GSB 7.1 Standardlösung

Navigation und Service

Zertifizierung

Grundsätzlich bezeichnet „Zertifizierung“ ein Verfahren, mit dessen Hilfe die Einhaltung bestimmter Vorgaben nachgewiesen wird. Durch die DSGVO haben Zertifizierungen mittlerweile einen großen Stellenwert.

Paragraphensymbol weiß mit Vorhängeschloss
Quelle: Getty Images International

Was ist eine Zertifizierung nach DSGVO?

Die Datenschutzgrundverordnung (DSGVO) sieht in Artikel 42 ein datenschutzspezifisches Zertifizierungsverfahren vor, das die Einhaltung der europarechtlichen Datenschutzbestimmungen sicherstellen soll. Diesem Zertifizierungsverfahren können sich zukünftig private und öffentliche Institutionen unterwerfen.

 

Europaweit einheitliche Zertifizierungen

Nach Artikel 42 Abs. 5 DSGVO (Artikel 70 Abs. 1 lit. o) besteht die Erfordernis, EU-weite Zertifizierungskriterien zu erarbeiten, die ihrerseits die Voraussetzung für ein europaweit einheitliches Zertifizierungsverfahren bilden können. Der Europäische Datenschutzausschuss (EDSA) hat bereits Leitlinien zur Zertifizierung und zur Ermittlung von Zertifizierungskriterien erarbeitet. Aktuell werden noch letzte formelle Vorgaben erfüllt, bevor die Prozesse starten können.  

 

Wer führt die Zertifizierungsverfahren durch?

Um für die zukünftig geplanten Zertifizierungsverfahren einen möglichst hohen Qualitätsstandard sicherzustellen, sieht die DSGVO in Artikel 43 vor, dass nur solche Stellen Zertifizierungen nach Artikel 42 erteilen dürfen, die im Vorhinein auf ihre Eignung zur Durchführung von Zertifizierungsverfahren überprüft und anschließend förmlich akkreditiert worden sind. Für die Bundesrepublik Deutschland sieht § 39 Bundesdatenschutzgesetz (BDSG) eine Konstruktion vor, bei der die Entscheidung, ob jemand als Zertifizierungsstelle agieren darf, durch die jeweils zuständige Datenaufsichtsbehörde (BfDI oder ein LfDI) auf Grundlage einer Akkreditierung durch die Deutsche Akkreditierungsstelle (DAkkS) erfolgen soll.

 

Wie funktioniert eine Akkreditierung?

Für den Bereich der Akkreditierung hat der EDSA Leitlinien veröffentlicht, die einen Rahmen für die Umsetzung der Akkreditierungsverfahren beschreiben. Die konkrete Ausgestaltung dieser Leitlinien obliegt aber den Mitgliedsstaaten.

 

Akkreditierungen in der Bundesrepublik Deutschland

Wie weiter oben bereits angemerkt, entscheidet in der Bundesrepublik die jeweils zuständige Aufsichtsbehörde auf Grundlage einer Akkreditierung durch die DAkkS, ob jemand als Zertifizierungsstelle agieren darf. Die weiteren Regelungen dazu sind im Akkreditierungsstellengesetz (AkkStelleG) festgehalten, welches etwa festlegt, dass die sog. „befugniserteilende“ Datenschutzaufsichtsbehörde gemeinsam mit der DAkkS das jeweilige Akkreditierungsverfahren bearbeitet.

Die Aufsichtsbehörden des Bundes und der Länder sind auch darüber hinaus im Rahmen der nationalen Gremien intensiv mit der Umsetzung der Vorgaben der Leitlinien an das Akkreditierungsverfahren beschäftigt. Sie haben u.a. bereits ein Papier entworfen, das ergänzende Anforderungen zur DIN EN SO/IEC 17065 enthält. Diese Norm, die explizit in der DSGVO erwähnt wird, beschäftigt sich detailliert mit Fragen der Konformitätsbewertung und wird durch das Papier der Aufsichtsbehörden um datenschutzspezifische Aspekte bei den Anforderungen an Strukturen, Ressourcen und Prozesse oder etwa an das Managementsystem der zu akkreditierenden Stellen, ergänzt (https://www.datenschutzkonferenz-online.de/anwendungshinweise.html). Aktuell werden hierzu letzte Anpassungen im Rahmen der Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder,  vorgenommen, anschließend durchläuft das Papier noch die erforderlichen Genehmigungsprozesse auf europäischer Ebene.

 

Wie läuft eine Akkreditierung ab?

Bei der Durchführung des Akkreditierungsprozesses im Bereich des Datenschutzes sind sechs Phasen vorgesehen:

  1. Antragsphase – Programmprüfung
  2. Programmprüfung und Genehmigung der Kriterien
  3. Antragsphase Akkreditierung/Befugniserteilung
  4. Begutachtungsphase
  5. Akkreditierungsphase/Befugniserteilung
  6. Überwachungsphase

 

Fortschrittsbericht (Stand: März 2021)

Bisher gibt es in Deutschland noch keine nach Artikel 43 DSGVO akkreditierten Zertifizierungsstellen und demnach auch noch keine Zertifizierungen nach Artikel 42 DSGVO. Erste Akkreditierungsanträge liegen aber bereits vor. Sobald diese erfolgreich abgeschlossen wurden, können auch die ersten Zertifizierungsverfahren starten.

Europäischer Datenschutzausschuss (EDSA): Guidelines 4/2019 on Article 25 Data Protection by Design and by Default