Zertifizierung nach Art. 42 DS-GVO

Im Datenschutzalltag trifft man häufig auf eine grundlegende Fragestellung: Woher weiß man, ob datenschutz­rechtliche Vorgaben von einem Unternehmen oder einer Behörde eingehalten werden?
Eine auf den ersten Blick einfache und pragmatische Lösung wäre, sich dies durch entsprechende Zertifizierungen nachweisen zu lassen. Mit den Artikeln 42 und 43 der DS-GVO legt der Gesetzgeber einen rechtlichen Grundstein für europäisch einheitliche Akkreditierungs- und Zertifizie­rungs­verfahren, die dazu dienen, die Einhaltung der DS-GVO bei Verarbei­tungs­vorgängen nachzuweisen.
Die Aufsichtsbehörden haben in ihren Kontrollen zwar festgestelt, dass Organisationen oft verschiedenste Zertifikate vorweisen können, jedoch war häufig unklar, inwieweit die gesetzlichen Anforderungen an den Datenschutz ausreichend berücksichtigt wurden.
Art. 42 Abs. 1 DS-GVO weist darauf hin, dass unter anderem auch die Aufsichtsbehörden auf Unionsebene die Einführung von datenschut­spezifschen Zertifizie­rungs­verfahren, Datenschutzsiegeln und -prüfzeichen fördern sollen. Diese dienen dazu, nachzuweisen, dass die DS-GVO bei Verarbei­tungs­vorgängen von Verantwortlichen oder Auftrags­ver­arbeitern eingehalten wird.
Die DS-GVO nennt explizit einige Anwendungsbereiche, bei denen eine Zertifizierung für den Nachweis der Einhaltung der Grundverordnung als Faktor mit herangezogen werden kann:

  • Erfüllung der Pflichten des Verantwortlichen
  • Erfüllung der Anforderungen an Technikgestaltung und datenschutz­freundliche Voreinstellungen des Art. 25 Abs. 1
  • Garantien des Auftrags­ver­arbeiters nach Art. 28 
  • Sicherheit der Verarbeitung
  • Datenübermittlung an ein Drittland
  • Datenschutz-Folgeabschätzung
    Daneben kann ein Zertifikat auch für Marketingzwecke genutzt werden, um sowohl Geschäftskunden, Verbrauchern als auch Bürgern gegenüber die Beachtung des Datenschutzrechts darzustellen.
    Art. 42 Abs. 4 hebt hervor, dass eine erfolgreiche Zertifizierung eine Organisation nicht von der Verantwortung für die Einhaltung der DS-GVO befreit. Die Aufgaben und Befugnisse der zuständigen Aufsichtsbehörden bleiben von einer Zertifizierung unberührt.
    Nach Art. 42 Abs. 5 DS-GVO können sowohl akkreditierte Zertifizie­rungsstellen als auch die zuständigen Aufsichtsbehörden eine Datenschutz-Zertifizierung nach DS-GVO erteilen. Die Akkreditierung nimmt in Deutschland die Deutsche Akkreditie­rungsstelle GmbH (DAkkS) zusammen mit den Aufsichtsbehörden gemäß §39 Akkreditierung DSAnpUG vor. Die Kriterien für die Akkreditierung werden von den Aufsichtsbehörden entwickelt und beruhen u.a. auf einschlägigen ISO-Normen. Eine einvernehmliche Entscheidung der beiden Parteien in einem eigens dafür eingerichteten Ausschuss ist Voraussetzung für die Akkreditierung einer ZErtifizie­rungsstelle. Erst danach und nach der Erteilung der Befugnis durch die zuständige Aufsichtsbehörde, kann die Zertifizie­rungsstelle tätig werden. Sie darf im Anschluss, nach entsprechender Prüfung der Einhaltung der DS-GVO, Zertifizierungen erteilen.
    Damit eine Zertifizierung durchgeführt werden kann, muss die zu zertifizierende Stelle alle für die Durchführung des Zertifizie­rungs­verfahrens erforderlichen Informationen zur Verfügung stellen und Zugang zu den betroffenen Verarbei­tungs­tä­tigkeiten gewähren. Somit wird es künftig umso wichtiger, die eigenen Verarbei­tungsvorgänge zu kennen und transparent zu dokumentieren.
    Art. 42 Abs. 7 weist darauf hin, dass eine Zertifizierung zeitlich begrenzt zu erteilen ist. So besteht eine Höchstdauer von drei Jahren die bei Erfüllung der einschlägigen Voraussetzungen verlängert werden kann. Die zuständige Zertifizie­rungsstelle und die Aufsichtsbehörde können die Zertifizierung widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden.
    Zertifizierungen nach der DS-GVO bieten das Potential, künftig bei Verarbei­tungs­vorgängen Klarheit darüber zu verschaffen, ob die gesetzlichen Datenschutz­an­forderungen eingehalten werden. So können etwa Cloud-Dienste entscheidend profitieren, da deren Kunden und vor allem auch betroffene Personen sich selbst leichter ein Bild von einem bestimmten Produkt hinsichtlich der Einhaltung der DS-GVO machen können.

Quelle: Kurzpapiere der Datenschutz­konferenz