Datenschutz-Vertrieb: Partner-Programm
PrivAssist umfasst folgende Datenschutz-Produkte:
Datenschutz-Kit
Die kostengerechte EU-DSGVO-Komplettlösung für kleinere Unternehmen und Organisationen bis etwa 20 Mitarbeiter. Das Paket verwendet zur geforderten Dokumentation ein Datenschutz-Management-System, welches sowohl webbasiert also auch als Printausgabe ausgehändigt wird. Durch eLearning wird die erforderliche Schulung (Deutsch und Englisch) der Mitarbeiter sichergestellt. Etwa 6 mal im Jahr werden Themen in Webinaren behandelt, die anschließend auch als Aufzeichnung zur Verfügung stehen. Die Befassung mit datenschutzrechtlichen Bestimmungen wird durch eine Urkunde bestätigt. Abgerundet wird das Paket durch die Bereitstellung des Datenschutzbeauftragten. Das Datenschutz-Kit ist auditierbar.
Compliance-Kit 2.0
Das umfassende Datenschutz-Management-System zur EU-Datenschutz-Grundverordnung für große Unternehmen und Organisationen. Es wendet sich an den Datenschutz-Profi. Aufbau nach ISO High Level Structure (HLS) und orientiert an ISO27701. DSGVO-Konformität wurde auditiert durch vereidigte Sachverständige. Zentrale Dokumentation aller Datenschutz-Unterlagen, versionierend. Zweisprachig (Deutsch und Englisch). Zentrale Steuerung der Datenschutz-Prozesse, Video-Anleitung, über 100 Vorlagen für alle Datenschutz-Prozesse. Integriertes, optional zubuchbares eLearning zur umfangreichen Datenschutz-Schulung aller Unternehmens-Mitarbeiter. Das Compliance-Kit 2.0 ist auditierbar.
eLearning: Datenschutz & Informations-Sicherheit
Webbasiertes Training zu den Themen Datenschutz und Informationssicherheit, 15 Module zu spezifischen Themen, pädagogisch angelegter Aufbau der zu vermittelnden Lerninhalte, seit 5 Jahren sehr erfolgreich. Zweisprachig (Deutsch und Englisch), in den Unternehmen individualisierbare Zuordnung der Schulungsmodule, Zertifikat für den Absolventen, revisionssichere Dokumentation der Schulungsereignisse. Die Themenbereiche werden kontinuierlich erweitert.
Auditierung und Zertifizierung
IITR InformationZusätzlich zu unserer Produktreihe PRIVAssist bieten wir über die IITR Cert GmbH diverse Auditierungs-Dienstleistungen sowie Zertifizierungen im Datenschutz an.
Mit unserem Werkzeug PSE (Privacy Status Evaluation) wird der vorliegende Status in der aktuellen Einhaltung von datenschutzrechtlichen Vorgaben überprüft und dokumentiert.
Dieses von uns entwickelte webbasierte Analyse-System stellt in einer vorgegebenen Reihenfolge gezielte Fragen, mit denen ein Anwender durch die Analyse geführt wird. Dazu werden u.a. Nachweise angefordert. Eine sich daran anschließende programmierte Auswertung wird in ein Verhältnis zum jeweils geforderten Sollstand gesetzt und Unterschreitungen markiert. Diese Auswertung erlaubt Rückschlüsse auf den aktuellen Datenschutz-Status. Eine bewertende Zusammenfassung wird revisionssicher gespeichert und dem Kunden zugeleitet.
Eine derartige Auditierung wird in den Unternehmen zur Überprüfung des aktuellen Status verwendet. Sie stellt darüber hinaus einen belastbaren Audit-Report dar, der zur Vorlage gegenüber externen Stellen eingesetzt werden kann.
Damit gehören reine Fragebögen der Vergangenheit an. Durch die vom Programm angewendete Technik werden Audit-Kosten im Vergleich zu einem Vor-Ort-Audit deutlich gesenkt.
