Datenschutz PRAXIS - Der Podcast

Datenschutz PRAXIS - Der Podcast

Transkript

Zurück zur Episode

00:00:00: Herzlich willkommen zu einer neuen Folge von Datenschutzpraxis der Podcast heute gehts um den Stand der Zertifizierung nach DSGVO.

00:00:10: Unsere Interviewpartnerin ist Marit Hansen, Landesbeauftragte für Datenschutz in Schleswig-Holstein.

00:00:17: Die aktuelle Podcast Folge wird unterstützt von WEKA MEDIA.

00:00:25: Mit WEKA Manager Verarbeitungstätigkeiten können Sie Ihr Verarbeitungsverzeichnis nach Artikel 30 DSGVO ganz einfach dokumentieren. Die Vorteile.

00:00:36: Die flexibel anpassbare Musterstruktur, über 100 Muster-Verarbeitungstätigkeiten im praktischen Word-Format.

00:00:44: Weitere Features wie das DSFA-Tool und ein umfangreiches Fachinfo-Modul mit Gesetzestexten.

00:00:52: Die Software ist mandantenfähig und Sie können Multi-User-Lizenzen dafür erwerben.

00:00:57: Mehr Infos und Bestellung unter www.weka.de/

00:01:03: 9245.

00:01:09: Mein Name ist Severin Putz und zusammen mit Oliver Schonschek begrüße ich Sie zu unserer neuen Folge: Hallo Oliver.

00:01:15: Hallo Severin und Hallo liebe Zuhörerinnen und Zuhörer.

00:01:20: Heute möchten wir uns mit unserer Interviewpartnerin Frau Marit Hansen über den Stand der Zertifizierung nach DSGVO

00:01:27: unterhalten und dazu begrüße ich Sie auch sehr herzlich liebe Frau Hansen herzlich willkommen.

00:01:37: Ja liebe Frau Hansen.

00:01:38: Willkommen zurück sozusagen! Für unsere erste Folge damals im Juli 2019 durften wir uns schon einmal mit Ihnen unterhalten und da ging es um das Thema Datenschutzaudit.

00:01:50: Und wir hatten Sie damals bereits zum Stand der DSGVO-Zertifizierungen auch befragt.

00:01:56: Ja da möchten wir gerne nachhaken. Aber der Reihe nach. Oliver, gibst du uns wieder deine kurze Einführung.

00:02:02: Ja sehr gerne. Datenschutz-Zertifizierung ist ja ein Thema, das uns alle schon lange begleitet und auch unsere Interviewpartnerin Frau Hansen hat sich

00:02:12: da auch schon mehrfach zu geäußert, so in ihrem Datenschutzbericht für das Jahr 2021. Ich zitiere mal ein Instrumente Datenschutz Grundverordnung,

00:02:22: immer noch nicht mit Leben erfüllt die Zertifizierung

00:02:25: sie hat sich der Arbeitskreis für die Beziehung unter Leitung des ULD und aber dafür die Grundlage gelegt dass sich Zertifizierungsstellen akkreditieren lassen können.

00:02:35: Voraussichtlich werden Zertifizierung nach der datenschutz-grundverordnung günstig bei der Wahl von

00:02:40: internationale Datentransfer eine Rolle spielen und das klingt sehr interessant denn das sind Themen die wird sich unsere zuhören und Zuhörer sehr aktuell bewegen

00:02:52: Nachfrage vorhanden wie ist der aktuelle Stand um vielleicht nochmals auf dem.

00:02:58: Gebracht warum das Thema Datenschutz-Zertifizierung für wichtig ist welche Bedeutung kommt denn der Datenschutz-Zertifizierung nach datenschutzgrundverordnung zu welche Vorteile bringen.

00:03:09: Wenn wir uns die DSGVO anschauen und dort in die Artikel 42/43 schauen und in den zugehörigen Erwägungsgrund dann sehen wir dass es vor allen Dingen darum geht

00:03:21: die Transparenz zu erhöhen und die Einhaltung der Verordnung der DSGVO auch zu verbessern und deswegen sollen.

00:03:29: Steht es denn Zertifizierungsverfahren Datenschutz Siegel und Prüfzeichen.

00:03:34: Eingeführt werden um einen Überblick zu ermöglichen insbesondere eben für verantwortliche.

00:03:41: Sich z.b. Auftragsdatenverarbeitung bedienen um oder eben auch selbst für ihre eigene Datenverarbeitung sicherstellen wollen dass alles in Ordnung ist.

00:03:50: Findet das Wort Zertifizierung oder eben die Bezüge zu dem Artikel 42/43 an verschiedenen Stellen und da sieht man dann dass es Vorteile hat.

00:04:00: Man so ein Zertifizierungssystem hat und diese eigenen Datenverarbeitung das sind die verarbeitungsvorgänge dann auch einer Zertifizierung unterzogen worden sind.

00:04:10: Denn an fünf Stellen spielt das eine besondere Rolle.

