ZertifizierungsstellenUm die Transparenz zu erhöhen und die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu erleichtern, wurden mit der DSGVO Zertifizierungsverfahren eingeführt, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen sollen. Damit reagiert die DSGVO auf den Wunsch nach einheitlichen und verlässlichen Datenschutzzertifikaten, an denen sich Verbraucher:innen orientieren können. Im Rahmen von Zertifizierungsverfahren wird der sogenannte Zertifizierungsgegenstand auf die Einhaltung von vorher festgelegten Zertifizierungskriterien geprüft. Diese Kriterien sind ein wesentlicher Teil von Zertifizierungsprogrammen und müssen vor ihrem Einsatz in der Praxis von der zuständigen Aufsichtsbehörde geprüft und genehmigt werden.
Zertifizierungen müssen dabei nicht unbedingt durch die Datenschutzaufsichtsbehörden selbst erfolgen. Nach dem in Deutschland gewählten Modell obliegt den Aufsichtsbehörden vielmehr die Aufgabe, in Kooperation mit der Deutschen Akkreditierungsstelle (DAkkS) Zertifizierungsstellen zu akkreditieren, die dann ihrerseits Zertifikate verleihen dürfen. Als Zertifizierungsstelle können sich also alle Unternehmen oder sonstigen Stellen bewerben, die meinen, die Akkreditierungsvoraussetzungen zu erfüllen.
In Deutschland sind bereits Stellen akkreditiert worden, die DSGVO-Zertifikate erteilen dürfen. Die aktuell akkreditierten DSGVO-Zertifizierungsstellen lassen sich über die von der DAkkS bereitgestellten Datenbank der akkreditierten Stellen unter Eingabe des Suchbegriffs “DSGVO” finden.
Der Europäische Datenschutzausschuss (EDSA) hat bereits Kriterienkataloge für europaweit gültige Datenschutz-Zertifizierungen genehmigt, ebenso wurden im europäischen Ausland bereits Stellen akkreditiert, die europäische Datenschutz-Siegel erteilen dürfen. Die Geltung dieser Siegel in Deutschland hängt allerdings von einer Reihe von Faktoren ab, in der die jeweilige Stellungnahme des EDSA nur ein Faktor von mehreren ist. Probleme bei der Anerkennung in Deutschland können sich beispielsweise durch die Nichterfüllung der Anforderungen nach der Verordnung (EG) Nr. 765/2008 der Europäischen Union ergeben. Die Voraussetzungen für die Akkreditierung einer Zertifizierungsstelle ergeben sich aus der international gültigen Norm DIN EN ISO/IEC 17065. Die DSGVO sieht jedoch zusätzlich vor, dass die Aufsichtsbehörden die Anforderungen für Akkreditierungen im Datenschutzbereich konkretisieren.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat daher die Anforderungen zur Akkreditierung gemäß Art. 43 Abs. 3 DSGVO i. V. m. DIN EN ISO/IEC 17065 präzisiert. Zudem hat sie Anwendungshinweise in Form von gemeinsamen Anforderungen an datenschutzrechtliche Zertifizierungsprogramme erarbeitet, die die Basis für die Genehmigung der Zertifizierungskriterien durch die jeweils zuständige Aufsichtsbehörde bilden. Angehende Zertifizierungsstellen und Programmeigner:innen – das heißt Stellen, die nicht selbst zertifizieren möchten, aber ein Zertifizierungsprogramm und Zertifizierungskriterien erstellen, beispielsweise aufgrund besonderer Datenexpertise in einem bestimmten Bereich – können anhand dieser Anwendungshinweise prüfen, ob sich ihre Programme und insbesondere ihre Zertifizierungskriterien für eine Genehmigung durch die Aufsichtsbehörde eignen. Für Auftragsverarbeiter:innen sind Zertifizierungen besonders interessant, um die von der DSGVO geforderten Garantien hinsichtlich der Datenschutzkonformität zu erbringen.