Partner-Programm
Wir bieten ein attraktives Partner-Programm. Unternehmen können Datenschutz-Produkte und Dienstleistungen der IITR Datenschutz GmbH sowie der IITR Cert GmbH in ihre Vertriebskanäle aufnehmen und am Verkauf der Produkte partizipieren.
Informieren Sie sich auf unserer Vertriebspartner-Webseite: https://www.iitr.de/unternehmen/vertriebspartner.html
Die IITR Datenschutz GmbH ist spezialisiert auf den Bereich des betrieblichen Datenschutzes und unterstützt als Hersteller von Datenschutz-Management-Systemen Unternehmen jeglicher Größe bei der Bewältigung datenschutzrechtlicher Anforderungen. Durch unsere internationale Tätigkeit und mithilfe von digitalen und zertifizierbaren Produkten sind wir einer der führenden Anbieter in diesem Bereich. Wir sind Mitglied der IAPP, der GDD, der DIN-Gesellschaft und nach DIN EN ISO 9001 zertifiziert.
IITR Datenschutz GmbH
Marienplatz 2
80331 München
Telefon: +49 (89) 1891-7360
http://www.iitr.de
Geschäftsführer
Telefon: 089-18917360
E-Mail: email@iitr.de
Compliance-Kit 2.0: Datenschutz-Management mit Erklärvideos
Damit werden den Nutzern des Compliance-Kit 2.0 die vorhandenen Erklärvideos an zentraler Stelle zur Verfügung gestellt und übersichtlich mit dem Datenschutz-Handbuch verbunden.
Die Funktionen im Detail:
- Startseite mit Videos: nach dem Login finden die Nutzer ein Video zur Funktions-Übersicht (Wie funktioniert das Compliance-Kit 2.0?) sowie das jeweils zuletzt zur Verfügung gestellte Video.
- Zuordnung von passenden Videos: Kunden können auf der linken Seite in der Menüstruktur des Handbuchs auf das entsprechende Kapitel klicken, um direkt zu den inhaltlich passenden Videos zu gelangen.
- Eigener Video-Bereich: alle verfügbaren Videos können ebenfalls erreicht werden, indem die Nutzer auf der linken Seite unten auf „Videos“ klicken.
- Sprungmarken in Videos: unter allen Videos findet sich ein Inhaltsverzeichnis, über welches die Nutzer an die entsprechende Stelle im Video springen können.
- Integration der Videos in die Suche: sämtliche Videos sind zudem mit Schlagworten versehen, die über die Suche erreicht werden können.
IITR Datenschutz GmbH: Wir machen Datenschutz einfach.
Weitere Informationen finden sich hier: https://www.iitr.de/produkte-services/compliance-kit.html.
Die IITR Datenschutz GmbH ist spezialisiert auf den Bereich des betrieblichen Datenschutzes und unterstützt als Hersteller von Datenschutz-Management-Systemen Unternehmen jeglicher Größe bei der Bewältigung datenschutzrechtlicher Anforderungen. Durch unsere internationale Tätigkeit und mithilfe von digitalen und zertifizierbaren Produkten sind wir einer der führenden Anbieter in diesem Bereich. Wir sind Mitglied der IAPP, der GDD, der DIN-Gesellschaft und nach DIN EN ISO 9001 zertifiziert.
IITR Datenschutz GmbH
Marienplatz 2
80331 München
Telefon: +49 (89) 1891-7360
http://www.iitr.de
Geschäftsführer
Telefon: 089-18917360
E-Mail: email@iitr.de
Datenschutz-Kit: Erweiterte Video-Funktionen
Daher versuchen wir, den Mandanten die Arbeit mit der EU-DSGVO so einfach wie möglich zu gestalten. Dazu gehört, dass wir in Webinaren die Anforderungen im Detail erklären.