00:04:13: Als Gesichtspunkt für die Erfüllung der Pflichten des verantwortlichen das ist ja mal ganz wichtig zentral im Artikel 24.und Absatz 3 also ein

00:04:23: Gesichtspunkt es ist doch keine Garantie dass alles perfekt ist aber doch sehr wichtig als wenn man Nachweise führen möchtest dass das eine Möglichkeit darstellt da steht das Wort Gesichtspunkt.

00:04:35: Dann folgen weitere ähnliche Formulierung da heißt es ein Faktor

00:04:41: Nachweis der Erfüllung der Anforderungen das betrifft den Artikel 25

00:04:46: Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen also Artikel 25 Absatz 3.

00:04:54: Dann im 28 dass es geht da gibt um die Garantien des auftragsverarbeiters

00:04:59: um die Sicherheit der Verarbeitung Artikel 32 und schließe dich was uns gerade seit kurzem ja noch mal besonders bewegt auch als ein Nachweis

00:05:10: die Datenübermittlung an ein Drittland zulässig sein kann mit Artikel 46 also fünf Stellen wo Zertifizierung eine besondere Rolle spielt.

00:05:19: Es verpflichtet keinen Verantwortlichen.

00:05:22: Man seine Nachweise darüber führt aber es erleichtert dann die Arbeit wenn so ein System vorhanden ist und tatsächlich die eigenen Datenverarbeitung sich daran orientieren oder darauf aufbauen.

00:05:35: Körpers Erleichterung wünschen sich für manche Unternehmen bei der Umsetzung der datenschutzgrundverordnung.

00:05:42: Und wenn man gern das und sehr sehr schön dargestellt die verschiedenen Stellen der datenschutzgrundverordnung wo Zertifizierung

00:05:51: Landwirt

00:05:52: und du musst sagen fünfmal das ist schon ist schon ziemlich deutlich dass das ein Gewicht haben kannst und entsprechend sieht man ja auch

00:06:02: ISO Zertifizierung das hat sie in der Vergangenheit auch schon gegeben es gab ja Zertifikate schon früher.

00:06:10: Und auf das Interesse daran war auch schon früher hoch gerade z.b. sie nannten das Jahr Datenübermittlung Drittländer beispielsweise Suche nach einem Cloud-Anbieter da braucht man Orientierung braucht man Hilfe

00:06:23: ist das Datenschutzniveau wie kann ich da einen Nachweis einfordern wie kann ich dir das überprüfen

00:06:31: wenn ich jetzt sage ok Datenschutz-Zertifizierung es hat früher schon gegeben aber Datenschutz-Zertifizierung nach datenschutzgrundverordnung ist ja noch mal was anderes.

00:06:40: Unterscheidet sich das dann.

00:06:42: DSGVO hat das ja als Regel direkt drin das bedeutet eine gesetzliche Normierung dass es dann so eine Datenschutz-Zertifizierung.

00:06:51: Gibt und dass sie auf was zählt das bedeutet das natürlich bestimmte Qualitätsanforderung unerlässlich sind

00:06:58: aber nicht jeder kann weil irgendwie behaupten da ist das korrekt und unterschreibt dann und hat vielleicht aber nur ganz minimal sich mal die Datenverarbeitung angeschaut hier ist eben damit verbunden.

00:07:11: Die DSGVO erfüllt wird bei dieser Datenverarbeitung und das bedeutet dass man nicht nur locker-flockig mal über ein System schauen

00:07:20: wann

00:07:21: Markus eben aus dem Park lights Zertifikate in der Vergangenheit gegeben haben sondern muss schon sehr grundsätzlich herangehen und dass sich alles mal anschauen also erstmal ist es.

00:07:32: Denn auf deiner Seite eine gesetzliche Normierung damit auch eine Verlässlichkeit auf deiner Seite auch eine Professionalisierung und deswegen ist es in einem System drin was hier auch mit Akkreditierung also auch bestimmten staatlichen.

00:07:47: Name Prozessen zu tun hat das ist also upgegradet würde ich sagen auf jeden Fall etwas und es sollen ja vergleichbar sein.

00:07:56: Innerhalb.

00:07:57: Oh natürlich eines Mitgliedstaats bei uns mit den verschiedenen Bundesländern und dann darüber hinaus sowie die datenschutz-grundverordnung Anwendung ja auch einheitlich sein soll und damit kommt man dann wieder dazu einheitlich Interpretation der Vorgaben.

00:08:12: Einheitliche Bestätigung dann dass etwas der datenschutz-grundverordnung auf das ehrlich genügt und das muss dann sehr sorgfältig aufbereitet werden jetzt wundert man sich warum ist das noch nicht passiert ja genau deswegen ist passiert schon.

00:08:26: 2018 die ganze Zeit man muss sich doch sehr genau darüber verständigen auch unter den Aufsichtsbehörden,

00:08:33: und zusammen mit diesen auf staatlichen Stellen in Deutschland ist es z.b. die deutsche Akkreditierungsstelle an sich schon.

