(openPR) Die IITR Cert GmbH (https://www.iitr-cert.com/) hat ihre Tätigkeit aufgenommen und bietet kleinen und mittelständischen Unternehmen (KMUs) die Möglichkeit, sich zertifizieren zu lassen. Nach unserer Überzeugung müssen kleinere bis mittelgroße Unternehmen auf ein Instrument zum Nachweis ihrer Konformität mit den Datenschutzbestimmungen zurückgreifen können.
Zertifiziert wird nach dem „Certified Privacy Standard CPS“, welcher in zwei Ausführungen zur Verfügung steht.
CPS100 für mittelständische Unternehmen
Dieser Standard sichert die Konformität mit den Bestimmungen der DSGVO zum Zeitpunkt der Überprüfung zu.
Durch die Funktion einer Versionierung im vorzugsweise zugrunde zu legenden Compliance-Kit wird zwischen den Auditierungen der jeweils aktuelle Stand der Dokumentenlage erfasst.
CPS600 für kleine Unternehmen
Dieser Standard sichert die Konformität mit den Empfehlungen des Leitfadens für Kleinunternehmen des Bayerischen Landesamtes für Datenschutzaufsicht zum Zeitpunkt der Überprüfung zu.
Durch die Funktion einer Versionierung im hierbei verwendeten Datenschutz-Kit wird zwischen den Auditierungen der jeweils aktuelle Stand der vorliegenden Dokumentenlage dokumentiert.
Datenschutz-Kit als auch Compliance-Kit stellen dokumentierende Datenschutz- Management Systeme der IITR Datenschutz GmbH dar, um den rechtlichen Erfordernissen der DSGVO entsprechen zu können.
Auditierung und Zertifizierung
Die Zertifizierung des CPS 100 baut auf dem Compliance-Kit der IITR Datenschutz GmbH auf, die Überprüfung wird durch die IITR Cert GmbH als unabhängige Stelle erbracht. Die dabei zugrunde zu legenden Konformitäts-Anforderungen sind von der IITR Cert GmbH veröffentlicht.
Die Überprüfung des CPS 600 ist auf das Datenschutz-Kit der IITR Datenschutz GmbH abgestimmt. Eine Überprüfung erstreckt sich auf die Einhaltung der Konformitäts-Anforderungen gemäß CPS600, welche durch die IITR Cert GmbH vorgenommen wird.
Hintergrund
Der Europäische Datenschutz-Ausschuss (vgl. die aktuelle Verlautbarung hierzu) sieht keine rechtliche Möglichkeit für die aufsichtsrechtlich anerkannte Zertifizierung von Management-Systemen im Datenschutz (sondern hält den Zertifizierungs-Bereich auf Produkte und Dienstleistungen beschränkt). Damit besteht eine Angebots-Lücke bei offiziellen Zertifizierungen, kleinere Unternehmen können unter der DSGVO keine staatliche Zertifizierung für ihre Datenschutz-Prozesse erhalten.
ISO 27001 und ISO 27552 für Groß-Unternehmen
Die ISO 27001 (IT-Sicherheit) und die darauf aufsetzende ISO 27552 (Datenschutz-Management; verfügbar ab voraussichtlich April 2019) wird zumindest für Groß-Unternehmen eine Möglichkeit bieten, Datenschutz-Prozesse auf ISO-Basis einer Zertifizierung/Konformitätsbeurteilung durch akkreditierte Stellen zu unterziehen.
Für kleinere Unternehmen (welche sich eine teure Zertifizierung/Anerkennung nach ISO 27001/27552 nicht leisten können) ist keine Möglichkeit absehbar, ihre Unternehmen mit amtlicher Anerkennung im Datenschutz zertifizieren zu lassen.
Fazit
Die IITR Cert GmbH bietet Unternehmen aus dem KMU-Umfeld eine Zertifizierung ihres vorhandenen Datenschutz-Status an, um auf diese Weise die Hereinnahme sowie Vergabe von Datenverarbeitungs-Verträgen an externe Dienstleister sowohl zu ermöglichen als auch zu erleichtern. Auf diese Weise lassen sich aus der DSGVO ergebende Haftungsrisiken für die Geschäftsleitung adressieren.