In den letzten 1,5 Jahren sind hier rund 10 Stunden Video-Material entstanden. Alle 6 bis 8 Wochen kommt ein Webinar hinzu.
Um diese Videos optimiert zur Verfügung zu stellen haben wir diese mit Sprungmarken versehen.
Erweiterungen im Detail:
- Startseite mit Videos: nach dem Login finden die Nutzer jeweils ein Video zur (a) Funktions-Übersicht (Wie funktioniert das Datenschutz-Kit?), zur (b) Inhalts-Übersicht (Wo finde ich was im Datenschutz-Kit?) sowie eine (c) Aufnahme des letzten Webinars.
- Zuordnung von passenden Videos: Kunden können auf der linken Seite in der Menüstruktur des Leitfadens auf das entsprechende Kapitel klicken, um direkt zu den inhaltlich passenden Videos zu gelangen.
- Eigener Video-Bereich: alle verfügbaren Videos können ebenfalls erreicht werden, indem die Nutzer auf der linken Seite unten auf „Videos“ klicken.
- Sprungmarken in Videos: unter allen Videos findet sich ein Inhaltsverzeichnis, über welches die Nutzer an die entsprechende Stelle im Video springen können.
- Integration der Videos in die Suche: sämtliche Videos sind zudem mit Schlagworten versehen, die über die Suche erreicht werden können.
Weitere Informationen finden sich hier.
Die IITR Datenschutz GmbH ist spezialisiert auf den Bereich des betrieblichen Datenschutzes und unterstützt als Hersteller von Datenschutz-Management-Systemen Unternehmen jeglicher Größe bei der Bewältigung datenschutzrechtlicher Anforderungen. Durch unsere internationale Tätigkeit und mithilfe von digitalen und zertifizierbaren Produkten sind wir einer der führenden Anbieter in diesem Bereich. Wir sind Mitglied der IAPP, der GDD, des BvD, der DIN-Gesellschaft und nach DIN EN ISO 9001 zertifiziert.
IITR Datenschutz GmbH
Marienplatz 2
80331 München
Telefon: +49 (89) 1891-7360
http://www.iitr.de
Geschäftsführer
Telefon: 089-18917360
E-Mail: email@iitr.de
Datenschutz-Kit: Optionale Versicherung durch Allcura
Im Datenschutz existieren rechtliche Vorgaben, deren Erfüllung zu Unsicherheiten führt. Kleine Unternehmen sind in gleicher Weise gefordert, die Vorgaben der Datenschutz-Grundverordnung in der Praxis umzusetzen.
Die ALLCURA Versicherungs-AG bietet nun Kunden des Datenschutz-Kit die Möglichkeit, eine separate Vermögensschaden-Haftpflichtversicherung für Haftpflichtansprüche aus der Verletzung von gesetzlichen Datenschutzvorschriften abzuschließen.
Damit erhalten die Kunden des Datenschutz-Kit die Möglichkeit, verbliebene Risiken über eine Versicherungs-Police abdecken zu können. Die IITR Datenschutz GmbH erhält keinerlei Provision o.ä. hierfür.
Weitere Informationen
- Risikobeschreibung und Besondere Versicherungsbedingungen (PDF)
- Allgemeine Versicherungsbedingungen zur Vermögensschaden-Haftpflichtversicherung (PDF)
Kontakt Makler
Interessenten können sich bei Herrn Felix Müller-Preibisch von der Brase & Collegen AG für ein detailliertes Angebot melden. Weitere Informationen: https://www.iitr.de/produkte-services/versicherung-datenschutz-kit.html
Über die ALLCURA Versicherungs-AG
Sicherheit braucht ein System und besondere Risiken brauchen einen besonderen Schutz: Die ALLCURA Versicherungs-Aktiengesellschaft ist Premiumanbieter für individuelle Lösungen im Bereich der Vermögensschaden-Haftpflichtversicherung.