00:08:41: Viele Punkte gesagt die mir jetzt in der Nachfrage noch wichtig werden soll wenn wir sehen Datenschutz Zertifikat ist nicht gleich Datenschutz Zertifikat und das Ziel ist es etwas gesetzlich normierte Samet

00:08:54: gefahren wo man weiß wenn das erfüllt ist dann ist auf die datenschutzgrundverordnung eingehalten deshalb noch mal die Frage wie ertasten.

00:09:04: Nach datenschutzgrundverordnung zertifizieren weil sie hat mir gesagt es gab es früher mal so Datenschutz light und dann ist vielleicht Siegel vergeben worden aber

00:09:13: womöglich wurde der gar nicht so alles angeschaut wie man sich das gewünscht hätte wären wir dachten zertifizieren.

00:09:20: Hier spielt die Akkreditierung eine große Rolle denn nur akkreditierte Zertifizierungsstellen.

00:09:26: Dürfen zertifizieren und dazu kommen aber auch noch Datenschutzaufsichtsbehörden wenn die das als ihre Aufgabe wahrnehmen möchten dass es optionale.

00:09:35: Akkreditierung ist also zunächst wichtig und in Deutschland läuft das zusammen mit einer Akkreditierung und befugniserteilung.

00:09:44: Auf Basis jetzt kommt noch ein Begriff genehmigter Zertifizierungskriterien die müssen erst noch genehmigt werden durch die Dax die da deutsche Akkreditierungsstelle

00:09:53: und die Aufsichtsbehörden also das bedeutet ist schon bisschen aufwendiger aber

00:09:57: das hat ein Grund dieser Aufwand ist notwendig damit eben alles denselben Maßstab erfüllen

00:10:04: und was ich auch noch interessant finde dass man sich spezialisieren kann auch als Zertifizierungsstelle beispielsweise für den Gesundheitsbereich.

00:10:13: Und dann dort auf Schwerpunkte wägt das hieße dann auch dass die Zertifizierungskriterien darauf zugeschnitten sind und auch wieder eine Vergleichbarkeit besteht wenn im Gesundheitsbereich Konkurrenten als Zertifizierungsstellen.

00:10:25: Aufstehen wollen aber erstmal Qualitätscheck gleich schon am Anfang denn wenn erstmal eine Zertifizierungsstelle akkreditiert ist dann soll es ja auch gelten dann wäre es für alle Beteiligten.

00:10:35: Sehr unschön wenn man später feststellt das warm ist.

00:10:38: Passiert ist es kein will in anderen Bereichen ja auch dazu ein Brustimplantat oder ein Staudamm nicht so die Anforderungen erfüllt und das ist immer ich würde wirklich sagen Dübel für die betroffenen Personen für die darunter leiden aber auch für diejenigen.

00:10:53: Die dafür als Zertifizierungsstelle oder als Nutzern da der dieser jeweiligen Technik oder was

00:10:59: ja verschiedene Gerätschaften dass die darunter leiden wenn das nachher irgendwas passieren Risiko sich realisiert also es soll von Anfang an die Spreu vom Weizen getrennt werden.

00:11:10: Man kann sich ja vorstellen bevor jemand zertifizieren darfst muss dieser muss diese Stelle wo das ist akkreditiert aber setz dich auch sowas wie zertifiziert.

00:11:23: Em werden überprüft also nur dann kann man ähnlich aus wie man wenn man am Zertifikates im Internet denkt sitzen wie Wurzelzertifikat also nur dann wenn es auch von einer sicheren Quellen kann das auch ein sicheres zuverlässiges.

00:11:38: Zertifikat Verein

00:11:40: kann man denn eigentlich alles zertifiziert mich etwas interessieren also Zertifikate kennen wir ja ganz unterschiedlich es gibt ja Personen die sind zertifiziert für irgendwas aber

00:11:51: was kann ich dir nach datenschutzgrundverordnung eigentlich zertifizieren da schaue ich auch wieder in den Artikel 42 und da steht es so ein bisschen.

00:12:01: Ja vielleicht gibt es drin weil viele dachten ich möchte in einen Laden gehen und gleich sehen dass es jetzt dsgvo-konform ich ich kaufe mir sozusagen die Software oder ich lade sie mir runter die App ist dann gleich schon da mit versehen

00:12:13: kann man eher so eine Produkt denke gehabt vielleicht ist es eher anders wie wie z.b. auch eine eine Cloud oder bestimmte Prozesse die man.

00:12:23: Als Gesamtsystem sieht wo auch ein Verantwortlicher oder ein auftragsverarbeiter jeweils dran hängt und da geht es um die Verarbeitung Vorgänge eben von Verantwortlichen.

00:12:34: Auftragsverarbeiter und da gehören auch Produkte zu verfahren Prozesse Dienstleister aber wichtig ist immer Dienstleistungen.

00:12:42: Wichtig ist immer eine konkrete Datenverarbeitung muss damit stattfinden.

00:12:47: Sehen wir uns dann an Seite es gibt viele Bedarfe auch nach Dingen die die DSGVO.

00:12:53: Entweder föhnen oder damit zusammenhängt ganz ganz eng sind Personen z.b. die Kompetenz einer oder eines.

