DATEV hat im März 2022 als eines der ersten Unternehmen in Deutschland das bisherige Datenschutzgütesiegel durch eine aktuelle Zertifizierung ersetzt. Parallel hierzu wurde auch die Informationssicherheit neu zertifiziert. Die Mitglieder und Kunden der Genossenschaft können damit auch ihrer eigenen Nachweispflicht mit Blick auf die Vorgaben der DS-GVO nachkommen.
Digitalisierung und Datenschutz beschreiben ein Spannungsfeld. Big Data verändert die Arbeitswelt zunehmend, während der Datenschutz oft als Hemmschuh angesehen wird. Dabei stehen der Schutz und die Sicherheit personenbezogener Daten nicht erst seit den Änderungen der seit dem 25. Mai 2018 zur Anwendung kommenden Datenschutz-Grundverordnung (DS-GVO) ganz oben auf der Agenda jedes verantwortungsvollen Unternehmens. Die gesetzlichen Vorgaben sind komplex und oft herausfordernd, besonders für die Mitglieder der Genossenschaft, die verpflichtet sind, die personenbezogenen Daten ihrer Mandantinnen und Mandanten zu schützen. Allerdings führen die zunehmende Digitalisierung und der nicht zu vernachlässigende Arbeitsdruck dazu, dass Datenpannen immer häufiger vorkommen und einen hohen Reputationsverlust für das eigene Unternehmen bedeuten können. Folglich haben Datensicherheit und Datenschutz für DATEV immer oberste Priorität. Sie sind im Code of Business Conduct öffentlich einsehbar und als Versprechen hinterlegt sowie als Markenzeichen Vertrauensvoll für DATEV von grundlegender Bedeutung in der Beziehung zum Kunden.
Glaubens- oder Vertrauensfrage?
Die Genossenschaft bekommt von ihren Mitgliedern sowie von den Unternehmen hochsensible und auch personenbezogene Daten zur Verarbeitung und Speicherung von Lohn-, Rechnungswesen- beziehungsweise Abschlussprüfungsdaten anvertraut. Dies geschieht im Vertrauen auf ein partnerschaftliches Miteinander sowie dem Wissen, dass der Umgang mit den Daten den gesetzlichen Anforderungen genügt (vgl. Art 28 Abs. 1 DS-GVO). Aber wie können sich die Auftraggeber ein Bild davon machen, ob DATEV den Datenschutz tatsächlich ordnungsgemäß vollzieht? Insoweit kann zunächst auf die eigenen Unternehmensinformationen (www.datev.de/dsgvo-information) sowie die in der DATEV-Hilfe veröffentlichten Datenschutz-Steckbriefe (www.datev.de/datenschutz-steckbrief) verwiesen werden, die Zweck und Rechtsgrundlagen der Verarbeitung von personenbezogenen Daten erläutern sowie Informationen zur Speicherung und Löschung derartiger Daten enthalten. Aber reicht hier Vertrauen aus? Letztlich kann nur eine unabhängige Bewertung tatsächlich etwas über die Einhaltung der gesetzlichen Vorgaben aussagen.
Transparenz und Sicherheit
So führt an einer externen Bestätigung der Umsetzung der gesetzlichen Vorgaben kein Weg vorbei. Nur auf diese Weise bekommt der Kunde die Sicherheit, dass eine ordnungsgemäße Datenverarbeitung erfolgt. Hier hat sich die Zertifizierung des Datenschutzmanagementsystems bewährt, das bei DATEV seit 2006 nach § 9a Bundesdatenschutzgesetz (BDSG) alt zertifiziert wurde und seit 2018 mit einem unabhängigen Datenschutzgütesiegel nachgewiesen wird. 2020 wurde dann die ISO 27701 als eine neue Erweiterung der ISO 27001 und ISO 27002 im Datenschutz veröffentlicht. Sie kann nur zusammen mit ISO 27001 zertifiziert werden und hat den gleichen Geltungsbereich. Die ISO 27701 reguliert und prüft das Managementsystem der Genossenschaft zusätzlich zur Informationssicherheit für die Aufrechterhaltung und fortlaufende Verbesserung des Datenschutzes. Dabei zeigt sich, dass Informationssicherheit und Datenschutz eng miteinander verbunden sind. Viele Maßnahmen der Informationssicherheit sind auch notwendig, um als technisch-organisatorische Maßnahmen den Schutz personenbezogener Daten sicherzustellen (Art. 32 DS-GVO). Das Datenschutzmanagementsystem von DATEV, das im Frühjahr 2022 nach der ISO 27701 auditiert wurde, betrachtet die internen Vorgaben in Form von Policies, Richtlinien und Standards für eine datenschutzkonforme Datenverarbeitung und deren Umsetzung.
Digitale Produkte und Services
In Art. 42 DS-GVO wird von einer Zertifizierung digitaler Produkte und Services gesprochen, die DS-GVO-konform arbeiten und die gesetzlichen Anforderungen erfüllen. Sechs Jahre nach Inkrafttreten der DS-GVO gibt es hier aber noch keine offizielle Zertifizierung, die den Anforderungen des Verfahrens nach den Art. 42 und 43 DS-GVO sowie § 39 BDSG entspricht. Die ISO-27701-Zertifizierung ist hierfür leider nicht ausreichend, da insoweit die Managementsysteme im Mittelpunkt stehen. Eine Zertifizierung nach den Art. 42 und 43 DS-GVO hingegen bezieht sich immer auf den Nachweis von digitalen Produkten und Prozessen, wie etwa zum Lohnverarbeitungs- oder zum Buchungsdatenservice. Gemäß Art. 43 DS-GVO sind hier Datenschutzzertifizierungen auf Grundlage der ISO 17065 erforderlich. Für den europäischen Markt werden hier die ersten Angebote zur Zertifizierung von digitalen Produkten und Services noch in diesem Jahr erwartet.
Vorteile der Zertifizierung ISO 27701
Generell ist eine ISO-Zertifizierung immer weltweit gültig. Die Norm selbst baut zwar auf die europaweit gültige DS-GVO auf, bietet aber ein weltweit gültiges Zertifikat zum Betrieb eines Datenschutzmanagementsystems; damit wird ein datenschutzkonformer Umgang mit personenbezogenen Daten bei digitalen Prozessen und Dienstleistungen bestätigt. Mit dem ISO-27701-Zertifikat und dem dazugehörenden Testat erhalten alle Mitglieder und Kunden der Genossenschaft die Nachweismöglichkeit, dass sie ihre Daten vertrauensvoll in die Hände des Auftragsverarbeiters DATEV legen können. Alle Zertifikate zur Nachweismöglichkeit einer datenschutzkonformen Umsetzung von datenschutzrelevanten Vorgaben sind im öffentlichen Bereich unter Zertifikate der DATEV oder www.datev.de/datenschutz in der jeweils aktuellen Fassung hinterlegt.
Mehr dazu
finden Sie unter
- DS-GVO als übersichtliche Seite www.dsgvo-gesetz.de
- Datenschutz und Datensicherheit und Zertifikate der DATEV unter www.datev.de/datenschutz
- www.datev.de/datenschutz-steckbrief
- Entwicklungspfad Datenschutz www.datev.de/entwicklungspfad-datenschutz