Die IITR Datenschutz GmbH ist spezialisiert auf den Bereich des betrieblichen Datenschutzes und unterstützt als Hersteller von Datenschutz-Management-Systemen Unternehmen jeglicher Größe bei der Bewältigung datenschutzrechtlicher Anforderungen. Durch unsere internationale Tätigkeit und mithilfe von digitalen und zertifizierbaren Produkten sind wir einer der führenden Anbieter in diesem Bereich. Wir sind Mitglied der IAPP, der GDD, der DIN-Gesellschaft und nach DIN EN ISO 9001 zertifiziert.
IITR Datenschutz GmbH
Marienplatz 2
80331 München
Telefon: +49 (89) 1891-7360
http://www.iitr.de
Geschäftsführer
Telefon: 089-18917360
E-Mail: email@iitr.de
IAPP Data Protection Intensive: Deutschland 2019 (Konferenz | München)
Zwei Tage voller praktischer Ratschläge zur Verbesserung Ihrer Effektivität im Datenschutz
Merken Sie sich den 16. und 19. September in Ihrem Kalender für die IAPP Data Protection Intensive: Deutschland 2019 vor, unsere zweite Jahreskonferenz in München. Auch diesmal werden alle Veranstaltungen des äußerst informativen Programms zweisprachig durchgeführt – auf Deutsch und auf Englisch.
Erfahren Sie, wie Sie Datenschutzabläufe besser gestalten können und welche möglichen Auswirkungen globale Entwicklungen und Vorschriften auf Ihre Arbeit haben, und erleben Sie offene Gespräche mit deutschen Datenschutzbeauftragten sowie Vertretern von bayerischen und bundesweiten Datenschutzbehörden.
Unser fachkundiges Referenten-Kollegium hochkarätiger Experten aus den Bereichen Recht, Technologie, Vorschriften, Compliance und Marketing bringt die neuesten regionalen und globalen Entwicklungen in Sachen Datenschutz auf den Punkt.
Eingeladen sind außerdem Vertreter von Aufsichtsbehörden, die ihre Auffassungen zu aktuellen Themen darlegen und wertvolle Tipps zum Aufbau einer robusten und konstruktiven Zusammenarbeit mit ihnen geben werden.
Zur Registrierung folgens Sie bitte dem Link:https://iapp.org/conference/iapp-data-protection-intensive-deutschland/register-now-dpide19/?lang=de
Melden Sie sich jetzt für die Konferenz an und nutzen Sie die Chance, Kontakte mit Datenschutzbeauftragten, erfahrenen Beratern, Aufsichtsbehörden und Datenschutzexperten aus ganz Deutschland und Europa zu knüpfen.
Eventdatum: 16.09.19 – 17.09.19
Eventort: München
Firmenkontakt und Herausgeber der Eventbeschreibung:
IITR Datenschutz GmbH
Marienplatz 2
80331 München
Telefon: +49 (89) 1891-7360
http://www.iitr.de
Weiterführende Links
verantwortlich. Dieser ist in der Regel auch Urheber der Eventbeschreibung, sowie der angehängten
Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH
übernimmt keine Haftung für die Korrektheit oder Vollständigkeit des dargestellten Events. Auch bei
Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit.
Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung
ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem
angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen
dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet
Datenschutz-Management-System: Zertifizierung Compliance-Kit 2.0
Ziviltechniker (Quelle: https://de.wikipedia.org/wiki/Ziviltechniker) sind gemäß einer österreichischen Bestimmung als „Personen öffentlichen Glaubens“ befugt, bestehende Übereinstimmungen zu überprüfen und darüber Urkunden auszustellen.
Zur Prüfung wurde das Compliance-Kit 2.0 (Quelle https://www.iitr.de/produkte-services/compliance-kit.html) vorgelegt. Die Untersuchung ist in einem Prüfgutachten (Quelle: https://www.iitr-cert.com/) dokumentiert, die Bestätigung der Übereinstimmung liegt als Urkunde (Quelle: https://www.iitr-cert.com/) vor. Damit erhält das Compliance-Kit 2.0 seine offizielle Anerkennung.