00:13:01: Oder ein Managementsystem dass mir hilft dass ich einen Überblick halte behalte über alle meine Datenverarbeitung in meinem Unternehmen und über den den stand jeweils Bescheid Konzepte ein tolles Sicherheitskonzept.

00:13:16: Aber abstrakt bleibt und wo noch nicht irgendwie irgendwo echte personenbezogene Daten eine Rolle spielen diese drei also Person Managementkonzepte

00:13:25: nicht Adressat die Gewähr können nicht nach der dsgvo zertifiziert werden und auch nicht reine Produkte

00:13:32: wo nicht noch eine zusätzliche Datenverarbeitung über einen Verantwortlichen also ein Hersteller der auch noch verarbeitet oder ein auftragsverarbeiter eine Rolle spielt die können auch nicht zertifiziert werden losgelöste Software es muss immer diese

00:13:44: arbeitung sein das ist der Ansatzpunkt der DSGVO und deswegen sind die DSGVO-Zertifizierungen auf genau an dieser Stelle ansetzen.

00:13:53: Ich glaube das wirklich ein ganz wichtiger Punkt dass wir uns das noch mal beuthert haben weil es gibt natürlich haben sie auch gesagt den Bedarf also viele würden gerne sagen mein Produktes kriegt jetzt in Aufkleber hat sie ein Zertifikat Datenschutz Grundverordnung

00:14:08: das hat.

00:14:09: Nicht mit Produkten nicht persönlich mit Managementsystem zu tun sondern einzig und allein mit der Verarbeitung der personenbezogenen Daten und ob die konform sind nicht das kann zertifiziert werden die Frage noch.

00:14:23: Wilton ein zukünftiges Zertifikat gilt das

00:14:27: dann in der ganzen EU gilt das über da wo die datenschutz-grundverordnung gilt das dann z.b. wenn ich das Zertifikat in Deutschland bekommen habe einfach nur mal gefragt damit man das ab klopft geht das dann nur Deutschland oder.

00:14:40: Wie geht das.

00:14:42: Das eine ist ja was was gilt das ist die DSGVO mit diesen fünf Stellen wo es noch alle Spiel dass das sozusagen leichter abgehakt werden kann da muss man sich da Daily auf das auf den Windows auf den Anwendungsbereich dann

00:14:56: ziehen und die dsgvo Trend ab das europäische,

00:15:01: Tierschutz für die Datenschutz-Zertifizierung einen einzigen Gütesiegel was für ganz Europa da ist das muss nämlich noch zusätzliche Kriterien für alle.

00:15:11: Erfüllen und da muss es dann auch über die die anderen Tische sozusagen mitlaufen im europäischen datenschutzausschuss während die nationalen

00:15:20: und da wird aber bei uns jetzt nicht nach Bundesländern entschieden nach sie die nationalen Zertifikate sich erstmal für die

00:15:28: Möglichkeiten wie man sich darauf berufen kann auf lokal beziehen das heißt das bleibt dann im Mitgliedstaat jemand der ein ein ein polnischer Anbieter der

00:15:37: wahrscheinlich auf polnisch seine Zertifizierungsnummer Nation einreicht und dann ein Zertifikat stop bekommen dass es dann nicht automatisch hier in Deutschland auch anwendbar aber.

00:15:49: Hier z.b. auf die Interessenten die die Anwender nutzen ist es durchaus möglich dass man auch dort sich dann wahrscheinlicher erleichtert.

00:16:00: Auf eine einseitige Karte besorgen kann weil ja doch eine einheitliche Anwendung genau notwendig ist in der EU also bedeutet dass es dann vielleicht doch für viele interessant.

00:16:12: Wenn die nicht gleich auf das europäische Datenschutz durch die Siegel abzielen und wenn es in der

00:16:18: ja faktisch eine Erfüllung der datenschutz-grundverordnung darstellten würde ich doch als jemand der für eine Beschaffung eines Produkt zuständig ist ja mal diese Unterlagen anfordern,

00:16:28: bei der Ausschreibung sagen ich brauche was das soll die DSGVO erfüllen ach ihr habt ein Zertifikat was bei mir zwar gar nicht direkt gilt.

00:16:35: Und genauso alles belegen dann hilft es mir natürlich auch weiter.

00:16:40: Und ich glaube die Ausführungen die sie uns dann bisher gebracht haben die zeigen außen sehr uns ja auch anklingen lassen warum es eigentlich bisher keine entsprechenden Zertifikate gibt damit es ganz viel ist verbunden

00:16:55: trotzdem,

00:16:56: intro inside 2018 bei nicht Stille ruht der See sondern es ist jetzt doch schon weit fortgeschritten das Ganze also.

00:17:06: Können Sie uns vielleicht zur Anhalt geben dann können wir denn mit ersten Zertifizierung nach datenschutzgrundverordnung rechnen.

00:17:14: Rosen sind immer schwierig weil ich tendenziell zu optimistisch kalkuliere.

