Frequently Asked Questions

FAQs zur Datenschutz-Grundverordnung

Mit der Anwendbarkeit der Verordnung 2016/679 (Datenschutz-Grundverordnung) am 25. Mai 2018 gilt in Deutschland und der gesamten Europäischen Union ein neues Datenschutzrecht. Das Bundesministerium des Inneren, für Bau und Heimat (BMI) hat zur Datenschutz-Grundverordnung eine Reihe von wichtigen Fragen und Antworten auf Ihrer Seite zusammengefasst.

Link zum FAQ des BMI

Die Einhaltung der Datenschutz-Grundverordnung und der nationalen Rechtsvorschriften zum Datenschutz wird in allen Mitgliedstaaten durch unabhängige Aufsichtsbehörden überwacht und durchgesetzt.

In Deutschland sind dies die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Aufsichtsbehörden der Bundesländer. Die BfDI ist zuständig für die Aufsicht über die öffentlichen Stellen des Bundes, die Gemeinsamen Einrichtungen nach dem Sozialgesetzbuch II (Jobcenter) und die Unternehmen, die Telekommunikations- oder Postdienstleistungen erbringen; im Übrigen sind die Aufsichtsbehörden der Länder zuständig.

Eine Übersicht über die Aufsichtsbehörden und deren Kontaktdaten findet sich auf der Website der BfDI.

Die Aufsichtsbehörden verfügen über die umfangreichen Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse des Artikels 58 Datenschutz-Grundverordnung. Sie können gegenüber dem Verantwortlichen insbesondere Verbote oder Anordnungen aussprechen und Bußgelder verhängen. Sie beraten zudem die nationalen Parlamente und Regierungen und gehen Beschwerden betroffener Personen nach. Bei der Erfüllung ihrer Aufgaben sind die Aufsichtsbehörden völlig unabhängig; sie unterstehen insbesondere keiner Rechts- oder Fachaufsicht.

Die Aufsichtsbehörden der Mitgliedstaaten arbeiten bei der Überwachung und Durchsetzung der Datenschutz-Grundverordnung eng zusammen. Sie leisten sich gegenseitige Amtshilfe und können gemeinsame Maßnahmen durchführen. Wichtige Auslegungs- und Anwendungsfragen, insbesondere solche mit grenzüberschreitendem Bezug, werden im Europäischen Datenschutzausschuss, dem Zusammenschluss aller Aufsichtsbehörden der Mitgliedstaaten auf EU-Ebene, beraten und verbindlich entschieden. Der Europäische Datenschutzausschuss trägt mit diesem Kohärenzverfahren zu einer EU-weit einheitlichen Anwendung der Datenschutz-Grundverordnung bei.

Die Aufsichtsbehörde am Ort der Hauptniederlassung oder der einzigen Niederlassung eines Unternehmens in der Europäischen Union handelt bei den Abstimmungsprozessen mit den Aufsichtsbehörden der übrigen Mitgliedstaaten als federführende Aufsichtsbehörde. Sie ist für Fragen grenzüberschreitender Datenverarbeitung einziger Ansprechpartner des Verantwortlichen (Artikel 56 Datenschutz-Grundverordnung). Dieses "One Stop Shop-Prinzip" bewirkt für Daten verarbeitende Unternehmen eine erhebliche Vereinfachung.

Quelle: BMI

Die Harmonisierung bietet enorme Chancen für die Wirtschaft, insbesondere für grenzüberschreitend tätige Unternehmen, da in der gesamten Europäischen Union die gleichen Regeln gelten; der hohe Abstraktionsgrad der Datenschutz-Grundverordnung stellt die Wirtschaft jedoch auch vor Rechtsunsicherheit.

Von hoher Bedeutung sind daher die Mechanismen, die die Wirtschaft befähigen, eigeninitiativ zur Konkretisierung der Datenschutz-Grundverordnung beizutragen. Die Instrumente der Verhaltensregeln, so genannte Codes of Conduct, und der Datenschutz-Zertifizierung werden durch die Datenschutz-Grundverordnung gestärkt und dienen als wichtiges Mittel zur Schaffung von Rechtssicherheit. Sie sind ein wichtiger Aspekt, um Datenschutz-Konformität nachzuweisen und hierdurch Vertrauen zu schaffen. Die Aufsichtsbehörden sind in die Ausarbeitung von Verhaltensregeln und der Zertifizierungskriterien eng einzubinden und genehmigen diese, so dass es sich um Instrumente der „regulierten“ Selbstregulierung handelt. Genehmigte Verhaltensregeln und Zertifizierungsmechanismen können Teil geeigneter Garantien für Datenübermittlung in Drittländer sein (Artikel 46 Absatz 2 Buchstabe e) und f) Datenschutz-Grundverordnung).

