Die Landesdatenschutzaufsicht von NRW (LDI NRW) treibt die datenschutzrechtliche Zertifizierung von Unternehmen weiter voran. Vor wenigen Tagen hat sie einen deutschlandweiten Kriterienkatalog für IT-Lösungen genehmigt, bei dessen Erfüllung Unternehmen am Ende ein Zertifikat über die Einhaltung des europäischen Datenschutzrechts erhalten und damit werben können. Erstellt wurde der Katalog von der TÜV Nord Group. Es ist bereits die dritte Genehmigung dieser Art durch die LDI NRW.
NRW-Landesdatenschutzbeauftragte Bettina Gayk: „Meine Behörde leistet damit einen wichtigen Beitrag für die Rechtssicherheit und Verlässlichkeit im Wirtschaftsverkehr. Unternehmen können mit einem Zertifikat ihren Kund*innen und Geschäftspartner*innen deutlich machen, dass bestimmte Verarbeitungsprozesse durch ihre Produkte, Dienstleistungen und Datensysteme datenschutzkonform ablaufen. Ich kann nur empfehlen, diese Chancen zu nutzen.“
Konkret geht es um die Zertifizierungskriterien des Bewertungsprogramms „Trusted Site Data Privacy“ der TÜV Nord Group. Anhand dieser Kriterien kann eine Zertifizierungsstelle prüfen, ob die IT-Anwendung eines Unternehmens dem europäischen Datenschutzrecht entspricht. Bevor die Kriterien und damit das Programm zur Anwendung kommen, müssen die Kriterien von der zuständigen Datenschutzaufsicht genehmigt werden. Diese Genehmigung hat die LDI NRW jetzt erteilt. Damit baut die LDI NRW ihre europaweite Vorreiterrolle auf diesem Gebiet weiter aus. Erstmals hatte sie im Jahr 2022 in Deutschland und europaweit Zertifizierungskriterien genehmigt.
Das TÜV-Programm ist für Unternehmen gemacht, die Daten verarbeiten sowie für diejenigen, die das im Auftrag eines Unternehmens tun. Im Detail geht es um Datenverarbeitungen durch sogenannte informationsverarbeitende Services (IVS). Darunter versteht man etwa Online-Banking-, Buchhaltungs- und KI-Systeme oder auch Suchmaschinen. Zur Erbringung der IVS können sowohl Software- als auch kombinierte Soft- und Hardwarelösungen zum Einsatz kommen. Der Zertifizierungsprozess, der durch eine spezielle Zertifizierungsstelle erfolgt, umfasst in der Regel eine detaillierte Prüfung der Verarbeitungsvorgänge in dem jeweiligen Unternehmen. Dabei werden die technischen und organisatorischen Maßnahmen sowie die Einhaltung der Prinzipien der Datenschutz-Grundverordnung überprüft.
Neben der Prüfung durch die LDI NRW ist das TÜV-Programm auch vom Europäischen Datenschutzausschuss abgenommen worden. Bettina Gayk: „Die datenschutzrechtliche Prüfung sowohl auf EU- als auch auf nationaler Ebene macht die Zertifizierung besonders wertvoll, weil sie nicht nur in Deutschland sondern in der gesamten Europäischen Union anerkannt ist. Dies trägt maßgeblich zur Wahrung der Persönlichkeitsrechte betroffener Personen bei.“
Weitere Informationen unter: https://www.ldi.nrw.de/datenschutz/wirtschaft/verzeichnis-genehmigter-zertifizierungskriterien-bei-der-ldi-nrw-nach-art-42