Akkreditierung/Programmprüfung aus Sicht einer Konformitätsbewertungsstelle (KBS) - DAkkS-Informationsveranstaltung für Zertifizierungsstellen im ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Akkreditierung/Programmprüfung aus Sicht
einer Konformitätsbewertungsstelle (KBS)
DAkkS-Informationsveranstaltung für Zertifizierungsstellen im Bereich Datenschutz
Berlin, 09. März 2022
Sebastian Meissner, Leiter der EuroPriSe-ZertifizierungsstelleMotivation zur Erstellung eines eigenen
Zertifizierungsprogramms
S. 2 DAkkS-Informationsveranstaltung für Zertifizierungsstellen im Bereich Datenschutz – Berlin, 09. März 2022
Entwicklung
Ausgangspunkt
• Optionen:
• 2007-2009 Option A: Getragen durch EU-
Aufsichtsbehörden
EU-gefördertes Projekt EuroPriSe
(European Privacy Seal) Option B: Getragen durch
private(s) Unternehmen
• Ziel: • Ab 2014: EuroPriSe GmbH
Entwicklung und • 5/2016: DSGVO in Kraft
Etablierung eines
europäischen • 5/2018: DSGVO anwendbar
Datenschutzsiegels Art. 42 f. DSGVO
• 4/2019: Antrag ProgrammprüfungWie läuft der Vorbereitungsprozess? (I)
S. 3 DAkkS-Informationsveranstaltung für Zertifizierungsstellen im Bereich Datenschutz – Berlin, 09. März 2022
Generell
Im konkreten Fall
Scope festlegen
• Generisches Programm Anpassung eines bereits
• Spezielles Programm
bestehenden Programms
• Vorerst: Begrenzung auf
Relevante Vorgaben / Guidance Auftragsverarbeitung (Scope)
ermitteln und auswerten
• Anpassung im Hinblick auf
ISO/IEC 17065 / 17067
Kernunterlagen zum Programm
erstellen • 1. Beispiel: Inhalt der
Zertifizierungsvereinbarung
Antragsunterlagen für • 2. Beispiel: Kriterienkatalog:
Fragen Anforderungen
Programmprüfung
zusammenstellen • 3. Beispiel: MethodikWie läuft der Vorbereitungsprozess? (II)
S. 4 DAkkS-Informationsveranstaltung für Zertifizierungsstellen im Bereich Datenschutz – Berlin, 09. März 2022
Relevante Vorgaben / Guidancedokumente
• Art. 42 f. DSGVO, § 39 BDSG
• DSK-Anwendungshinweise:
• EDSA: Leitlinien 1/2018 für die Anforderungen zur Akkreditierung
Zertifizierung und Ermittlung von gem. Art. 43 Abs. 3 DS-GVO i. V. m.
Zertifizierungskriterien DIN EN ISO/IEC 17065
• EDSA: Leitlinien 4/2018 zur
Akkreditierung von Zert.stellen • DAkkS: Merkblatt zu Akkr.verfahren
im Datenschutz (abgestimmt mit AK
• EDSA: Dokument über das zu einem Zertifizierung der DSK)
Europäischen Datenschutzsiegel
führende Verfahren • DAkkS: Regel zur Prüfung der
Feststellung der Akkr.fähigkeit neuer
• DSK-Anwendungshinweise: privater Konformitätsbewertungs-
Anforderungen an datenschutz-
rechtliche Zert.programme programme (KBP)Wie läuft der Vorbereitungsprozess? (III)
S. 5 DAkkS-Informationsveranstaltung für Zertifizierungsstellen im Bereich Datenschutz – Berlin, 09. März 2022
Kernunterlagen Antragsunterlagen
• Zentrale Vorgaben des • Antrag auf Programmprüfung
Zertifizierungsprogramms
• Angaben zum
• Anwendungsbereich Programminhaber
• Stakeholder
• Kurzdarstellung des
• Verfahrensablauf
Programminhabers
• Etc.
• Allgemeine Angaben zum
• Kriterienkatalog Programm
(Anforderungen an den Zert.gegenstand)
• Detailbeschreibung des
• Methodische Vorgaben beantragten Programms
(Anforderungen bzgl. Tätigkeit der KBS)
(vollständige Dokumentation)Welche Kompetenz ist wichtig?
