Eine Person stempelt ein Dokument.
Behörden

Zertifizierungsstellen

Um die Transparenz zu erhöhen und die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu erleichtern, wurden mit der DSGVO Zertifizierungsverfahren eingeführt, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen sollen. Damit reagiert die DSGVO auf den Wunsch nach einheitlichen und verlässlichen Datenschutzzertifikaten, an denen sich Verbraucher:innen orientieren können. Im Rahmen von Zertifizierungsverfahren wird der sogenannte Zertifizierungsgegenstand auf die Einhaltung von vorher festgelegten Zertifizierungskriterien geprüft. Diese Kriterien sind ein wesentlicher Teil von Zertifizierungsprogrammen und müssen vor ihrem Einsatz in der Praxis von der zuständigen Aufsichtsbehörde geprüft und genehmigt werden.

Zertifizierungen allerdings müssen nicht unbedingt durch die Datenschutzaufsichtsbehörden selbst erfolgen. Nach dem in Deutschland gewählten Modell obliegt den Aufsichtsbehörden vielmehr die Aufgabe, in Kooperation mit der Deutschen Akkreditierungsstelle (DAkkS) Zertifizierungsstellen zu akkreditieren, die dann ihrerseits Zertifikate verleihen dürfen. Als Zertifizierungsstelle können sich also alle Unternehmen oder sonstigen Stellen bewerben, die meinen, die Akkreditierungsvoraussetzungen zu erfüllen. Da sich diese Voraussetzungen nicht im Detail aus der DSGVO oder anderen Normen ergeben, sieht die DSGVO vor, dass die Aufsichtsbehörden die Anforderungen für Akkreditierungen im Datenschutzbereich konkretisieren. 

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat daher gemeinsame Anforderungen an datenschutzrechtliche Zertifizierungsprogramme erarbeitet. Die dabei erstellten Anwendungshinweise bilden die Basis für die Genehmigung der Zertifizierungskriterien durch die jeweils zuständige Aufsichtsbehörde. Angehende Zertifizierungsstellen und Programmeigner:innen – das heißt Stellen, die nicht selbst zertifizieren möchten, aber ein Zertifizierungsprogramm und -kriterien erstellen, beispielsweise aufgrund besonderer Datenexpertise in einem bestimmten Bereich – können mithilfe dieser Anwendungshinweise prüfen, ob sich ihre Programme und insbesondere die Zertifizierungskriterien für eine Genehmigung durch die Aufsichtsbehörde eignen. Für Auftragsverarbeiter:innen sind Zertifizierungen besonders interessant, um die von der DSGVO geforderten Garantien hinsichtlich der Datenschutzkonformität zu erbringen.

Zur Vorbereitung einer Akkreditierung müssen die Zertifizierungsstelle oder die Programmeigner:innen ein Zertifizierungsprogramm erstellen und durch die DAkkS auf Eignung prüfen lassen. Der Antrag auf Akkreditierung wird schriftlich bei der DAkkS gestellt. Auf deren Website steht ein entsprechendes Antragsformular bereit. Die DAkkS informiert umgehend die zuständige Aufsichtsbehörde über den Antrag und übermittelt ihr die entsprechenden Unterlagen. An die Akkreditierungsphase und die Befugniserteilung durch die Aufsichtsbehörden folgt anschließend eine Überwachungsphase hinsichtlich der Akkreditierungen wie auch der Zertifizierungen. Weitere Informationen zur Akkreditierung und zu den datenschutzrechtlichen Zertifizierungsprogrammen entnehmen Sie bitte den bereits erwähnten Anwendungshinweisen der DSK.