Das Compliance-Kit 2.0 ist als Datenschutz-Management System angelegt.
Zertifizierung auf Basis eines Datenschutz-Management-Systems
In der Fachliteratur wird vielfach darauf hingewiesen, dass ein Datenschutz-Management-System das geeignete Instrument schlechthin darstellt (vgl. TeleTrust, Handreichung zum Stand der Technik, S. 71, Zitat am Ende und Jung, Datenschutz-(Compliance-)Management-Systeme – Nachweis- und Rechenschaftspflichten nach der DS-GVO, ZD 2018, 208, Zitat am Ende), um die Anforderungen der DSGVO und hierbei insbesondere die Vorgaben der Rechenschaftspflicht zu erfüllen.
Europäischer Datenschutzausschuss
Der Europäische Datenschutzausschuss hat entschieden, dass in Art. 42 DSGVO nach seiner Lesart eine Zertifizierung von Management-Systemen nicht vorgesehen sei. Wohl auch in Folge darauf hat die deutsche Zertifizierungsbehörde DAkkS ihrerseits nun Richtlinien veröffentlicht, die sich ausschließlich mit der Zertifizierung von Produkten und Dienstleistungen befassen (vgl. hierzu „Die Zertifizierung nach der DSGVO: Innovatives, aber hochkomplexes Instrument“, DuD 8/2019, Dr. Natalie Maier, LL.M. und Tamer Bile, LL.M., Wissenschaftliches Zentrum für Informationstechnik-Gestaltung an der Universität Kassel, https://link.springer.com/article/10.1007/s11623-019-1147-x).
Einen weiteren Überblick über den Sachverhalt ermöglicht der Artikel von Herrn Oliver Schonschek (Quelle: https://www.computerwoche.de/a/welche-datenschutz-zertifikate-passen-zu-dsgvo-und-gdpr,3545410).
Compliance-Kit 2.0 als Basis
Wir haben uns entschieden, unseren Mandanten ein Datenschutz-Management-System sowie die Möglichkeit einer eigenen Zertifizierung anzubieten. Diese Zertifizierung wird durch die IITR Cert GmbH (Quelle: https://www.iitr-cert.com/) vorgenommen, zu diesem Zweck als eigenständige Prüfstelle installiert.
Aufgrund der Beurkundung durch Ziviltechniker als einer dazu berechtigten Stelle steht den Unternehmen mit dem Compliance-Kit 2.0 ein qualifiziertes Instrument zur Verfügung, eine Übereinstimmung mit der DSGVO herzustellen und sich bestätigen lassen zu können.
Zertifizierungsstellen
Gemäß einer EU-Norm (Verordnung (EG) Nr. 765/2008, Artikel 4 Abs. 1, https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:218:0030:0047:de:PDF) waren bis zum Inkrafttreten der DSGVO die nationalen Zertifizierungsstellen alleine für Zertifizierungen innerhalb ihres jeweiligen Staates zuständig (in Deutschland ist dies die DAkKS). Durch die DSGVO entstand hier eine neue Lage, indem sie bestimmte Vorgänge im Bereich von Zertifizierungen für sich reklamiert. Datenschutzbehörden eines Landes sind seitdem in den hoheitlichen Vorgang der Zertifizierung für den Bereich Datenschutz zusätzlich eingebunden. Die föderal organisierte Bundesrepublik Deutschland verfügt über Landesdatenschutzbehörden, die sich diesbezüglich intern abstimmen. Die stimmberechtigte Vertretung Deutschlands auf EU-Ebene geschieht im Europäischen Datenschutzausschuss und liegt in den Händen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.
