TÜV-geprüfter Datenschutz gemäß Artikel 42 EU-DSGVO
Mit Artikel 42 EU-DSGVO sind die Voraussetzungen für eine Zertifizierung nach der EU-Datenschutz-Grundverordnung geschaffen. TÜVIT befindet sich aktuell im Akkreditierungsverfahren für die Datenschutz-Zertifizierung.
Mögliche Zertifizierung aller Datenverarbeitungen
Wir bieten Ihnen eine Zertifizierung gemäß Art. 42 DSGVO an, die alle Datenverarbeitungen durch informationsverarbeitende Services abdeckt.
Objektiver Nachweis über die Erfüllung gesetzlicher Anforderungen
Mit einer DSGVO-Zertifizierung belegen Sie, dass die Datenverarbeitung in Ihrem Unternehmen den datenschutzrechtlichen Standards der DSGVO entspricht.
Geringeres Risiko von Bußgeldern
Durch die Optimierung des Datenschutzes in Ihrem Unternehmen reduzieren Sie mögliche Datenpannen – und damit einhergehende Bußgelder – auf ein Minimum.
Was ist eine Zertifizierung nach Art. 42 DSGVO?
Für Kunden und Geschäftspartner ist in der Regel nicht ersichtlich, welche Datenschutzmaßnahmen ein Unternehmen umsetzt. Das soll sich mit einer einheitlichen Datenschutz-Zertifizierung gemäß EU-DSGVO künftig ändern.
Die Datenschutz-Zertifizierung stellt ein Verfahren dar, mit dem Verarbeitungsvorgänge bei IT-Produkten, Dienstleistungen oder im Unternehmen im Hinblick auf die Einhaltung der gesetzlichen Datenschutzanforderungen überprüft werden können. Das Ergebnis ist ein Datenschutz-Zertifikat oder Gütesiegel, das die Umsetzung der datenschutzrechtlichen Standards der DSGVO belegt.
Den Rahmen für die Zertifizierung schafft Art. 42 DSGVO, mit dem die EU die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie die Vergabe von Datenschutzsiegeln und -prüfzeichen durch zertifizierte Stellen fördert.
Vorteile der DSGVO-Zertifizierung
Objektiver Nachweis über die Einhaltung der DSGVO
Mit einem Zertifikat erhalten Sie einen unabhängigen Nachweis über die ordnungsgemäße Umsetzung der DSGVO.
Optimierung des Datenschutzes in Ihrem Unternehmen
Durch eine DSGVO-Zertifizierung erhöhen Sie konstant das allgemeine Datenschutzniveau in Ihrem Unternehmen.
Erhöhtes Vertrauen bei Kunden & Geschäftspartnern
Durch ein DSGVO-Zertifikat stärken Sie das Vertrauen bei (potenziellen) Kunden & Geschäftspartnern.
Reduzierung von Datenschutz-Risiken & Pannen
Im Rahmen einer DSGVO-Zertifizierung decken Sie Schwachstellen auf & beugen Datenschutzpannen vor.
Erfüllung von Rechenschaftspflichten
Ein DSGVO-Zertifikat belegt, dass Sie die gesetzlichen Datenschutzanforderungen an Datenverarbeitungen einhalten.
Zertifikat als Voraussetzung für den Marktzugang
In manchen Bereichen können Datenschutzzertifikate als Marktzutrittsvoraussetzung fungieren.
Sensibilisierung von Mitarbeitenden
Im Zuge der Zertifizierung erhöhen Sie gleichzeitig das Bewusstsein von Mitarbeitenden für Datenschutzthemen.
Vorteile im Rahmen von Ausschreibungen
Ein erhaltenes Zertifikat nach Art. 42 DSGVO wirkt sich positiv auf die Teilnahme an Ausschreibungen aus.
Ab wann ist TÜVIT für die DSGVO-Zertifizierung zugelassen?