Um die Transparenz zu erhöhen und die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu erleichtern, wurden mit der DSGVO Zertifizierungsverfahren eingeführt, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen sollen. Damit reagiert die DSGVO auf den Wunsch nach einheitlichen und verlässlichen Datenschutzzertifikaten, an denen sich Verbraucher:innen orientieren können. Im Rahmen von Zertifizierungsverfahren wird der sogenannte Zertifizierungsgegenstand auf die Einhaltung von vorher festgelegten Zertifizierungskriterien geprüft. Diese Kriterien sind ein wesentlicher Teil von Zertifizierungsprogrammen und müssen vor ihrem Einsatz in der Praxis von der zuständigen Aufsichtsbehörde geprüft und genehmigt werden.
Zertifizierungen müssen dabei nicht unbedingt durch die Datenschutzaufsichtsbehörden selbst erfolgen. Nach dem in Deutschland gewählten Modell obliegt den Aufsichtsbehörden vielmehr die Aufgabe, in Kooperation mit der Deutschen Akkreditierungsstelle (DAkkS) Zertifizierungsstellen zu akkreditieren, die dann ihrerseits Zertifikate verleihen dürfen. Als Zertifizierungsstelle können sich also alle Unternehmen oder sonstigen Stellen bewerben, die meinen, die Akkreditierungsvoraussetzungen zu erfüllen.
In Deutschland sind bereits Stellen akkreditiert worden, die DSGVO-Zertifikate erteilen dürfen. Die aktuell akkreditierten DSGVO-Zertifizierungsstellen lassen sich über die von der DAkkS bereitgestellten Datenbank der akkreditierten Stellen unter Eingabe des Suchbegriffs “DSGVO” finden.
Der Europäische Datenschutzausschuss (EDSA) hat bereits Kriterienkataloge für europaweit gültige Datenschutz-Zertifizierungen genehmigt, ebenso wurden im europäischen Ausland bereits Stellen akkreditiert, die europäische Datenschutz-Siegel erteilen dürfen. Die Geltung dieser Siegel in Deutschland hängt allerdings von einer Reihe von Faktoren ab, in der die jeweilige Stellungnahme des EDSA nur ein Faktor von mehreren ist. Probleme bei der Anerkennung in Deutschland können sich beispielsweise durch die Nichterfüllung der Anforderungen nach der Verordnung (EG) Nr. 765/2008 der Europäischen Union ergeben. Die Voraussetzungen für die Akkreditierung einer Zertifizierungsstelle ergeben sich aus der international gültigen Norm DIN EN ISO/IEC 17065. Die DSGVO sieht jedoch zusätzlich vor, dass die Aufsichtsbehörden die Anforderungen für Akkreditierungen im Datenschutzbereich konkretisieren.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat daher die Anforderungen zur Akkreditierung gemäß Art. 43 Abs. 3 DSGVO i. V. m. DIN EN ISO/IEC 17065 präzisiert. Zudem hat sie Anwendungshinweise in Form von gemeinsamen Anforderungen an datenschutzrechtliche Zertifizierungsprogramme erarbeitet, die die Basis für die Genehmigung der Zertifizierungskriterien durch die jeweils zuständige Aufsichtsbehörde bilden. Angehende Zertifizierungsstellen und Programmeigner:innen – das heißt Stellen, die nicht selbst zertifizieren möchten, aber ein Zertifizierungsprogramm und Zertifizierungskriterien erstellen, beispielsweise aufgrund besonderer Datenexpertise in einem bestimmten Bereich – können anhand dieser Anwendungshinweise prüfen, ob sich ihre Programme und insbesondere ihre Zertifizierungskriterien für eine Genehmigung durch die Aufsichtsbehörde eignen. Für Auftragsverarbeiter:innen sind Zertifizierungen besonders interessant, um die von der DSGVO geforderten Garantien hinsichtlich der Datenschutzkonformität zu erbringen.