Über das Instrument der Verhaltensregeln (Artikel 40 Datenschutz-Grundverordnung) können Verbände und andere Vereinigungen die Anwendung der Datenschutz-Grundverordnung für spezielle Verarbeitungsbereiche oder Branchen präzisieren und hierbei insbesondere den Anforderungen kleinerer und mittlerer Unternehmen Rechnung tragen. Die Verhaltensregeln werden von der zuständigen nationalen Aufsichtsbehörde oder den Europäischen Datenschutzausschuss genehmigt und veröffentlicht. Die Europäische Kommission kann die vom Europäischen Datenschutzausschuss genehmigten Verhaltensregeln EU-weit für allgemein gültig erklären. Die Überwachung der Verhaltensregeln kann nach Artikel 41 Datenschutz-Grundverordnung einer unabhängigen Stelle übertragen werden, die von den Aufsichtsbehörden akkreditiert wird. Die Aufgaben und Befugnisse der Aufsichtsbehörden bleiben hiervon unberührt.

Mit datenschutzspezifischen Zertifizierungsverfahren (Artikel 42 Datenschutz-Grundverordnung) können Verantwortliche und Auftragsverarbeiter nachweisen, dass die Datenschutz-Grundverordnung bei den zertifizierten Verarbeitungsvorgängen eingehalten wird. Die Zertifizierung erfolgt anhand der durch die nationalen Aufsichtsbehörden oder - im Falle eines EU-weiten Europäischen Datenschutzsiegels - durch den Europäischen Datenschutzausschuss genehmigten Zertifizierungskriterien (Artikel 42 Absatz 5). Die Stellen, die die Zertifizierung vornehmen (Zertifizierungsstellen), müssen durch die Deutsche Akkreditierungsstelle (DAkkS) unter Einbindung der Aufsichtsbehörden akkreditiert werden (Artikel 43 Datenschutz-Grundverordnung i.V.m. § 39 BDSG 2018).

Für den in der Praxis sehr bedeutsamen Bereich der Auftragsverarbeitung im Rahmen von Cloud Computing steht mit dem Trusted Cloud Datenschutz Profil für Cloud-Dienste (TCDP) ein Zertifizierungsstandard auf der Basis des geltenden Bundesdatenschutzgesetzes zur Verfügung, von dem Anbieter und Nutzer von Cloud-Diensten gleichermaßen profitieren. Der Prüfstandard wurde im Rahmen des Technologieprogramms "Trusted Cloud" des Bundesministeriums für Wirtschaft und Energie entwickelt und wird durch die Stiftung Datenschutz verwaltet. Durch das vom Bundesministerium für Wirtschaft und Energie geförderte Forschungsprojekt AUDITOR wird der Standard derzeit an die Datenschutz-Grundverordnung angepasst und fortentwickelt. Ziel des Projektes ist insbesondere die Erstellung eines durch den Europäischen Datenschutzausschuss nach Artikel 42 Absatz 5 Datenschutz-Grundverordnung genehmigten Kriterienkatalogs für die Zertifizierung und die Entwicklung eines Prüf- und Zertifizierungsverfahrens.

Quelle: BMI

Über das Instrument der Verhaltensregeln (Artikel 40 Datenschutz-Grundverordnung) können Verbände und andere Vereinigungen die Anwendung der Datenschutz-Grundverordnung für spezielle Verarbeitungsbereiche oder Branchen präzisieren und hierbei insbesondere den Anforderungen kleinerer und mittlerer Unternehmen Rechnung tragen. Die Verhaltensregeln werden von der zuständigen nationalen Aufsichtsbehörde oder den Europäischen Datenschutzausschuss genehmigt und veröffentlicht. Die Europäische Kommission kann die vom Europäischen Datenschutzausschuss genehmigten Verhaltensregeln EU-weit für allgemein gültig erklären. Die Überwachung der Verhaltensregeln kann nach Artikel 41 Datenschutz-Grundverordnung einer unabhängigen Stelle übertragen werden, die von den Aufsichtsbehörden akkreditiert wird. Die Aufgaben und Befugnisse der Aufsichtsbehörden bleiben hiervon unberührt.