S. 6 DAkkS-Informationsveranstaltung für Zertifizierungsstellen im Bereich Datenschutz – Berlin, 09. März 2022
Erforderliche Kompetenz
• Projektmanagement • Sprachkompetenz:
• Juristische Expertise im DS • Gerade im Hinblick auf die
Zertifizierungskriterien ist
• Technische Expertise im DS äußerste sprachliche
Sorgfalt / Präzision
• Erfahrung im Bereich Audit / erforderlich
Zertifizierung • Dokumente sind
zweisprachig zu erstellen
• Kompetenz bzgl. ISO/IEC 17065 und zu pflegen: DE+EN
und 17067
Zertifizierungskriterien mal
Auseinandersetzung mit Standards selbst ist eben mit DeepL o.ä.
gefragt (trotz aller Guidancedokumente) übersetzen funktioniert nicht!Aufwand der Programmerstellung
S. 7 DAkkS-Informationsveranstaltung für Zertifizierungsstellen im Bereich Datenschutz – Berlin, 09. März 2022
Aufwand der Programmerstellung Spezielle KBP
Generell • Kriterien müssen für Scope
maßgeschneidert werden
• Einarbeitung in ISO/IEC 17065 und 17067 • Berücksichtigung relevanter Urteile
sowie Regeln, Merkblätter und Leitlinien und Guidancedokumente
nicht unterschätzen
• Spezifische TOM erforderlich
• „Übersetzung" der für den jeweiligen Scope
relevanten §§ der DSGVO in konkrete
Zertifizierungskriterien (inkl. TOM) Generische KBP
mit copy & paste ist es nicht getan
• Weniger spezifische Kriterien
• Spezifizierung von Verfahrensabläufen und erfordern ein mehr an „Methodik“
Festlegung von Ermittlungsmethoden /
methodischen Anforderungen ist durchaus • Mustermatrix zu Ermittlungsmethoden
anspruchsvoll • ToE-spezifische Analyse des rechtl.
Rahmens + des State of the Art
• Aufwand für „Pflege“ nicht vergessen!Was ist bei einer Antragstellung aus Sicht
des Antragstellers wichtig?
S. 8 DAkkS-Informationsveranstaltung für Zertifizierungsstellen im Bereich Datenschutz – Berlin, 09. März 2022
Wichtiges bei Antragstellung
Vollständigkeit der Unterlagen
Möchte der Programmeigner auch
als KBS tätig werden? Falls nicht: • Bestätigung der Vollständigkeit der
eingereichten Unterlagen durch die
• ToDo: DAkkS
Anforderungen an & Bewertung von KBS
• ToDo (zumindest perspektivisch): Validierungsbericht
Ausarbeitung eines Lizenzmodells • Angaben zum praktischen
Testverfahren (Aufbau/Methode/
• Nachweise für die Marktunterstützung für Repräsentativität)
das Programm:
• Darstellung der Testergebnisse
Mindesten zwei LOI durch akkreditierte
KBS erforderlich • Darstellung der Schlussfolgerungen
und ihrer Umsetzung im ProgrammIterationsschritte
S. 9 DAkkS-Informationsveranstaltung für Zertifizierungsstellen im Bereich Datenschutz – Berlin, 09. März 2022
Behebung identifizierter Nichtkonformitäten
„Die Latte muss nicht beim ersten Versuch übersprungen werden“
Identifizieren die DAkkS und/oder die zuständige Aufsichtsbehörde
Nichtkonformitäten, besteht die Möglichkeit der Nachbesserung
Iterativer Prozess
Ziel: Schließung der Nichtkonformitäten
Bestätigung der Schließung aller identifizierten NichtkonformitätenGenerisches vs. spezielles Programm
S. 10 DAkkS-Informationsveranstaltung für Zertifizierungsstellen im Bereich Datenschutz – Berlin, 09. März 2022
Wichtige Grundsatzentscheidung!