Unser Zertifizierungsprogramm hat bereits die grundsätzliche Genehmigungsfähigkeit vom LDI NRW (Landesbeauftragter für Datenschutz und Informationsfreiheit Nordrhein-Westfalen) erhalten und liegt nun zur Stellungnahme beim EDSA (Europäischer Datenschutzausschuss). Parallel dazu läuft der Akkreditierungsprozess bei der Deutschen Akkreditierungsstelle (DAkkS). Das Zertifizierungsprogramm ist nicht auf bestimmte Geltungsbereiche beschränkt, sondern betrachtet alle Formen der Datenverarbeitung durch informationsverarbeitende Services. Die darin enthaltenen Kriterien berücksichtigen sowohl die Vorgaben der DSGVO sowie des BDSG als auch weitere Anforderungen, beispielsweise aus ISO-Normen, dem TDDDG, etc. Wir gehen davon aus spätestens ab 2025 erste Prüfungen und Zertifizierungen nach dem neuen Zertifizierungsprogramm anbieten zu können.
Im Rahmen der Zertifizierung von Videosprechstunden führen wir bereits Zertifizierungen nach Artikel 42 DSGVO, basierend auf einer Ausnahmeregelung in der Anlage 31b BMV-Ä, durch.
Ablauf der Zertifizierung nach Art. 42 DSGVO
1.
Workshop zur Reifegradbewertung
Im Rahmen eines Workshops wird der Zertifizierungsgegenstand spezifiziert sowie die Zertifizierungsreife bewertet.
2.
Stellung des Zertifizierungsantrages
Bei geeigneter Zertifizierungsreife müssen Sie im nächsten Schritt einen Antrag für die Zertifizierung stellen.
3.
Zertifizierungsvertrag
& -vereinbarung
Nach positiver Antragsprüfung erhalten Sie von uns einen Zertifizierungsvertrag sowie eine Zertifizierungsvereinbarung.
4.
Rechtliche & technische Evaluation
Unsere Expert:innen evaluieren den Zertifizierungsgegenstand & dokumentieren die Ergebnisse in einem Bericht.
5.
Zertifizierungsentscheidung
Seitens der Zertifizierungsstelle erfolgt eine Bewertung der Evaluierung anhand des erstellten Evaluierungsberichtes.
6.
Zertifikatserteilung
Bei positiver Zertifizierungsentscheidung wird das Zertifikat ausgestellt, das eine Gültigkeit von max. 3 Jahren hat.
7.
Überwachungsaudits
Zur Aufrechterhaltung der Zertifizierung führen wir jährlich ein anlassloses Überwachungsaudit durch.
Häufig gestellte Fragen (FAQ):
Die DSGVO-Zertifizierung richtet sich grundsätzlich an alle Unternehmen, in denen mithilfe IT-gestützter Verarbeitungsvorgänge personenbezogene Daten verarbeitet und/oder gespeichert werden.
Wir haben unser Zertifizierungsprogramm bereits bei der DAkkS eingereicht und sind zuversichtlich, ab dem ersten Halbjahr 2024 erste Zertifizierungen gemäß Artikel 42 DSGVO anbieten zu können
- 1.) Workshop zur Reifegradbewertung:
Bevor Sie sich in unser Zertifizierungsverfahren nach Artikel 42 DSGVO begeben, ist es unabdinglich, dass der Zertifizierungsgegenstand (Target of Evaluation – ToE) spezifiziert und dokumentiert wird. In einem gemeinsamen Workshop schauen wir uns an, wie Sie den Zertifizierungsgegenstand spezifiziert haben und wie der Stand der Zertifizierungsreife ist. Die Ergebnisse aus dem Workshop werden protokolliert. Die Spezifikation des ToE sowie die Bewertung der Zertifizierungsreife stellen sicher, dass die zu zertifizierenden Verarbeitungsvorgänge einen Reifegrad aufweisen, der ein Zertifizierungsverfahren erfolgversprechend erscheinen lässt. - 2.) Zertifizierungsantrag:
Bei geeigneter Zertifizierungsreife müssen Sie im nächsten Schritt formell einen Antrag für die Zertifizierung stellen. - 3) Zertifizierungsvertrag und -vereinbarung:
Nach positiver Antragsprüfung erhalten Sie die folgenden Unterlagen:
• ein Zertifizierungsangebot und
• das Formblatt Zertifizierungsvereinbarung mit dem Zertifizierungsprogramm DSGVO sowie den Zertifizierungsbedingungen.
