Datenschutzbehörden und Deutsche Akkreditierungsstelle kooperieren

Artikel 42 der Datenschutz-Grundverordnung (DSGVO) stellt die Erteilung eines Zertifikats über die Einhaltung der Vorschriften der DSGVO für die Höchstdauer von drei Jahren in Aussicht.
Wie bei jeder anderen Zertifizierung (z.B. ISO) wäre die Zertifizierung für die verantwortliche Stelle sinnlos, wenn nicht streng geregelt ist, wer überhaupt ein solches Zertifikat erteilen darf.
Das bestimmt Artikel 43 DSGVO. Er hält fest, wie eine Zertifizierungsstelle ihre Zulassung in Form einer Akkreditierung erhält. Die Akkreditierung erfolgt durch die Aufsichtsbehörden, einer Akkreditierungsstelle oder gemeinsam durch beide.
Die Aufsichtsbehörden haben zusätzlich die Aufgabe, die Kriterien der Zertifizierungsstellen gemäß Art. 58 Abs. 3 DSGVO zu genehmigen.
Akkreditierungs-Prozess geregelt
Im Rahmen der Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) haben diese eine Kooperationsvereinbarung mit der Deutschen Akkreditierungsstelle GmbH (DAkkS) über die Akkreditierung von Zertifizierungsstellen gemäß Artikel 43 DSGVO geschlossen.
Die Kooperationsvereinbarung, die im Volltext online abrufbar ist, sieht vor, dass die DAkkS die Akkreditierung von Zertifizierungsstellen einvernehmlich mit den Aufsichtsbehörden durchführen wird.
Dazu gehört, dass die Aufsichtsbehörden Mitglieder für den Akkreditierungsausschuss stellen und im Rahmen der Akkreditierung die Zertifizierungsstellen gemeinsam mit der DakkS begutachten.
Die Vereinbarung enthält auch grundsätzliche Regelungen für die Zusammenarbeit zwischen der DAkkS und den Aufsichtsbehörden. Sie definiert, dass Genehmigungen von Zertifizierungskriterien nach Art. 42 Abs. 5 DSGVO deutschlandweit gelten. An der regionalen Zuständigkeit ändert sich nichts.
Die für die potenzielle Zertifizierungsstelle oder den Programmeigner (im Falle eines solchen Verfahrens) zuständige Aufsichtsbehörde ist diejenige, in deren Bundesland der potenzielle Kandidat seinen Sitz hat.
6 Phasen der Akkeditierung
Zur Durchführung einer Akkreditierung im Bereich Datenschutz sind insgesamt sechs Phasen vorgesehen:
- Antragsphase – Programmprüfung
- Programmprüfung und Genehmigung der Kriterien
- Antragsphase Akkreditierung / Befugniserteilung
- Begutachtungsphase
- Akkreditierungsphase / Befugniserteilung
- Überwachungsphase
Da der gesamte Prozess nicht ganz einfach zu überblicken ist, hat die DSK eine Übersichtsgrafik zum Akkreditierungsprozess veröffentlicht. Sie können diese Grafik als kostenlose PDF-Datei hier abrufen.