Ausweichmöglichkeit für Groß-Unternehmen
Derzeit ist die Begutachtung eines Unternehmens nur mittelbar über den Umweg einer Zertifizierung der eigenen IT-Sicherheit nach ISO 27001/27002 („Informations-Sicherheits-Management“) möglich, auf welche sodann künftig eine Konformitätsbewertung nach ISO 27552 (Quelle: https://www.beuth.de/en/draft-standard/iso-iec-dis-27552/300502467) für den Bereich Datenschutz aufgesetzt werden soll (wobei auch dies letztlich keine „Zertifizierung“ im Sinne von Artikel 42 DSGVO darstellt).
Diese Verfahrensweise ist nur durch Groß-Unternehmen durchführbar oder aber bei Einheiten, deren Geschäftstätigkeit eine extreme Datensensibilität aufweist und aus diesem Grunde die erheblichen Mittel aufzubringen hat, sich nach diesen Normen überprüfen zu lassen.
Für die Vielzahl der Unternehmen kann diese Vorgehensweise aus vielen Gründen schlichtweg nicht in Betracht kommen. Zunächst ist es viel zu teuer, hier ist die Rede von 5-stelligen Euro-Beträgen aufwärts. Weiterhin sind Fachleute, die solche Zertifizierungen durchführen könnten, in genügender Zahl gar nicht verfügbar.
Rechenschaftspflicht und Datenschutz-Management-System
Über die Notwendigkeit, ein Datenschutz-Management-System zu verwenden sollte es anhand der Anforderungen der DSGVO (Rechenschaftspflichten) keine Zweifel geben. So sieht dies auch die Unternehmensberatung KPMG (Quelle: https://klardenker.kpmg.de/datenschutz-managementsystem-pruefung-bringt-sicherheit/). Für den Fall, dass ein Unternehmen auf softwaregetriebene Strategien zur Bewältigung der Datenschutz-Anforderungen zurückgreifen will – was sich ab einer bestimmten Größe eines Unternehmens nicht wird vermeiden lassen – wird parallel dazu die Führung eines Datenschutz-Management-System angezeigt sein, schon weil die Geschäftsführung über die erfolgte Umsetzung der Bestimmungen schriftliche Erklärungen abzugeben hat. Schließlich befindet sich die Geschäftsführung in Haftung für die tatsächliche Umsetzung und wird sich dabei nicht auf die korrekte Installation und Arbeitsweise einer Software verlassen wollen.
Leistungsumfang des Compliance-Kit 2.0
Dieses fasst zunächst die Bestimmungen der DSGVO zusammen und stellt diese der ISO High Level Structure folgend zur Verfügung. Das Compliance-Kit 2.0 ähnelt damit beispielsweise einer BS 10012 der BSI Britisch Standard Institution. Die Ähnlichkeit verwundert nicht, da beiden inhaltlich dieselbe DSGVO zugrundeliegt, die BS 10012 umfasst allerdings zusätzlich einige britische Besonderheiten.
Darüber hinaus muss ein Datenschutz-Management-System die in der DSGVO konkretisierten Forderungen hinsichtlich der Dokumentation von Beschreibungen sowie die Hinterlegung abzuschließender Verträge ermöglichen und diese Vorstellungen in einer nachvollziehbaren, daher versionierenden Weise archivieren können. Nützlich erweisen sich zahlreiche Vorlagen, die an den betreffenden Stellen durch ein Management-System zur Verfügung gestellt werden. Eine eLearning-Plattform ist integriert, um die bestehende Verpflichtung der Sensibilisierung aller Mitarbeiter für die Belange des Datenschutzes durch den Datenschutzbeauftragten des Unternehmens vornehmen zu können. Absolvierte Schulungen müssen nachweisbar sein und werden durch das Management-System dokumentiert.
Vorteile der Zertifizierung
Gerade im Datenschutz sind bei Austausch von personenbeziehbaren Daten die Voraussetzungen einer unternehmensübergreifenden Zusammenarbeit und Auftragsvergabe rigiden Bedingungen unterworfen worden. Teilweise wurde eine faktische Beweislastumkehr eingeführt, die Haftung für korrektes Verhalten eines Auftragnehmers reicht dabei zurück auf die Geschäftsleitung des Auftraggebers.
