Zertifizierung
Die Zertifizierung im Datenschutz
Zertifizierungen im Rahmen des Datenschutzes, wie z.B. Datenschutzsiegel, haben zum Ziel, betroffenen Personen oder Vertragspartnern einen schnellen Überblick über das Datenschutzniveau in einem Unternehmen zu bieten. Verantwortliche können jedoch nur Verarbeitungstätigkeiten zertifizieren lassen, nicht direkt bestimmte Produkte oder Management-Systeme.
Eine Zertifizierung nach der Datenschutz-Grundverordnung (DSGVO) dient der Transparenz und soll die Einhaltung datenschutzrechtlicher Regelungen verbessern. Derzeit gibt es allerdings noch keine Zertifizierungsstellen, die solche Zertifikate zum Datenschutz vergeben dürfen.
➜ Wer zertifiziert was? Wie läuft eine Zertifizierung im Datenschutz ab?
Warum spezielle Zertifizierungs-Verfahren im Datenschutz?
Die DSGVO sieht in Art. 42 sogenannte genehmigte Zertifizierungs-Verfahren vor. Dies soll die Verfahren vereinheitlichen. Bisher bereits vorhandene Verfahren, z.B. aus der ISO-Gruppe, decken datenschutzrechtliche Aspekte nämlich nur teilweise ab. Sie eignen sich nicht als Zertifizierung nach DSGVO.
Eine Zertifizierung erfolgt freiwillig über ein transparentes Verfahren. Die Zertifizierung erteilt eine Zertifizierungsstelle nach Art. 43 DSGVO oder die zuständige Aufsichtsbehörde für den Datenschutz.
Die Voraussetzungen der Erteilung einer Zertifizierung ergeben sich entweder durch Festlegungen der zuständigen Aufsichtsbehörde, oder der Datenschutzausschuss (Europäischer Datenschutzausschuss) legt entsprechende Kriterien fest.
Ein Unternehmen, das sich zertifizieren lassen will, muss der zuständigen Behörde die dafür erforderlichen Informationen zur Verfügung stellen und ihr Zugang zu seinen Verarbeitungstätigkeiten verschaffen.
Hören Sie zu den zentralen Fragen der Zertifizierung im Datenschutz auch unseren Datenschutz-PRAXIS-Podcast mit Marit Hansen vom ULD.
Wie lange gilt ein Datenschutz-Zertifikat?
Eine Zertifizierung, ein Prüfzeichen oder ein Datenschutzsiegel gilt nach Erteilung für maximal drei Jahre. Liegen danach die Voraussetzungen weiterhin vor, kann eine Verlängerung erfolgen.
Erfüllt ein Verantwortlicher – auch vor Ablauf von drei Jahren – die Voraussetzungen für die Erteilung einer Zertifizierung nicht mehr, so widerruft die zuständige Aufsichtsbehörde für den Datenschutz die Zertifizierung.
Der Europäische Datenschutzausschuss führt und veröffentlicht ein Register der Zertifizierungsmechanismen.
Was lässt sich mit einem Datenschutz-Zertifikat nachweisen?
Unternehmen weisen mithilfe der Zertifizierung nach, dass bestimmte Verarbeitungstätigkeiten die Anforderungen der DSGVO erfüllen. Dazu gehören die folgenden Bereiche:
- Einhaltung der Pflichten des Verantwortlichen
- Sicherheit der Verarbeitung
- Erfüllung der Anforderungen an Technikgestaltung und datenschutzfreundliche Voreinstellungen
- Garantien des Auftragsverarbeiters
- Datenschutz-Folgenabschätzung
- Datenübermittlungen in Drittländer
Eine vorhandene Datenschutz-Zertifizierung ist daneben auch ein gutes Werbemittel. Denn es signalisiert, dass das Unternehmen den Datenschutz ernst nimmt.
Wie steht es mit der Datenschutz-Zertifizierung außereuropäischer Unternehmen?
Unter bestimmten Voraussetzungen können Verantwortliche oder Auftragsverarbeiter, die nicht den Regelungen der DSGVO unterliegen, über genehmigte Zertifizierungsverfahren nachweisen, dass sie den Schutz der Rechte betroffener Personen gewährleisten.
Diese Möglichkeit steht Unternehmen außerhalb der EU offen, die weder Waren noch Dienstleistungen an betroffene Personen in der EU verkaufen noch an Personen innerhalb der EU Verhaltensbeobachtungen durchführen (siehe auch Marktortprinzip).
Zertifizierungsstellen: Wer darf zertifizieren?
Zertifizierungsstellen müssen zuvor von der Deutschen Akkreditierungsstelle (DAkks) in Zusammenarbeit mit den Aufsichtsbehörden akkreditiert werden (Art. 43 Abs. 1 DSGVO). Das regelt § 39 des Bundesdatenschutzgesetzes (BDSG).
Hierzu gibt es eine Kooperationsvereinbarung zwischen den deutschen Datenschutz-Aufsichtsbehörden und der DAkks. Sie besagt, dass die DAkks die Akkreditierung von Zertifizierungsstellen im Einvernehmen mit den Aufsichtsbehörden durchführt.
Welche Anforderungen müssen die Zertifizierungsstellen erfüllen?
Den Ablauf eines Akkreditierungsverfahrens stellt die DAkks auf ihrer Internetseite ausführlich dar:
https://www.dakks.de/sites/default/files/2_paw_ablauf_akkverf.pdf
Vorläufige ergänzende Anforderungen zur Akkreditierung gemäß Art. 43 Abs. 3 DSGVO hat die Datenschutzkonferenz (DSK) veröffentlicht. Hierzu liegt mit Datum 25. Mai 2020 die Stellungnahme des Europäischen Datenschutzausschusses vor, der einige Änderungsvorschläge macht. Auf diese ist eine Reaktion der DSK notwendig.
Die Datenschutzkonferenz hat daraufhin ihre „Anforderungen zur Akkreditierung“ mit Datum vom 8. Oktober 2020 ergänzt. Sie sind zu finden unter:
https://www.datenschutzkonferenz-online.de/media/ah/20201008_din17065_Ergaenzungen_deutsch_nach_opinion.pdf.
Wie läuft die Akkreditierung ab?
Die Akkreditierung einer Zertifizierungsstelle verläuft nach den Anforderungen der DSK in sechs Phasen:
- Antragsphase / Programmprüfung
- Programmprüfung und Genehmigung der Kriterien
- Antragsphase Akkreditierung / Befugniserteilung
- Begutachtungsphase
- Akkreditierungsphase / Befugniserteilung
- Überwachungsphase
Anforderungen an datenschutzrechtliche Zertifizierungsprogramme stellt die DSK zur Verfügung unter
https://www.datenschutzkonferenz-online.de/media/ah/DSK_Anwendungshinweis_Zertifizierungskriterien.pdf.
Andrea Gailus