbeiter beschäftigen oder beauftragen, ein hohes Maß an (Rechts)Sicherheit und vielfältige ökonomische Vorteile. Derzeit wird eine Vielzahl von unterschiedlichen Zertifizierungen zum Datenschutzbeauftragten am Markt angeboten, denen eine gegenseitige Abstimmung, Anerkennung und Offenlegung der Curricula sowie der Fragenkataloge fehlt. Damit ist auch nicht gewährleistet, dass ein Katalog von Mindestanforderungen erfüllt ist. Ziel sollte sein: Ein erfolgreicher Absolvent eines Zertifizierlehrgangs der Institution A sollte (auf europäischer Ebene) auch die Zertifizierung bei Institution B erlangen.
- 1 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection ofnatural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), ABl. L 119/1 of 4 May 2016.
- 2 http://ec.europa.eu/justice/data-protection/files/eujls08b-1002_-_protection_of_personnal_data_a4_en.pdf (alle Websites zuletzt besucht am 17. Januar 2018).
- 3 The Article 29 Working Party, composed of representatives from all EU Data Protection Authorities, the EDPS andthe European Commission, was set up under the Directive 95/46/EC. It has advisory status and acts independently.
- 4 Guidelines on Data Protection Officers («DPOs»), 16/EN WP 243 rev.01.
- 5 European Union Agency for Network and Information Security, Europäische Agentur für Netz- und Informationssicherheit, Details siehe http://www.enisa.europa.eu.
- 6 Details siehe https://www.enisa.europa.eu/publications/recommendations-on-european-data-protection-certification/at_download/fullReport.
- 7 NR: GP XXV RV 1664 AB 1761 S. 190. BR: 9824 AB 9856 S. 871.[CELEX-Nr.: 32016L0680].