News
In der heutigen digitalen Welt ist Datenschutz von elementarer Bedeutung. Denn angesichts immer raffinierter werdender Cyberbedrohungen ist es für Unternehmen wichtiger denn je, personenbezogene Daten vor Missbrauch und unbefugtem Zugriff zu schützen. Zugleich stärken Unternehmen, die den Schutz sensibler Kundendaten ernst nehmen, ihre Reputation nachhaltig und langfristige Kundenbeziehungen.
Mit einer Zertifizierung gemäß Art. 42 DSGVO belegen Unternehmen objektiv die ordnungsgemäße Umsetzung der gesetzlichen Anforderungen der Datenschutz-Grundverordnung. Im Zentrum der Zertifizierung stehen Datenverarbeitungen im Hinblick auf IT-Produkte, Dienstleistungen oder im Unternehmen. Das macht die DSGVO-Zertifizierung relevant für alle Organisationen, die personenbezogene Daten mithilfe von IT-gestützten Verarbeitungsvorgängen verarbeiten und/oder speichern. Das ausgestellte Zertifikat hat dann eine formale Gültigkeit von maximal 3 Jahren.
Getreu dem Motto „Was lange währt, wird endlich gut“ steht das Datenschutzjahr 2025 ganz im Zeichen der Zertifizierung nach Art. 42 DSGVO. Zwar wurden die Voraussetzungen für die Zertifizierung durch Artikel 42 und 43 bereits mit Inkrafttreten der DSGVO geschaffen, der dahinterstehende Prozess zur Genehmigung von Zertifizierungsschemata ist allerdings komplex und zeitaufwendig. TÜVIT befindet sich mit einem eigenen Zertifizierungsprogamm derzeit im Akkreditierungsverfahren. Erste Prüfungen und Zertifizierungen sind voraussichtlich ab Ende Q2 bzw. Anfang Q3 2025 möglich.
Eine weitere Möglichkeit, um die Erfüllung spezifischer Datenschutzanforderungen unabhängig nachzuweisen, stellt die Zertifizierung nach ISO 27701 dar. Der internationale Standard erweitert ein bestehendes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 um das Thema Datenschutz. Dies umfasst Anforderungen und Leitlinien für den Schutz der Privatsphäre und zum Umgang mit personenbezogenen Daten. Dabei handelt es sich zwar nicht direkt um eine DSGVO-Zertifizierung, die ISO 27701 kann jedoch als Grundlage genutzt werden, um die Anforderungen der Datenschutzgrundverordnung in ein bestehendes Managementsystem zu integrieren. Auf diese Weise bauen Unternehmen ein Datenschutz-Informationsmanagementsystem (PIMS) auf, das die Sicherheit von Informationen sowie den Schutz von personenbezogenen Daten gleichermaßen berücksichtigt.
Derzeit setzt die ISO 27701 Zertifizierung noch eine vorherige Zertifizierung nach ISO 27001 voraus. Das wird sich zukünftig allerdings ändern. Denn mit der Veröffentlichung der ISO 27701:2024, die in 2025 erfolgt, ist eine Loslösung von der ISO 27001 geplant. Das bedeutet, dass die ISO 27701 im Gegensatz zu ihrer Vorgängerin als eigenständige Managementsystemnorm zu verstehen ist. Damit wird das Datenschutz-Informationsmanagementsystem (PIMS) zu einem eigenständigen System, das unabhängig von der ISO 27001 aufgebaut und implementiert werden kann. Das macht den Standard für eine größere Zahl an Organisationen interessant.