Auf Grundlage des Angebotes der Zertifizierungsstelle und des Auftrages zur Zertifizierung erkennen Sie durch Unterzeichnung des Formblattes "Zertifizierungsvereinbarung" das Zertifizierungsprogramm DSGVO mit seinen Regeln und Verfahren sowie die Zertifizierungsbedingungen an. - 4.) Rechtliche und technische Evaluation:
Ein Evaluierungsteam der Zertifizierungsstelle nimmt die rechtliche und technische Evaluation des Zertifizierungsgegenstandes vor und dokumentiert die Ergebnisse in einem Evaluationsbericht. - 5.) Zertifizierungsentscheidung:
Seitens der Zertifizierungsstelle erfolgen eine Bewertung der Evaluierung anhand des erstellten Evaluierungsberichts sowie eine Überwachung der Einhaltung der Verfahrensvorgaben auf Basis der DIN EN ISO/IEC 17065. Die Zertifizierungsentscheidung wird protokolliert und der Kunde über das Ergebnis informiert. - 6.) Zertifikatserteilung:
Bei positiver Zertifizierungsentscheidung wird das Zertifikat ausgestellt, das den Geltungsbereich der Zertifizierung (Zertifizierungsgegenstand / Verarbeitungsvorgang) und eine Gültigkeit von maximal 3 Jahren wiedergibt sowie das Prüfzeichen darstellt. Ein gültiges Zertifikat berechtigt zur öffentlichen Nutzung des Prüfzeichens im Zusammenhang mit dem zertifizierten Produkt gemäß den Zertifizierungsbedingungen. Das Zertifikat und ein Kurzgutachten mit dem Ergebnis der Zertifizierung und Details zum Einsatzbereich und den Nutzungsbedingungen wird auf den Webseiten der TÜVIT veröffentlicht. - 7.) Überwachungsaudits:
Die Zertifizierungsstelle führt jährlich ein anlassloses Überwachungsaudit durch, mit Ausnahme der Jahre, in denen ein Rezertifizierungsverfahren durchgeführt wird. Die zeitliche Planung für ein Überwachungsaudit richtet sich nach dem Zertifikatsdatum. Das Überwachungsaudit muss immer spätestens am Tag des ein bzw. zwei Jahre auf das Zertifikatsdatum folgenden Tag abgeschlossen sein. Frühester Beginn für das Überwachungsaudit ist sechs Monate vor diesem Tag. Darüber hinaus führt die Zertifizierungsstelle anlassbezogene Überwachungsmaßnahmen durch, wenn Anomalien auftreten, die eine Nichteinhaltung der Zertifizierungsanforderungen befürchten lassen.
Die Frage, wie hoch die Kosten für eine DSGVO-Zertifizierung ausfallen, kann leider nicht pauschal beantwortet werden. Die letztendlichen Kosten hängen unter anderem vom Prüfgegenstand sowie vom Umfang und der Prüftiefe ab.
Das Zertifikat nach Art. 42 DSGVO hat eine formale Gültigkeit von maximal 3 Jahren. Da eine Zertifizierung immer nur eine temporäre Aufnahme darstellt und sich Geschäftsprozesse sowie datenschutzrechtliche Vorgaben mit der Zeit ändern können, kann eine Re-Zertifizierung allerdings schon vorher notwendig werden.
Im Folgenden bekommen Sie einen kurzen allgemeinen Überblick, welche Punkte unsere Prüfkriterien abdecken:
- Prozessdokumentation
- Grundsätze der Verarbeitung
- Rechtmäßigkeit der Verarbeitung
- Einwilligung
- Verarbeitung sensibler Daten
- Rechte der Betroffenen
- Verantwortlicher und Auftragsverarbeiter
- Sicherheit der Verarbeitung
- Datenschutz-Management
- Datenschutz Folgenabschätzung und vorherige Konsultation
- Verhaltensregeln und Zertifizierung
- Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen
Darüber hinaus können – je nach Scope und Anforderungen – weitere spezifische Kriterien hinzukommen.
Warum wir ein starker Partner für Sie sind
Unabhängigkeit
Expertise
Internationales Expertennetzwerk
Branchenerfahrung
Auf Sie zugeschnitten