Mit datenschutzspezifischen Zertifizierungsverfahren (Artikel 42 Datenschutz-Grundverordnung) können Verantwortliche und Auftragsverarbeiter nachweisen, dass die Datenschutz-Grundverordnung bei den zertifizierten Verarbeitungsvorgängen eingehalten wird. Die Zertifizierung erfolgt anhand der durch die nationalen Aufsichtsbehörden oder - im Falle eines EU-weiten Europäischen Datenschutzsiegels - durch den Europäischen Datenschutzausschuss genehmigten Zertifizierungskriterien (Artikel 42 Absatz 5). Die Stellen, die die Zertifizierung vornehmen (Zertifizierungsstellen), müssen durch die Deutsche Akkreditierungsstelle (DAkkS) unter Einbindung der Aufsichtsbehörden akkreditiert werden (Artikel 43 Datenschutz-Grundverordnung i.V.m. § 39 BDSG 2018).

Quelle: BMI

Mit datenschutzspezifischen Zertifizierungsverfahren (Artikel 42 Datenschutz-Grundverordnung) können Verantwortliche und Auftragsverarbeiter nachweisen, dass die Datenschutz-Grundverordnung bei den zertifizierten Verarbeitungsvorgängen eingehalten wird. Die Zertifizierung erfolgt anhand der durch die nationalen Aufsichtsbehörden oder - im Falle eines EU-weiten Europäischen Datenschutzsiegels - durch den Europäischen Datenschutzausschuss genehmigten Zertifizierungskriterien (Artikel 42 Absatz 5). Die Stellen, die die Zertifizierung vornehmen (Zertifizierungsstellen), müssen durch die Deutsche Akkreditierungsstelle (DAkkS) unter Einbindung der Aufsichtsbehörden akkreditiert werden (Artikel 43 Datenschutz-Grundverordnung i.V.m. § 39 BDSG 2018).