00:17:21: Kann aber schon sagen in diesem Halbjahr 20-22 wird es noch keine.

00:17:26: Zertifizierung geben aber die Kriterienkataloge könnten dann schon von einigen die als Zertifizierungsstelle etwas vorgelegt haben.

00:17:35: Dann genehmigt werden und genehmigt sein und die Akkreditierungsverfahren also beides eben noch vorgelagert könnte dann auf jeden Fall könnte schon begonnen haben.

00:17:47: Dann wenn es anders optimal lief ist könnte vielleicht auch schon tatsächlich Ende 22er mit Zertifizierung

00:17:54: begonnen werden also das bedeutet vorgelagert muss eben noch sein Genehmigung der Kriterienkataloges

00:18:00: und dann die Akkreditierungsverfahren das jetzt so viel Vorbereitungsarbeit schon gelaufen so dass das jetzt vermutlich doch

00:18:08: ein bisschen mehr Schwung reinkommt und die interessierten Zertifizierungsstellen also die die das werden wollen die sind natürlich schon die ganze Zeit.

00:18:16: Da und fliegen ganz genau mit was zu tun ist es gibt da auf die Anwendungshinweise für die Zertifizierungskriterien die sind recht umfangreich aber auch sehr konstruktiv formuliert sie wissen genau wie sie das dann jetzt beantragen

00:18:29: denn wenn man sich das alles selbst ausdenkt also nur auf der Basis der DSGVO und dann

00:18:35: schreib so stell ich mir das vor dann ist das nicht unbedingt kompatibel zu dem was dann im europäischen Konzert erwartet wird und deswegen war eben so viel Vorlauf notwendig ich hoffe aber das ist jetzt wirklich Schlag auf Schlag weitergeht.

00:18:50: Sind ja auch alle ganz gespannt drauf und wir haben ja schon ein ganz gesagt

00:18:54: viele Unternehmen warten darauf ist es denn vielleicht auch sinnvoll für die wir schon sehr gespannt drauf sind auch als Unternehmen nicht nass.

00:19:03: Stelle oder als Stelle die das gerne werden würde mal in diese Anwendungshinweise der DSK reinzuschauen zu denen Zertifizierungskriterien hat man da schon mal so einen gewissen Eindruck wenn man das an was da auf einen zukommt.

00:19:17: Ich mach dich jetzt viel von mir selbst wenn er natürlich ist es mein Beruf da reinzuschauen aber als ich es erstmal den Titel gelesen habe dieses Dokuments dachte ich auch dass es bestimmt nicht so interessant das muss ich mir nicht anschauen habe natürlich dann doch gemacht und es ist sehr spannend also.

00:19:32: Auch für jemanden der nicht eine Zertifizierung anstrebt er kann das ja sinnvoll sein noch mal zu sehen was wird denn erwartet was sind denn die Dinge die erfüllt werden müssen und selbst wenn ich

00:19:42: nicht als auftragsverarbeiter beispielsweise das noch für meine Kunden bewerben möchte sondern für mich absichern will ist das weiterhin für dich sagen hilfreich und empfehlenswert also es ist schon etwas,

00:19:54: man kann das auch aus anderen Stellen aus anderen Quellen ziehen aber hier hat man schön kompakt das sind die Erwartung und das ist ja auch was was man dann sowieso für seinen eigenen Nachweis auch für intern.

00:20:05: Haben sollte nicht erst wenn die Aufsichtsbehörde vorbeikomme.

00:20:09: Wähle gleich 14 anwalt.de App Podcast auf dem wir schwer mit ihnen machen dürften Datenschutzaudit als wenn einer so intensiv sein Datenschutz anschaut könnte sicherlich da auch die ein oder andere Anregung finden denke ich mal richtig.

00:20:25: Wenn du jetzt noch mal auf die anderen Datenschutz Zertifikat schauen die Star gegeben hat was wird denn aus denen ist bei ihrer Einschätzung gut die ist die

00:20:37: sind weiter da aber das sind eben keine nach datenschutzgrundverordnung

00:20:41: oder wird das der Markt bereinigen ich weiß wie der so eine Prognose die man aber sowas was würden Sie sagen also sprich werden die einfach verschwinden weil die das nicht halten können was man sich erwartet.

00:20:52: Ein Zertifikat oder sagen Sie die wird's wohl weitergegeben.

00:20:57: Ich schätze dass wir weiter eine Vielfalt haben werden es kann ja auch sein dass einige die jetzt schon so.

00:21:05: Raus geteilt sind sich auch noch dem richtigen Prozess der Akkreditierung unterziehen möchten dass Sie also er jetzt mal

00:21:13: abgesetzt haben aber dann sagen ok jetzt wollen wir für die Zukunft durchaus auch in die DSGVO kompatible Zertifizierung

00:21:21: einsteigen oder wir zeigen eben auch foxboro Unterbereiche ganz

00:21:28: sinnvoll sind denn es gibt natürlich auch Sicherheitszertifikate die gab's ja auch schon lange die gibt es auch weiterhin oder ich weiß und Verbraucherschutz spielen bestimmte Zertifikate eine Rolle wo auch immer mehr digitales

00:21:40: Produkte auf den Markt kommen irgendwie auch da Spreu und Weizen getrennt werden sollen das bedeutet.