Wer wollte da nicht gerne auf eine möglichst zutreffende Aussage und Bewertung der datenschutzrechtlichen Strukturen seines potentiellen Auftragnehmers zurückgreifen.
Für einen potentiellen Auftragnehmer wiederum könnte es vorteilhaft sein, dem zukünftigen Auftraggeber ein Zertifikat vorlegen, um seine eigenen Bemühungen zu datenschutzrechtlich korrekten Strukturen belegen zu können.
Auch nach innen wirkt eine Zertifizierung. Man erhält Sicherheit, in diesem Bereich korrekt aufgestellt zu sein. Man folgt Standards, die jenen entsprechen, die auch der Geschäftspartner anwendet.
Kunden mögen es, durch gut strukturierte Unternehmen betreut zu werden. Kaum ein Kunde dürfte ein Unternehmen vorziehen, weil es kein Zertifikat aufweisen kann.
Dergleichen wirkt auf die eigenen Mitarbeiter. Zertifizierung im Datenschutz hat sowohl eine Schutz- als auch Signal-Wirkung nach innen wie auch nach außen.
Position der EU-Kommission
Amtliche Zertifizierungen für Management-Systeme stehen wie geschildert derzeit nicht zur Verfügung. Es werden lediglich Produkte und Dienstleistungen zertifiziert. Die EU-Kommission schreibt am 24. Juli 2019 dazu (Quelle: https://ec.europa.eu/commission/sites/beta-political/files/communication_from_the_commission_to_the_european_parliament_and_the_council.pdf):
„Businesses are adapting their practices (…)
Finally, certification can also be a useful instrument to demonstrate compliance with specific requirements of the Regulation. It can increase legal certainty for businesses and promote the Regulation globally. The certification and accreditation guidelines recently adopted by the European Data Protection Board will enable the development of certification schemes in the EU. The Commission will be monitoring these developments and, if appropriate, will make use of the empowerment provided under the Regulation to frame the requirements for certification. The Commission may also issue a standardisation request to EU standardisation bodies on elements relevant for the Regulation.”
Fazit
Wir danken Herrn Dipl.-Ing. Dr. Peter Gelber (Quelle: http://www.dsgvo-zt.at/) und Herrn Dipl.-Ing. Wolfgang Fiala (Quelle: http://www.dsgvo-zt.at/). Diese hatten als Ziviltechniker die Sichtung eines umfangreichen Datenschutz-Management-Systems durchzuführen und zu beurteilen. Wir danken ferner Herrn Zlamal, Geschäftsführer der IITR Cert GmbH (Quelle: https://www.iitr-cert.com/), für sein außerordentliches Engagement.
Wir sind überzeugt, dass ein Datenschutz-Management-System das geeignete Instrumentarium für Unternehmen und verwandte Wirtschafts-Strukturen zur Verfügung stellt, um den komplexen Anforderungen der DSGVO entsprechen zu können. Diese Überzeugung entspringt unseren eigenen Erfahrungen in den durch uns betreuten Unternehmen. Ausdrücklich bestätigen wir diesbezügliche Empfehlungen und Analysen aus Wirtschaft und Forschung.
Der Umstand, derzeit nicht auf staatliche Zertifizierungen nach der DSGVO von Datenschutz-Management-Systemen zurückgreifen zu können, darf aus unserer Sicht nicht dazu führen, zertifizierte Datenschutz-Management-Systeme dem Markt vorzuenthalten. Hier sehen wir uns als Privatunternehmen gefordert.
Das Compliance-Kit 2.0 steht als Grundlage einer qualifizierten Ermittlung der Übereinstimmung mit den Bestimmungen der DSGVO für alle Interessenten zur Verfügung.
