Zertifizierung

Für die Zertifizierung des Datenschutzes gibt es viele Möglichkeiten. Eine in Deutschland häufige Form der Zertifizierung ist die Zertifizierung durch das BSI ISO 27001. Aber auch die EU-Datenschutzgrundverordnung (EU-DSGVO) legt mit den Artikeln 42 und 43 einen rechtlichen Grundstein für europäisch einheitliche Akkreditierungs- und Zertifizierungsverfahren, die dazu dienen, die Einhaltung der DS-GVO bei Verarbeitungsvorgängen nachzuweisen.

Die Zertifizierung nach BSI ISO 27001 ist ein deutscher Standard, der aber kaum Transparenz zu Europa bietet oder decken nur einen Teilbereich des Datenschutzes ab.

Einleitend weist Art. 42 Abs. 1 DS-GVO darauf hin, dass die Aufsichtsbehörden auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren, Datenschutzsiegeln und -prüfzeichen fördern sollen.

Allerdings – eine erfolgreiche Zertifizierung befreit nicht von der Verantwortung für die Einhaltung der EU-DSGVO (Art. 42 Abs. 4). Im gleichen Artikel wird auch ausgeführt das die Aufgaben und Befugnisse von einer vorhandenen Zertifizierung unberührt bleiben, somit bleibt eine Zertifizierung ein reines zusätzliches Qualitätsmerkmal. Es kann aber aber die Organisationüberprüfung durch Aufsichtsbehörden erleichtern und vereinfachen.

Nach Art. 42 Abs. 5 DS-GVO können sowohl akkreditierte Zertifizierungsstellen als auch die zuständigen Aufsichtsbehörden eine Datenschutz-Zertifizierung nach EU-DSGVO erteilen. Die Akkreditierung nimmt in Deutschland die Deutsche Akkreditierungsstelle GmbH (DAkkS) zusammen mit den Aufsichtsbehörden gemäß § 39 Akkreditierung DSAnpUG („BDSG-neu“) vor.

Art. 42 Abs. 7 DS-GVO weist darauf hin, dass eine Zertifizierung zeitlich begrenzt zu erteilen ist. Die Zertifizierung besteht für eine maximale Dauer von drei Jahren. Eine erteilte Zertifizierung kann auch widerrufen werden, wenn die Voraussetzungen für die Zertifizierung nicht mehr erfüllt werden.