00:21:46: Prinzipiell ist eine Vielfalt möglich wer allerdings behauptet er macht aldi.es GVO Zertifizierung und das ist nicht nachher durch eine Akkreditierung gedeckt

00:21:56: kann das gut sein dass der Markt bereinigt wird ist kann zur Abmahnung kommen es kann auch sein dass da mal auf die eine oder andere Weise nachgefragt wird

00:22:08: man sollte schon sehr genau aufpassen wenn man sagt DSGVO nach Artikel 42 43 zertifiziert das muss dann auch halten.

00:22:16: Wenn ich jetzt das Unternehmen Zukunft schaue also ich krieg vielleicht in Zertifizierung angeboten oder als Nachweis vorgelegt die kann ich denn prüfen ob das wirklich eine Zertifizierung nach datenschutzgrundverordnung

00:22:30: alle diesem Verzeichnis dann wo ich reinschauen kann.

00:22:33: Richtig alle diese Zertifizierungen werden aufgelistet und sind ja auch erstmal für fünf Jahre dann ja gültig und vielleicht gibt's da ja auch noch besonderes Besonderheiten die eine Rolle spielen das findet man dann auf meiner Liste.

00:22:46: Also das ist das jetzt genau nachgewiesen und das sollte man auch schauen übrigens auch nicht nur dann diesen Stempel sozusagen sich abholen sondern dann außer wie habt ihr es denn erfüllt wir wollen auch verstehen warum ihr

00:22:57: Giebelseite DSGVO wie habt ihr denn diese schwierige Problem gelöst also dass man nicht nur.

00:23:03: Ein blindes Vertrauen hat wo einer mal ein Stempel drauf gemacht hat und

00:23:09: möglicherweise der stand aber nicht so gehalten wurde was man ja dann nicht so weiß sondern dass da mehr ist nun ist es aber meistens der Fall,

00:23:17: wer sich einer dieser doch auch aufwendigen Zertifizierung und der zieht der will ja auch

00:23:22: darüber ja seinen Kunden darstellen dass er dass es vertrauenswürdig ist das ist belegt

00:23:29: Würth mit mit echten mit echter Erfüllung und das bedeutet da glaube ich dass da gar nicht

00:23:35: Mit dem Profis sich irgendwelche Probleme auftun wär sicher durch fummeln wollte da gibt es viele Möglichkeiten das raus zu filtern und dazu ja eben auch dieses.

00:23:45: Mit den Zertifizierungsstellen wie auch Gefahr laufen übrigens dass ihnen die Akkreditierung entzogen wird wenn sie ja eher zuviel Augen zu drücken oder.

00:23:53: Übersetze sich beteiligen würden an der Fummelei also kann für diejenigen nicht von Interesse sein.

00:23:59: Zum Schluss von meiner Seite wo ich mit Ihnen spreche fragen sie muss ich natürlich auch sagen was plant das wohl de werden.

00:24:08: Aufsichtsbehörden ist das Oldie auch Zertifikate anbieten wenn sie dazu schon was sagen wir sind auch sehr neugierig ob noch

00:24:17: weitere Aufsichtsbehörden sich ein bisschen in diese Richtung vorwagen und hören da gemischte Signale auch aus den anderen Mitgliedstaaten sind selbst sehr

00:24:26: hoffen und möchten das gerne tun bei der Zertifizierung auch selbst konstruktiv dabei sein

00:24:32: aber mit dem Hintergrund es geht hier um Schleswig-Holstein und es geht um

00:24:37: diejenigen die hier z.b. besondere Nachweise im öffentlichen Bereich

00:24:43: benötigen also wir werden nicht den Markt beeinflussen durch Konkurrenzsituation aber wir werden den öffentlichen Stellen die hier bestimmte Entwicklungen haben vermutlich das anbieten können werden aber auch

00:24:58: müssen ja den selben Standard halten.

00:25:00: Aber auch gefunden mäßig schauen ob sich das so darstellen lässt oder ob nicht für bestimmte Dinge ganz andere zertifizierungs Einheiten.

00:25:10: Günstiger oder oder sicherer werden also wo Labore in großem Stil was testen können wo bestimmte Spezialkenntnisse erforderlich sind kann ich mir gut vorstellen dass wir uns es anschauen Schädel

00:25:23: Typisierung die nachgefragt wird auch wirklich erfüllen also bedeutet wir

00:25:28: daneben im kleinen Bereich öffentlicher Bereich Schleswig-Holstein aber.

00:25:34: Jetzt eben schon das Instrument was ja vorhanden ist dann auch ausnutzen können und auf keinen Fall können wir als Aufsichtsbehörde uns erlauben darf

00:25:44: besonders viele Augen zuzudrücken das wäre natürlich dann auch nicht möglich man wird schon sich überlegen wenn man uns fragt.

