Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Zertifizierung

Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) wurden gesetzliche Rahmenbedingungen eingeführt, die eine europaweit harmonisierte Ausgestaltung von Zertifizierungsprozessen ermöglichen. DSGVO-Zertifizierungen sollen als Nachweis zur Einhaltung der Vorgaben der Verordnung dienen. Zertifikate darf dabei aber nur erteilen, wer zuvor in einem aufwendigen Verfahren als Zertifizierungsstelle akkreditiert wurde. Sinn und Zweck dieser Prozedur ist es, eine besonders hohe Qualität der Zertifikate zu erreichen, die am Ende des Prozesses stehen.

Paragraphensymbol weiß mit Vorhängeschloss
Quelle: ©Talaj via Getty Images

Was ist eine Zertifizierung nach DSGVO?

Die Datenschutzgrundverordnung (DSGVO) sieht in Artikel 42 ein datenschutzspezifisches Zertifizierungsverfahren vor, das die Einhaltung der europarechtlichen Datenschutzbestimmungen sicherstellen soll. Diesem Zertifizierungsverfahren können sich private und öffentliche Institutionen unterziehen.

Welchen Nutzen hat eine Zertifizierung nach DSGVO?

Datenschutzrechtlich Verantwortliche und Auftragsverarbeiter müssen an vielen Stellen nachweisen, dass sie bestimmte Anforderungen der DSGVO einhalten. Eine Zertifizierung kann als Faktor für diesen Nachweis von den Datenschutzbehörden herangezogen werden, beispielsweise hinsichtlich der Pflichten des Verantwortlichen aus Artikel 24 Abs. 3, der Erfüllung der Anforderungen an Technikgestaltung und datenschutzfreundliche Voreinstellungen des Artikel 25 Abs. 1 und 2 oder der Sicherheit der Verarbeitung gemäß Artikel 32 Abs. 3 DSGVO. Zudem kann ein Zertifikat natürlich auch als Marketinginstrument gegenüber Verbrauchern oder Geschäftskunden nützlich sein.

Europaweit einheitliche Zertifizierungen

Nach Artikel 42 Abs. 5 DSGVO (Artikel 70 Abs. 1 lit. o) besteht die Erfordernis, EU-weite Zertifizierungskriterien zu erarbeiten, die ihrerseits die Voraussetzung für ein europaweit einheitliches Zertifizierungsverfahren bilden können. Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien zur Zertifizierung und zur Ermittlung von Zertifizierungskriterien erarbeitet.

 

Wer führt die Zertifizierungsverfahren durch?

Um für die zukünftig geplanten Zertifizierungsverfahren einen möglichst hohen Qualitätsstandard sicherzustellen, regelt die DSGVO in Artikel 43, dass nur solche Stellen Zertifizierungen nach Artikel 42 erteilen dürfen, die im Vorhinein auf ihre Eignung zur Durchführung von Zertifizierungsverfahren überprüft und anschließend förmlich akkreditiert worden sind. Für die Bundesrepublik Deutschland sieht § 39 Bundesdatenschutzgesetz (BDSG) eine Konstruktion vor, bei der die Entscheidung, ob jemand als Zertifizierungsstelle agieren darf, durch die jeweils zuständige Datenaufsichtsbehörde auf Grundlage einer Akkreditierung durch die Deutsche Akkreditierungsstelle (DAkkS) erfolgen soll.

 

Wie funktioniert eine Akkreditierung?

Auch für den Bereich der Akkreditierung hat der EDSA Leitlinien veröffentlicht, die einen Rahmen für die Umsetzung der Akkreditierungsverfahren beschreiben. Die konkrete Ausgestaltung dieser Leitlinien obliegt aber den Mitgliedsstaaten.

 

Akkreditierungen in der Bundesrepublik Deutschland

In Deutschland entscheidet die jeweils zuständige Aufsichtsbehörde auf Grundlage einer Akkreditierung durch die DAkkS, ob jemand als Zertifizierungsstelle agieren darf. Die weiteren Regelungen dazu sind im Akkreditierungsstellengesetz (AkkStelleG) festgehalten, welches etwa festlegt, dass die sog. „befugniserteilende“ Datenschutzaufsichtsbehörde gemeinsam mit der DAkkS das jeweilige Akkreditierungsverfahren bearbeitet.

Die Aufsichtsbehörden des Bundes und der Länder sind auch darüber hinaus im Rahmen der nationalen Gremien intensiv mit der Umsetzung der Vorgaben der Leitlinien an das Akkreditierungsverfahren beschäftigt. So wurde u.a. ein Papier erarbeitet, das ergänzende Anforderungen zur DIN EN SO/IEC 17065 enthält. Diese Norm, die explizit in der DSGVO erwähnt wird, beschäftigt sich detailliert mit Fragen der Konformitätsbewertung und wird durch das Papier der Aufsichtsbehörden um datenschutzspezifische Aspekte bei den Anforderungen an Strukturen, Ressourcen und Prozesse oder etwa an das Managementsystem der zu akkreditierenden Stellen, ergänzt (https://www.datenschutzkonferenz-online.de/anwendungshinweise.html). Außerdem wurde ein Papier mit Anforderungen an datenschutzrechtliche Zertifizierungsprogramme verabschiedet, welches den Aufsichtsbehörden bei der Bewertung von Zertifizierungsprogrammen als einheitliche Bewertungsgrundlage und Programmeignern sowie Zertifizierungsstellen bei der Erstellung ihrer Dokumente als Orientierung dienen soll.

 

Wie läuft eine Akkreditierung ab?

Bei der Durchführung des Akkreditierungsprozesses im Bereich des Datenschutzes sind sechs Phasen vorgesehen:

  1. Antragsphase – Programmprüfung
  2. Programmprüfung und Genehmigung der Kriterien
  3. Antragsphase Akkreditierung/Befugniserteilung
  4. Begutachtungsphase
  5. Akkreditierungsphase/Befugniserteilung
  6. Überwachungsphase

Weitere Informationen zum Akkreditierungsprozess finden sich auch auf der Webseite der DAkkS.

 

Fortschrittsbericht (Stand: September 2024)

Bei zahlreichen deutschen und bei anderen europäischen Aufsichtsbehörden liegen Anträge auf Genehmigung von Zertifizierungskriterien vor, die sich in unterschiedlichen Stadien der Bearbeitung auf nationaler und EDSA-Ebene befinden. Als erste deutsche Datenschutzaufsichtsbehörde hat die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) nationale Zertifizierungskriterien genehmigt: Das Zertifikat „European Privacy Seal“ (EuroPriSe) soll Unternehmen bestätigen, dass ihre Auftragsverarbeitungen den Anforderungen des europäischen Datenschutzrechts entsprechen und wird seit Dezember 2023 von der EuroPriSe Cert GmbH als akkreditierte Zertifizierungsstelle angeboten. Über die Zertifizierungen auf nationaler Ebene hinaus besteht die Möglichkeit, ein Europäisches Datenschutzsiegel zu erlangen. Auch hier müssen die Kriterien auf europäischer Ebene gebilligt werden. Im Oktober 2022 hat der EDSA das erste europäische Datenschutzsiegel namens Europrivacy aus Luxemburg genehmigt.

Europäischer Datenschutzausschuss (EDSA): Guidelines 4/2019 on Article 25 Data Protection by Design and by Default