Zertifikate bieten Sicherheit und Vertrauen. Sie ermöglichen einen schnellen, ersten Vergleich zwischen Unternehmen. In vielen Bereichen werden regelmäßig Zertifikate vergeben. Obwohl auch die DSGVO ausdrücklich ein Zertifizierungsverfahren vorsieht, lassen die DSGVO-Zertifikate bisher noch auf sich warten.
Der Inhalt im Überblick
Chancen und Auswirkungen einer DSGVO Zertifizierung
Durch die Erlangung eines DSGVO-Zertifikats beweist ein Unternehmen, dass es bestimmte datenschutzrechtliche Anforderungen erfüllt.
Vorteile der Zertifizierung
Gemäß Art. 42 Abs. 1 DSGVO obliegt es den Mitgliedstaaten, Aufsichtsbehörden und dem Ausschuss der Europäischen Kommission, insbesondere auf Unionsebene, die Einführung von datenschutzspezifischen Zertifizierungsverfahren zu fördern. Die Vorteile einer Zertifizierung sind im Erwägungsgrund 100 treffend zusammengefasst: Mittels Zertifizierungen wird die Transparenz gefördert, die Einhaltung der DSGVO verbessert und ein rascher Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen geschaffen.
Durch Zertifizierungen gelingt es Unternehmen die Einhaltung der DSGVO für bestimmte Verarbeitungsvorgänge nachzuweisen und somit ihren Marktwert zu steigern. Da sich die Zertifizierung immer nur auf Verarbeitungstätigkeiten bezieht, kann durch sie jedoch nicht eine umfassende DSGVO-Konformität für ein Unternehmen bestätigt werden.
Rechtliche Konsequenzen einer Zertifizierung
Eine Zertifizierung begründet ein Vertragsverhältnis zwischen der Zertifizierungsstelle bzw. der Aufsichtsbehörde und dem zertifizierten Unternehmen. Neben der Verpflichtung eines Unternehmens sich im Allgemeinen an die Anforderungen der DSGVO zu halten, ist ein zertifiziertes Unternehmen ebenso verpflichtet die Anforderungen der Zertifizierung für die vorgesehene Dauer einzuhalten.
Ein Zertifikat ermöglicht es dem Verantwortlichen seine Nachweis- und Rechenschaftspflichten (Art. 24 Abs. 3, 5 Abs. 2 DSGVO) zu erfüllen oder dem Auftragsverarbeiter ein „Faktor“ vorzulegen, um hinreichende Garantien für eine ordnungsgemäße Durchführung einer Auftragsverarbeitung (Art. 28 Abs. 5 DSGVO) nachzuweisen. Auch bei der Festlegung der Höhe einer Geldbuße kann eine Zertifizierung Berücksichtigung finden (Art. 83 Abs. 2 lit. j DSGVO)
Ablauf eines Zertifizierungsverfahrens
Der Ablauf eines Zertifizierungsverfahrens ist sehr komplex und wird in Art. 42 und 43 DSGVO geregelt. Die Erteilung einer Zertifizierung erfolgt durch die Zertifizierungsstelle oder durch die zuständige Aufsichtsbehörde. In Deutschland werden die Zertifizierungsstellen von der deutschen Akkreditierungsstelle (DAkkS) akkreditiert und kontrolliert. Die Kriterien nach welchen eine Zertifizierung erteilt wird, werden von der zuständigen Aufsichtsbehörde oder dem EDSA genehmigt.
Eine bereits erteilte Zertifizierung wird regelmäßig überprüft und kann ggfs. widerrufen werden. Die Dauer einer Zertifizierung beträgt maximal drei Jahre. Eine Möglichkeit zur Verlängerung besteht immer dann, wenn die einschlägigen Kriterien weiterhin erfüllt sind.
Aktuelle Entwicklungen
Der europäische Datenschutzausschuss (EDSA) hat im Juni 2019 „Leitlinien 1/2018 zur Zertifizierung und zur Ermittlung von Zertifizierungskriterien gemäß Artikel 42 und 43 der Verordnung“ veröffentlicht. Die Leitlinien erläutern die Rollen am Zertifizierungsverfahren Beteiligten und legt Anforderungen und Kriterien für die Erteilung einer Zertifizierung fest.
Vor der DSGVO bestand auf Landesebene teilweise die Möglichkeit einer datenschutzrechtlichen Zertifizierung. Insbesondere die Datenschutzbehörde in Schleswig-Holstein (ULD) bot in der Vergangenheit die Möglichkeit einer Zertifizierung an. Seit Anwendbarkeit der DSGVO heißt es nun, dass geprüft werde, inwieweit eine Zertifizierung nach der DSGVO angeboten werden kann. Bisher gibt es in Deutschland noch keine Zertifizierungsstellen und noch keine DSGVO-Zertifikate i.S.v. Art 42 DSGVO, dies gilt auch für die Zertifizierung nach der ISO 27701 Norm.
Das ULD leitet aber auch seit der Anwendbarkeit der DSGVO weiterhin den Arbeitskreis Zertifizierung (AK Zertifizierung) der deutschen Datenschutzaufsichtsbehörden. In seinem Tätigkeitsbericht informierte man jüngst über dessen Arbeit und den Problemen bei der europäischen Koordination beim Verabschieden der Akkreditierungsregeln.
Ein langer Weg
Das Verfahren für die Erteilung von Zertifikaten ist sehr komplex. Insbesondere die Festlegung der Kriterien für die Zertifizierung ist äußerst zweischneidig. Einerseits müssen diese von Beginn an unmissverständlich und eindeutig sein und auf der anderen Seite noch genügend Flexibilität bieten, damit verschiedene Branchen und Unternehmen die Kriterien erfüllen können. Eine weitere Herausforderung stellen EU-weite Zertifizierungen dar, weil hier teilweise auch nationale Besonderheiten berücksichtigt werden müssen.
Sobald es für Unternehmen möglich ist, DSGVO-Zertifikate zu erlangen, wird sich zeigen, wie viele Unternehmen die datenschutzrechtlichen Anforderungen schon soweit implementiert haben, dass Ihnen ein Zertifikat tatsächlich erteilt wird. Für die Abgrenzung zu anderen Marktteilnehmern ist der Erhalt eines Zertifikats eine gute Möglichkeit.
Ein Bißchen absurd ist es aber schon, wenn man sich zertifizieren lässt, dass man das Gesetz einhält. Wer sich nicht zertifizieren lässt, hat was zu verbergen? Da sollte die Aufsicht dann man hinschauen?
Man stelle sich das mal in anderen Rechtsgebieten vor (Arbeitsrecht, Lebensmittelrecht …).