00:25:51: Okay gut also ich glaube das ist dann auch deutlich Gewinns zum einen sehr gute das SUID weiterhin an diesem Thema dran bleibt wo sie ja

00:26:03: für immer schon,

00:26:04: federführend mit dabei waren und aber ich glaube es ist auch noch mal deutlich geworden diese Zeit Beziehung ist tatsächlich auch etwas sagt es zwischendurch wo Spezialkenntnisse vielleicht

00:26:15: im Gesundheitswesen wo man vielleicht besagten Labore wo man also vielleicht Untersuchungen anstellen musst die jetzt nicht von jedem erbracht werden kann also muss es wirklich dann auch in Zukunft das Unternehmen

00:26:30: man sich auch an die Zertifizierungsstelle wendet

00:26:33: gesagt hier das ist mein mein Gebiet hier kann ich die Zertifizierung auch anbieten und ich denke sie haben das schon mal sehr viel Klarheit in die aktuelle Entwicklung gebracht und würde jetzt.

00:26:47: Mit meinem Gang kann sie an meinen Kollegen Severin putzki.

00:26:53: Ja vielen Dank Frau Hansen auch von meiner Seite und von mir die Frage ich ich höre aus unserem Kunden und

00:27:00: unser Alisa Kreise da auch öfter die ganz einfachen Fragen im Prinzip wie viel kostet denn so eine Zertifizierung und wie wie lange muss ich denn rechnen

00:27:10: wie lange dauert so ein Prozess wenn ich dann mich oder einen bestimmten Verarbeitungsvorgang zertifizieren lassen möchte.

00:27:19: Ja gerne würde ich Ihnen da ganz klar antworten wenn ich das dann auch wüsste aber was ich gemacht habe ist es vorher natürlich geschaut was ist denn jetzt mit den existierenden Zertifikaten die.

00:27:31: Ja ein Teil dessen erfüllen was wir bei der DSGVO erwarten und dazu gehört beispielsweise.

00:27:37: ICD fizierung auch nach IT Grundschutz BSI dort wird selbst auf der Webseite geschrieben drei Monate bis ein Jahr muss man planen und schon einen entsprechenden Ressourcenaufwand und viele Fachleute die denn auch da sind

00:27:51: also wer wirklich etwas größeres

00:27:55: man strebt das kann schon länger dauern der wird aber vermutlich doch auf jetzt schon seine ganzen Nachweise entsprechend aufbereitet haben so dass es dann doch vielleicht wieder schneller geht oder dass bestimmte Sicherheit

00:28:09: Nachweise durch eben andere Zertifikate schon erbracht werden können das kann es auch abkürzen

00:28:16: das fand ich eben auch schon spannend also gesprochen haben was was wird aus anderen Datenschutz-Zertifizierung da hatte ich mir gedacht

00:28:26: es gibt ja die 27701 die 27001 diese

00:28:33: dir auch zertifiziert werden und dass das dann vielleicht auch flankierende Zertifikate sind.

00:28:41: Die eben dann im Managementsystem zertifizieren das war die dsgvo nicht möchte.

00:28:46: Für mich möchten es ja falsch also nur nicht kann vielleicht dran es ist vielleicht ist es auch redaktionell unglücklich geschrieben aber prinzipiell System existieren sowieso.

00:28:58: Damit

00:28:59: zumindest bei einer gewissen Größe seine Verarbeitung im Griff hat ja ich glaube das kann ganz gut in Kombination laufen aber auch da darf es nicht nur um den Stempel gehen sondern um die.

00:29:12: Tatsächliche Erfüllung was geprüft wurde ich mach mal ein anderes Beispiel nicht Management sondern jemand hat eine Verarbeitung die funktioniert mit blockchain.

00:29:21: Wirklich aber nicht Gedanken darüber gemacht wie man nachher löscht oder eher betroffenenrechte erfüllt.

00:29:27: Kann er zwar vielleicht ein Sicherheitszertifikat vorlegen vielleicht sogar mit dem besondere Exzellenz.

00:29:33: Aber das heißt gar nicht das denn die DSGVO mit den Datenschutzvorschriften erfüllt wird das würde da vielleicht sogar durchfallen.

00:29:40: Bedeutet nicht nur den Stempel anschauen sondern auch schauen was wurde wirklich geprüft wie läuft das mit den jeweiligen Anforderungen zusammen und die Sicht der betroffenen Person.

00:29:51: Die ist doch wirklich Julika Sofa.

00:29:53: Besonderes in der DSGVO das haben die anderen Zertifizierungskriterien üblicherweise liegt im Bereich IT Sicherheit beispielsweise kommt das dann zu kurz muss kein Nachteil sein weiß nur es muss ich ergänzen und es darf sich nicht widersprechen.

00:30:09: Und dann hätte ich von meiner Seite aus zum Abschluss noch eine Frage die sich mir jetzt in die Prozesse

00:30:17: der Aufsichtsbehörden in diesen Akkreditierungsprozess dich darum dreht wie läuft die Zusammenarbeit

00:30:26: mit der Taxi müssen ja da auf gewisse Weise zusammenarbeiten.