Zu Beginn Diskussion über die Zulässigkeit generischer Zertifizierungsprogramme
Ergebnis: Generische Programme sind zulässig
Vorteile generischer Programme Nachteile bzw. Herausforderungen bzgl.
generischer Programme
• „One scheme fits all“
• Zertifizierungsentscheidungen müssen trotz
• (Nur) einmaliger Aufwand bezüglich generischen Ansatzes reproduzierbar sein
Programmerstellung und -genehmigung
• Dies erfordert einen fundierten methodischen
• Kreis potentieller Zertifizierungskunden ist Ansatz, dessen Entwicklung beträchtliche
sehr groß Aufwände erzeugen kann
• Änderungen bzgl. Rechtslage / Stand der • Analyse von rechtlichen und technischen
Technik müssen nicht in jedem Fall im Rahmenbedingungen im konkreten Einzelfall
Krit.katalog selbst ihren Niederschlag finden erforderlichGenerisches vs. spezielles Programm
S. 11 DAkkS-Informationsveranstaltung für Zertifizierungsstellen im Bereich Datenschutz – Berlin, 09. März 2022
Wichtige Grundsatzentscheidung!
Vorteile spezieller Programme Nachteile bzw. Herausforderungen bzgl.
spezieller Programme
• Passgenaue, maßgeschneiderte
Zertifizierungskriterien möglich • Kreis potentieller Zertifizierungskunden ist
(je nach Grad der Spezialisierung) limitiert, Aufwand für die Programmerstellung
trotzdem beträchtlich
• Hohes Maß an Reproduzierbarkeit der
Ergebnisse • Vermeintlich gleiche oder ähnliche Produkte
oder Dienste weisen bei näherer Betrachtung
• Analyse der rechtlichen und technischen oft erhebliche Unterschiede auf
Rahmenbedingungen findet in die
Zertifizierungskriterien selbst Eingang • Ändern sich Rechtlage / Stand der Technik,
wird es oft erforderlich sein, den Kriterien-
keine erneute Analyse im konkreten katalog selbst anzupassen (potentiell höherer
Einzelfall erforderlich „Pflegeaufwand“ als beim gen. Programm)Lessons learned (I)
S. 12 DAkkS-Informationsveranstaltung für Zertifizierungsstellen im Bereich Datenschutz – Berlin, 09. März 2022
Erfahrungen eines „Early Adopters“
Datenschutzzertifizierung nach DSGVO ist ein komplexes Thema, dessen
Etablierung in der Praxis länger dauert als ursprünglich erhofft
• Art. 42 f. DSGVO i.V.m. § 39 BDSG führt behördlicherseits zu einer Vielzahl an
Protagonisten:
• DAkkS
• 18 Aufsichtsbehörden in DE ( AK Zertifizierung)
• 27 nationale Aufsichtsbehörden + EDSB (+ 3 EWR) auf EU-Ebene
• Nicht zuletzt deshalb bedurfte es zu Beginn einer längeren „Findungsphase“
• Diese Phase ist in DE weitgehend abgeschlossen
• Auf EU-Ebene dauert sie allerdings in Teilen noch an
Fazit: Als Early Adopter braucht man manchmal einen sehr langen AtemLessons learned (II)
S. 13 DAkkS-Informationsveranstaltung für Zertifizierungsstellen im Bereich Datenschutz – Berlin, 09. März 2022
• Die Umsetzung der Anforderungen der einschlägigen Internationalen Standards sowie
der relevanten Regeln und Guidancedokumente ist anspruchsvoll, aber machbar
• Im konkreten Fall gestaltete sich die Zusammenarbeit mit der DAkkS und der LDI NRW
stets konstruktiv und vertrauensvoll
• Identifizierte Nichtkonformitäten wurden so konkret formuliert, dass eine Schließung
der betreffenden Punkte typischer Weise im Rahmen einer einzigen Iteration erreicht
werden konnte
• Das Erfordernis einer Stellungnahme des EDSA zu Zertifizierungskriterien auch bei
einem auf die nationale Ebene beschränkten Zertifizierungsprogramm kann zumindest
derzeit zu erheblichen Verzögerungen im Genehmigungsprozess führen
• Auf nationaler Ebene sind die zentralen Grundsatzfragen mittlerweile geklärt, noch
verbleibende Fragestellungen werden im AK Zertifizierung einer Lösung zugeführt
• Und noch einmal: Die Festlegung des Scopes eines Zertifizierungsprogramms ist eine
Grundsatzentscheidung von höchster WichtigkeitGibt es Fragen zum Vortrag?
S. 14 DAkkS-Informationsveranstaltung für Zertifizierungsstellen im Bereich Datenschutz – Berlin, 09. März 2022
Vielen Dank für Ihre
Aufmerksamkeit!
Haben Sie
Fragen?Sie können auch lesen
