GSB 7.1 Standardlösung

Navigation und Service

Zertifizierung

Zertifizierungen stellen eine Form der Konformitätsprüfung dar und bilden damit ein Verfahren über das die Erfüllung bestimmter Anforderungen nachgewiesen wird. Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) wurden gesetzliche Rahmenbedingungen eingeführt, die eine europaweit harmonisierte Ausgestaltung von Zertifizierungsprozessen ermöglichen.

Paragraphensymbol weiß mit Vorhängeschloss
Quelle: Getty Images International

Was ist eine Zertifizierung nach DSGVO?

Die Datenschutzgrundverordnung (DSGVO) sieht in Artikel 42 ein datenschutzspezifisches Zertifizierungsverfahren vor, das die Einhaltung der europarechtlichen Datenschutzbestimmungen sicherstellen soll. Diesem Zertifizierungsverfahren können sich private und öffentliche Institutionen unterziehen.

 

Europaweit einheitliche Zertifizierungen

Nach Artikel 42 Abs. 5 DSGVO (Artikel 70 Abs. 1 lit. o) besteht die Erfordernis, EU-weite Zertifizierungskriterien zu erarbeiten, die ihrerseits die Voraussetzung für ein europaweit einheitliches Zertifizierungsverfahren bilden können. Der Europäische Datenschutzausschuss (EDSA) hat bereits Leitlinien zur Zertifizierung und zur Ermittlung von Zertifizierungskriterien erarbeitet.

 

Wer führt die Zertifizierungsverfahren durch?

Um für die zukünftig geplanten Zertifizierungsverfahren einen möglichst hohen Qualitätsstandard sicherzustellen, sieht die DSGVO in Artikel 43 vor, dass nur solche Stellen Zertifizierungen nach Artikel 42 erteilen dürfen, die im Vorhinein auf ihre Eignung zur Durchführung von Zertifizierungsverfahren überprüft und anschließend förmlich akkreditiert worden sind. Für die Bundesrepublik Deutschland sieht § 39 Bundesdatenschutzgesetz (BDSG) eine Konstruktion vor, bei der die Entscheidung, ob jemand als Zertifizierungsstelle agieren darf, durch die jeweils zuständige Datenaufsichtsbehörde auf Grundlage einer Akkreditierung durch die Deutsche Akkreditierungsstelle (DAkkS) erfolgen soll.

 

Wie funktioniert eine Akkreditierung?

Auch für den Bereich der Akkreditierung hat der EDSA Leitlinien veröffentlicht, die einen Rahmen für die Umsetzung der Akkreditierungsverfahren beschreiben. Die konkrete Ausgestaltung dieser Leitlinien obliegt aber den Mitgliedsstaaten.

 

Akkreditierungen in der Bundesrepublik Deutschland

In Deutschland entscheidet die jeweils zuständige Aufsichtsbehörde auf Grundlage einer Akkreditierung durch die DAkkS, ob jemand als Zertifizierungsstelle agieren darf. Die weiteren Regelungen dazu sind im Akkreditierungsstellengesetz (AkkStelleG) festgehalten, welches etwa festlegt, dass die sog. „befugniserteilende“ Datenschutzaufsichtsbehörde gemeinsam mit der DAkkS das jeweilige Akkreditierungsverfahren bearbeitet.

Die Aufsichtsbehörden des Bundes und der Länder sind auch darüber hinaus im Rahmen der nationalen Gremien intensiv mit der Umsetzung der Vorgaben der Leitlinien an das Akkreditierungsverfahren beschäftigt. So wurde u.a. bereits ein Papier erarbeitet, das ergänzende Anforderungen zur DIN EN SO/IEC 17065 enthält. Diese Norm, die explizit in der DSGVO erwähnt wird, beschäftigt sich detailliert mit Fragen der Konformitätsbewertung und wird durch das Papier der Aufsichtsbehörden um datenschutzspezifische Aspekte bei den Anforderungen an Strukturen, Ressourcen und Prozesse oder etwa an das Managementsystem der zu akkreditierenden Stellen, ergänzt (https://www.datenschutzkonferenz-online.de/anwendungshinweise.html). Außerdem wurde etwa ein Papier mit Anforderungen an datenschutzrechtliche Zertifizierungsprogramme verabschiedet, welches den deutschen Aufsichtsbehörden bei der Bewertung von Zertifizierungsprogrammen als einheitliche Bewertungsgrundlage und Programmeignern sowie Zertifizierungsstellen bei der Erstellung ihrer Dokumente als Orientierung dienen soll.

 

Wie läuft eine Akkreditierung ab?

Bei der Durchführung des Akkreditierungsprozesses im Bereich des Datenschutzes sind sechs Phasen vorgesehen:

  1. Antragsphase – Programmprüfung
  2. Programmprüfung und Genehmigung der Kriterien
  3. Antragsphase Akkreditierung/Befugniserteilung
  4. Begutachtungsphase
  5. Akkreditierungsphase/Befugniserteilung
  6. Überwachungsphase

Weitere Informationen zum Akkreditierungsprozess finden sich auf der Webseite der DAkkS.

 

Fortschrittsbericht (Stand: November 2021)

Bisher gibt es in Deutschland noch keine nach Artikel 43 DSGVO akkreditierten Zertifizierungsstellen und demnach auch noch keine Zertifizierungen nach Artikel 42 DSGVO. Erste Akkreditierungsanträge liegen aber bereits vor. Sobald diese erfolgreich abgeschlossen wurden, können auch die Zertifizierungsverfahren starten.

Europäischer Datenschutzausschuss (EDSA): Guidelines 4/2019 on Article 25 Data Protection by Design and by Default