Quellen/Zitate:
TeleTrust, Handreichung zum Stand der Technik, S. 71, Quelle: https://www.teletrust.de/fileadmin/docs/fachgruppen/2019-02_TeleTrusT_Handreichung_Stand_der_Technik_in_der_IT-Sicherheit_DEU.pdf
Kontext Datenschutz
Auch im Hinblick auf die Überprüfung der Wirksamkeit von Maßnahmen im Zusammenhang mit den Anforderungen nach der DSGVO bietet sich die Implementierung eines Managementsystems – genauer: eines Datenschutz-Managementsystems (DSMS) – an. Zwar schreibt die DSGVO ein solches nicht ausdrücklich vor. Sie lässt gleichwohl aber an vielen Stellen die Notwendigkeit eines DSMS erkennen. So verlangt beispielsweise Art. 32 Abs. 1 lit. d) DSGVO ein „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“.
Da ein solches Verfahren innerhalb der Organisation ein geplantes und strukturiertes Vorgehen erfordert, mithin also eine Umsetzung des klassischen PDCA-Modells bedingt, bietet sich hierfür die Einrichtung eines DSMS geradezu an. Wird dieses an den Elementen der ISO-High-Level-Structure ausgerichtet, kann es zudem in ein bereits vorhandenes ISMS auf Basis ISO 27001 integriert werden.
Genauso wie ein ISMS lässt sich dann auch das DSMS auditieren und damit sukzessive der Reifegrad des Systems feststellen. Orientiert am Leitfaden ISO 19011 können, auf Basis eines Auditprogramms und eines Auditplans, Audits durchgeführt werden. Die Durchführung von Audits kann vom Datenschutzbeauftragten vorgenommen werden. Bei größeren Organisationen können Audits auch durch fachkundig geschulte Beschäftigte der Organisation oder auf Datenschutz spezialisierte Beratungsunternehmungen erfolgen.
Jung, Datenschutz-(Compliance-)Management-Systeme – Nachweis- und Rechenschaftspflichten nach der DS-GVO, ZD 2018, 208, Quelle: https://beck-online.beck.de/Dokument?vpath=bibdata%2Fzeits%2Fzd%2F2018%2Fcont%2Fzd.2018.208.1.htm&anchor=Y-300-Z-ZD-B-2018-S-208-N-1
Compliance-Management-Systeme (CMS) sind in der heutigen Zeit schon beinahe ein „alter Hut“. Dies liegt allein darin begründet, dass es diverse Standards gibt, die den Aufbau eines entsprechenden Systems samt dessen Bestandteilen vorgeben. Anders sieht dies bezogen auf Datenschutzmanagementsysteme (DSMS) aus, wo dem Verantwortlichen zwar durch die Datenschutzgrundverordnung (DS-GVO) entsprechende Rechenschaftspflichten für seine Datenverarbeitungen zugewiesen werden, aber offen bleibt, wie er die Einhaltung der datenschutzrechtlichen Vorschriften konkret nachweisen können muss. Der Beitrag möchte die Notwendigkeit eines DSMS oder zumindest den systematischen Nachweis ordnungsgemäßer Datenverarbeitung darstellen, wobei auch Bezug auf die „alte“ Rechtslage bis zum 25.5.2018 genommen wird. Hierbei sollen Ansätze aufgezeigt werden, wie in Ermangelung klarer Standards doch ein vernünftiger Ansatz gewählt werden kann, um den Nachweispflichten, die durch die DS-GVO abverlangt werden, nachzukommen.
Die IITR-Cert GmbH ist im Bereich der Zertifizierung des betrieblichen Datenschutzes tätig.
IITR Datenschutz GmbH
Marienplatz 2
80331 München
Telefon: +49 (89) 1891-7360
http://www.iitr.de
Telefon: +49 (0)89 1891 7360
E-Mail: email@iitr.de
Geschäftsführung
Telefon: +49 (0)89 1891 736-50
E-Mail: email@iitr.de