Quelle: BMI



FAQs zu AUDITOR

Das Kompetenznetzwerk Trusted Cloud e.V. wird die Zertifizierung in Anschluss an das Forschungsprojekt verwalten. Dabei tritt Trusted Cloud e.V. insbesondere als Programmeigner auf. Die Zertifizierung wird durch jede Zertifizierungsstelle am Markt möglich sein, insofern diese sich akkreditieren lassen hat und eine Lizenzvereinbarung zur Vergabe des Zertifikats mit Trusted Cloud abgeschlossen hat.
Das Forschungsprojekt AUDITOR endet in seiner ersten Phase im Oktober 2019. Das AUDITOR-Konformitätsbewertungsprogramm wurde am 4 Februar 2020 bei der Deutschen Akkreditierungsstelle (DAkkS) zur gemeinsamen Programmprüfung und Bewilligung der Kriterien eingereicht. Abhängig von der Dauer der Programmprüfung und der Bewilligung der Kriterien können sich im Sommer 2020 Zertifizierungsstellen akkreditieren lassen. Zertifizierungsstellen müssen sich nach der ISO/IEC 17065 i.V.m. den ergänzenden Anforderungen zur Akkreditierung nach Art. 43 Abs. 3 DSGVO und dem AUDITOR-Programm akkreditieren lassen, damit sie ein AUDITOR-Zertifikat am Markt anbieten können. Zur Nutzung des AUDITOR-Gütesiegels wird ein Lizenzvertrag mit Trusted Cloud geschlossen.
AUDITOR hat insbesondere kleine und mittelständige Unternehmen als Zielgruppe fokussiert. Durch einen modularen Kriterienkatalog, der risikobasiert nach Schutzklassen ausgerichtet ist, können Kosteneinsparungen bei der Zertifizierung realisiert werden. Eine pauschale Angabe zu den Kosten für eine Zertifizierung ist nicht möglich, da diese immer abhängig vom jeweiligen Zertifizierungsgegenstand ist.
AUDITOR ist das Nachfolgeprojekt zum Trusted Cloud Datenschutz-Profil für Cloud-Dienste. Das TCDP ist ein Prüfstandard, der den datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes an Cloud Computing entspricht. AUDITOR baut maßgeblich auf dem TCDP auf, und hebt ihn auf ein europäisches Level, um die Konformität zur DSGVO nachzuweisen. Das Projektkonsortium arbeite auch eng mit der Stiftung Datenschutz als Verwalterin des TCDP zusammen.
Das Forschungsprojekt besteht aus einem Zusammenschluss von verschiedenen Unternehmen und Forschungseinrichtungen. Zudem wird es durch eine Reihe von Assoziierten Partnern unterstützt. Die Zwischenergebnisse von AUDITOR werden der Öffentlichkeit zur Verfügung gestellt, sodass eine Begutachtung von allen Akteuren stattfinden kann. Das Projekt hat bereits in der Vergangenheit immer wieder Meilensteinsitzungen durchgeführt, auf der wesentliche Ergebnisse präsentiert und anschließend diskutiert wurden. Zudem ist zukünftig auch die Entwicklung von Geschäftsmodellen und Transferkonzepten geplant, sodass AUDITOR langfristig erfolgreich auf dem Markt angeboten werden kann.
Das Projektkonsortium beobachtet den Zertifizierungsmarkt und ist bestrebt einen Austausch mit allen relevanten Parteien durchzuführen. AUDITOR wird zunächst auf nationaler Ebene diskutiert und etabliert. Gleichzeitig soll aber auch eine europäische Anerkennung angestrebt werden. Daher steht das Konsortium bereits im Austausch mit Frankreich, Österreich, Italien und weiteren EU-Mitgliedsstaaten, um die Fachexpertisen in Europa zu bündeln, und AUDITOR gemeinsam voran zu bringen. AUDITOR wird zudem durch die EU-Kommission (DG Connect und DG Justice) befüwortet. Im Rahmen eines ersten EU-Workshops in Brüssel haben bereits einige EU-Mitgliedsstaaten die bisherigen Ergebnisse von AUDITOR begrüßt und eine weitere Zusammenarbeit zugesichert.
AUDITOR ist eine Datenschutzzertifizierung für Cloud-Dienste gemäß der Anforderungen der DSGVO. AUDITOR steht damit nicht in Konkurrenz zu bestehenden Zertifikaten. Vielmehr berücksichtigt AUDITOR auch andere Zertifizierungen, wie bspw. die ISO27001 und erkennt diese im Rahmen seiner Prüfprozesse an. Dies bedeutet, dass ein Unternehmen welches bereits nach ISO27001 zertifiziert ist, dieses Zertifikat im Rahmen des AUDITOR-Prüfprozesses vorlegen kann, welches dann als Nachweis zur Erfüllung von gemeinsamen Anforderungen herangezogen werden kann. Daher müssen Kriterien in AUDITOR nicht mehrfach geprüft werden, falls ein Anbieter bereits Garantien zum Nachweis vorweisen kann. Bei der Anerkennung von bestehenden Zertifizierungen gelten die Richtlinien der Datenschutzkonferenz "Anforderungen zur Akkreditierung gemäß Art. 43 Abs. 3 DS-GVO i.V.m. DIN EN ISO/IEC 17065".
Die Zertifizierung nach Maßgabe der EU-Datenschutz-Grundverordnung (DSGVO) ist im Interesse aller Beteiligten: • Der Cloud-Kunden, die nur mit solchen Cloud-Anbietern zusammenarbeiten dürfen, die hinreichende Garantien zur Einhaltung des Datenschutzes vorweisen können, • der Cloud-Anbieter, die mit einer Zertifizierung ebendiese Sicherheit bieten können, • der Prüf- und Zertifizierungsstellen, für deren Geschäftsfeld die DSGVO zwingende Regeln vorsieht, und • der potentiell durch die Datenverwendungen betroffenen Endverbraucher, deren Schutz personenbezogener Daten im Mittelpunkt der Zertifizierung von Cloud-Diensten steht.
AUDITOR wird zunächst als DIN-Spezifikation (DIN-SPEC) veröffentlicht. Dadurch sind die Ergebnisse öffentlich verfügbar. Die DIN-SPEC ist jedoch nur eine erste Stufe, welche genommen wird, um zukünftig auch eine internationale Standardisierung vorzunehmen. Das DIN ist Projektpartner im Konsortium und initiiert geeignete Standardisierungsmaßnahmen auch auf europäischer und internationaler Ebene. So ist geplant, die Ergebnisse auch in einer EU-Norm zu veröffentlichen.
Der AUDITOR-Lenkungsausschuss besteht aus Vertretern des BMI, BMWI und der DAkkS. Ziel des Lenkungsausschusses ist die politische Steuerung des Projektes. Gemeinsam mit dem Projektkonsortium werden Maßnahmen für eine Verbreitung und europäische Anerkennung von AUDITOR durchgeführt.