00:30:31: Mit der kann ich kann ich als sehr vertrauensvoll konstruktiv und und gut beschreiben deswegen weil alle gemeinsam das Ziel haben ein vernünftiges aber auch handhabbare Zertifizierungssystem in Deutschland zu etablieren also bedeutete zienam

00:30:46: Sam Strang und auch in dieselbe Richtung.

00:30:49: Und wie viel am Aufwand entsteht ihnen dadurch durch diese Zertifizierungen oder die Jacke noch Akkreditierungen.

00:30:59: Denn das liegt so ein bisschen daran dies wie genau das schon vorbereitet wird und da

00:31:04: sind ja noch sodass es steckt ja noch in Kinderschuhen ich hatte erwartet dass wir in Deutschland eine höhere zweistellige Zahl an bewerbenden dafür haben

00:31:14: wir sind jetzt im Augenblick was ich so an Teile oder wovon ich Kenntnis habe er im.

00:31:19: Geringen zweistelligen Bereich und das Bedarf an wird nachher auch abhängen wie große

00:31:24: jemand eine Rolle spielt vielleicht noch was anderes interessantes noch ein wieder ein neuer Begriff die sogenannten konformitätsbewertungsprogramm wer das ist

00:31:33: Ö3 zu den Kriterienkataloge

00:31:36: Katalogen die bisschen abstrakter sind da sehen wir auch auf Bundesebene und auch im öffentlichen Bereich die Ideen und auch in einer Mitgliedstaaten wann liefert schon als vielleicht staatliche Instanz,

00:31:48: bestimmte Eckpfeiler für einen Sektor.

00:31:51: Also Gesundheit oder Schule oder so was besonders ist und mm und hat dann die Zertifizierungsstellen sich dessen anzunehmen und mit diesem.

00:32:02: Abstrakt Kevin gehaltenen der Kriterienkatalog mit ihrer mit ihrer Wurst oder so tatsächliche Zertifizierung vorzunehmen das heißt.

00:32:10: Jemand anderes erledigt schon bisschen Teil der der arbeit.

00:32:15: Und dann kanns marktwirtschaftlich aufgenommen werden diesen Ansatz den finde ich persönlich auch sehr spannend und da möchte ich auch gerne weiter.

00:32:24: Aufwand reingeben können denn das.

00:32:27: Ermöglicht etwas muss nachher nicht hin ich privat wirtschaftlich jeder selbst erfinden muss sondern das eine ganze Menge schon auch klar ist in diesem Sektor eben Gesundheit oder Schule.

00:32:37: Was erwartet und dann kann ich aber von verschiedenen auch in verschiedenen Konstellationen erfüllt und auch geprüft werden,

00:32:44: bedeutet auch dass es noch was zusätzliches wo gerade Aufwand entsteht aber das finde ich sehr gut und ich glaube das wird sich nachher rechnen also einfach in Effekt dass der Erfolg ist die dsgvo wird erfüllt ist kann nachgewiesen werden und das ganze System.

00:32:59: Kritisiert sich dann wie dsgvo Erfüllung funktioniert was ja doch noch zur Zeit mit einigen Fragezeichen versehen ist

00:33:08: also das Thema bleibt bleibt spannend und es wird dich wie ich noch wesentlich weiterentwickeln manchmal sieht schon mal hört es schon okay

00:33:17: ja liebe Frau Hansen noch mal herzlichen Dank für das Gespräch für die Antworten hat viel Spaß gemacht.

00:33:24: Ja sehr gerne und ich befürchte fast wir müssen uns irgendwann noch mal treffen vielleicht in anderthalb Jahren und dann wird er schon wieder die Welt im Bereich Zertifizierung ganz anders aussehen dann kann ich aktuell berichten.

00:33:36: Da bin ich mir auch sicher und da freuen wir uns schon sehr darauf ja lieber Oliver auch dir vielen Dank für die Vorbereitung des Gesprächs.

00:33:47: Ja sehr gerne und ich fand es absolut informativ und wir haben viele neue Einblicke erhalten und sind jetzt noch neugieriger wie es weitergeht.

00:33:57: Ja und das ganze können Sie über verfolgen auf unserer Webseite www Datenschutz Bindestrich Praxis. De.

00:34:05: Und wenn Sie Fragen an uns haben zum Podcast oder Vorschläge gewinnen wir in der Zukunft mal interviewen dürfen schreiben Sie uns doch an

00:34:15: PSP fwk.de ja und dann sage ich an dieser Stelle wieder vielen Dank für Ihr Interesse und bis zur nächsten Folge von Datenschutzpraxis der Podcast.

00:34:31: Wenn Ihnen diese Podcast Folge gefallen hat dann abonnieren Sie doch einfach unseren Podcast das ist kostenlos und sie verpassen künftig keine neue Folge.

00:34:40: Also bitte einfach abonnieren vielen Dank und eine gute Zeit ihr Team von Datenschutzpraxis der Podcast.