Die DSGVO und ihre begleitenden Zertifizierungen und Gütesiegel: Ein Einblick

Datenschutz ist Markenschutz und Zertifikate geben ihm ein Gesicht ─ so viel Zukunftsmusik klingt aktuell jedem Marketingverantwortlichen im Ohr. Was das Thema begleitet, ist eine anschwellende Orchestrierung an altbekannten und neuen Zertifizierungsmöglichkeiten, Initiativen, Clustern und zu vergebenden Siegeln, die den Werbetreibenden sicheres Geleit durch den Dschungel an Richtlinien und Verordnungen anbieten. Doch was steht dahinter und welches Zertifikat bringt Sicherheit? Andres Dickehut, CEO des IT- und Marketing-Spezialisten Consultix, bringt ein wenig Licht ins Dunkel.    

ISO ─ die Mutter aller Normen

Die Internationale Organisation für Normung, kurz ISO, gewährleistet produkt- und branchenabhängige Qualitätsstandards. Im Kontext DSGVO ist die ISO 27001 als Grundlage für IT-Sicherheit und damit auch für die Einhaltung der Datenschutzgrundverordnung relevant. Sie deckt damit einen wichtigen Teilbereich des Datenschutzes ab, der sich auf IT-Sicherheit fokussiert. Die Rechte der Personen, deren Daten verarbeitet werden, sind hier jedoch nicht geregelt. Der datenschutzkonforme Umgang mit personenbezogenen Daten im Marketing muss durch weitere Zertifizierungen komplettiert werden.

Was sich umfassend anhört, lohnt daher immer einen zweiten Blick auf den Umfang und Geltungsbereich der Zertifizierung. Unternehmen und Dienstleister wie zum Beispiel Anbieter von Marketing-Software können auch Teilbereiche ausklammern, die dann von der Zertifizierung nicht abgedeckt sind. Überspitzt heißt das, dass theoretisch auch die Mülltonne eines Unternehmens ISO27001-zertifiziert werden könnte, da sie im Kontext der IT-Sicherheit nicht gefährdet ist. Insofern ist hier ISO 27001-Zertifikat nicht gleich ISO 27001-Zertifikat. Hier sollten Leiter von IT-Fachabteilungen und Datenschutzbeauftragte genau hinsehen.

Ganzheitlich erfüllt ist der Rahmen, wenn das gesamte Unternehmen ISO 27001-zertifiziert ist. „Consultix bietet mit ProCampaign einen Customer Engagement Hub an, bei dem der Umgang mit personenbezogenen Daten zwangsläufig im Fokus steht“, so Andres Dickehut. „Der Geltungsbereich unserer ISO 27001-Zertifizierung umfasst Data Center Services, Software  und Website-Development, Customer Relationship Management und Marketing Services sowie alle Prozesse innerhalb des Unternehmens.“

Europaweit auf sicherem Terrain: EuroPriSe GDPR-Zertifikat

ISO 27001 ist auch die Grundlage für das EuroPriSe GDPR-Zertifikat. Das European Privacy Seal startete als EU-gefördertes Projekt, das die Einführung eines europaweiten Datenschutz-Gütesiegels forcierte. Das Zertifikat geht über die ISO 27001 hinaus und betrachtet zusätzlich explizit Prozesse, Verarbeitungen, Dokumentationen und vertragliche Regelungen, die mit dem Thema Schutz personenbezogener Daten zu tun haben. Diese Erweiterung wird sich zukünftig als wichtiger Faktor herausstellen, da selbst Prozesse und Verantwortlichkeiten für Kampagnen mit personenbezogenen Daten detailliert dokumentiert werden müssen. 

Unternehmen können mit diesem EU-weit vergebenen unabhängigen Datenschutzsiegel klar ihre Compliance zu europäischem Recht nachweisen. Durch den Einsatz von zertifizierten Produkten und Services machen sich  Unternehmen rechtlich unangreifbarer und stärken das Vertrauen in ihre Marke. Laut einer Gartner-Analyse erzielen Unternehmen, die digital vertrauenswürdig sind, 2020 bis zu 20 % mehr Umsatz.

Damit es überschaubar bleibt: Akkreditierungen

Die Anforderungen an Zertifizierungen steigen kontinuierlich durch zwingend erforderliche Akkreditierungsverfahren ─ letzten Endes auch, um eine unkontrollierte Zunahme an eigeninitiierten und wirtschaftlich motivierten Siegeln zu verhindern. Verankert ist dieser Anspruch auch in der General Data Protection Regulation (GDPR Artikel 42/43).

Vielen Anbietern von Zertifizierungen droht das Aus, weil nur noch bei der zentralen Akkreditierungsstelle akkreditierte Zertifizierungen überhaupt nach DSGVO anerkannt und gültig sein werden. Mit dem EuroPriSe GDPR befinden sich Unternehmen und ihre Partner auf solidem Datenschutzboden, da die Zertifizierung sowohl vom Umfang als auch vom Reifegrad her an vorderster Stelle steht.

Nach vorne gedacht: das AUDITOR-Projekt

Die aktuellen Diskussionen zum Thema aufgreifend, fördert das Bundesministerium für Wirtschaft und Energie (BMWi) ein Forschungsprojekt mit Namen AUDITOR. Sein Ziel ist die Konzeption, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten, zu denen auch cloudbasierte Marketing- und CRM-Systeme gehören. 

Das AUDITOR-Projekt strebt eine europaweite Anerkennung an, damit es seine volle Wirksamkeit sowohl auf nationaler als auch auf Ebene der EU-Mitgliedsstaaten entfalten kann. Sein im Experten-Gremium erarbeitetes Zertifizierungsverfahren wird im Forschungszeitraum in der Praxis erprobt und validiert. Consultix erhält als  Partner des AUDITOR-Projektes für sein Tool ProCampaign eine Pilotzertifizierung.  „Von einer rechtlich anerkannten Zertifizierung unter Einbindung aller relevanten DSGVO-Standards profitieren wir alle – Marketers, Dienstleister als auch Verbraucher. Datenschutz wird sich als nächstes Brand Asset der Branche etablieren!“, fasst Dickehut zusammen.

Über den Autor: Andres Dickehut ist CEO der Consultix GmbH. Das Unternehmen bietet die Lösung Secure Customer Engagement Hub ProCampaign an, mit der sich alle Marketingaktivitäten aus einem System heraus steuern lassen. Bildquelle: Consultix GmbH