Datenschutz in 2025: Mit diesen Datenschutzzertifizierungen gelingt er sicher

Eine wirksame Möglichkeit, um das eigene Engagement für Datenschutz sichtbar nach außen hin zu belegen, stellen entsprechende Datenschutzzertifizierungen dar. Mithilfe dieser weisen Unternehmen nach, dass sie geeignete technische und organisatorische Maßnahmen entwickelt sowie erfolgreich umgesetzt haben. Das führt nicht nur zu einer Erhöhung des allgemeinen Datenschutzniveaus, sondern gewährleistet auch die Einhaltung gesetzlicher Bestimmungen, z. B. der DSGVO oder dem BDSG. Weiterhin können auf diese Weise bereits frühzeitig mögliche Schwachstellen identifiziert und Datenschutzpannen verhindert werden.

Zusammenfassend fungieren Datenschutzzertifizierungen demnach als eine Art Gütesiegel, das bestätigt, dass Organisationen strenge Datenschutzstandards einhalten und sich aktiv für den Schutz sensibler Informationen einsetzen. Mögliche Datenschutzzertifizierungen stellen in diesem Kontext die Zertifizierung nach Artikel 42 der EU-Datenschutz-Grundverordnung (DSGVO) sowie die Zertifizierung nach ISO 27701 dar.

Datenschutzzertifizierung nach Art. 42 DSGVO

Mit einer Zertifizierung gemäß Art. 42 DSGVO belegen Unternehmen objektiv die ordnungsgemäße Umsetzung der gesetzlichen Anforderungen der Datenschutz-Grundverordnung. Im Zentrum der Zertifizierung stehen Datenverarbeitungen im Hinblick auf IT-Produkte, Dienstleistungen oder im Unternehmen. Das macht die DSGVO-Zertifizierung relevant für alle Organisationen, die personenbezogene Daten mithilfe von IT-gestützten Verarbeitungsvorgängen verarbeiten und/oder speichern. Das ausgestellte Zertifikat hat dann eine formale Gültigkeit von maximal 3 Jahren.

Wann kommt die Datenschutzzertifizierung nach Art. 42 DSGVO?

Getreu dem Motto „Was lange währt, wird endlich gut“ steht das Datenschutzjahr 2025 ganz im Zeichen der Zertifizierung nach Art. 42 DSGVO. Zwar wurden die Voraussetzungen für die Zertifizierung durch Artikel 42 und 43 bereits mit Inkrafttreten der DSGVO geschaffen, der dahinterstehende Prozess zur Genehmigung von Zertifizierungsschemata ist allerdings komplex und zeitaufwendig. TÜVIT befindet sich mit einem eigenen Zertifizierungsprogamm derzeit im Akkreditierungsverfahren. Erste Prüfungen und Zertifizierungen sind voraussichtlich ab Ende Q2 bzw. Anfang Q3 2025 möglich.

Zertifizierung nach ISO 27701 (PIMS)

Eine weitere Möglichkeit, um die Erfüllung spezifischer Datenschutzanforderungen unabhängig nachzuweisen, stellt die Zertifizierung nach ISO 27701 dar. Der internationale Standard erweitert ein bestehendes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 um das Thema Datenschutz. Dies umfasst Anforderungen und Leitlinien für den Schutz der Privatsphäre und zum Umgang mit personenbezogenen Daten. Dabei handelt es sich zwar nicht direkt um eine DSGVO-Zertifizierung, die ISO 27701 kann jedoch als Grundlage genutzt werden, um die Anforderungen der Datenschutzgrundverordnung in ein bestehendes Managementsystem zu integrieren. Auf diese Weise bauen Unternehmen ein Datenschutz-Informationsmanagementsystem (PIMS) auf, das die Sicherheit von Informationen sowie den Schutz von personenbezogenen Daten gleichermaßen berücksichtigt.

ISO 27701 wird eigenständige Managementsystemnorm

Derzeit setzt die ISO 27701 Zertifizierung noch eine vorherige Zertifizierung nach ISO 27001 voraus. Das wird sich zukünftig allerdings ändern. Denn mit der Veröffentlichung der ISO 27701:2024, die in 2025 erfolgt, ist eine Loslösung von der ISO 27001 geplant. Das bedeutet, dass die ISO 27701 im Gegensatz zu ihrer Vorgängerin als eigenständige Managementsystemnorm zu verstehen ist. Damit wird das Datenschutz-Informationsmanagementsystem (PIMS) zu einem eigenständigen System, das unabhängig von der ISO 27001 aufgebaut und implementiert werden kann. Das macht den Standard für eine größere Zahl an Organisationen interessant.