Zum Inhalt springen Zur Navigation springen
PwC erhält Akkreditierung für Zertifizierungen nach Art. 42 DSGVO

PwC erhält Akkreditierung für Zertifizierungen nach Art. 42 DSGVO

Artikel von Dr. Datenschutz·2. Juli 2025

Als erste Zertifizierungsstelle in Hessen hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) der PwC Certification Services GmbH mit Bescheid vom 10. Juni 2025 die Befugnis erteilt, Datenschutzzertifizierungen gemäß Art. 42 der Datenschutz-Grundverordnung (DSGVO) durchzuführen. Dem war ein Akkreditierungsverfahren vorangegangen, das der HBDI gemeinsam mit der Deutschen Akkreditierungsstelle GmbH durchgeführt hat.

Zertifizierungen unter der DSGVO und Ihre Sinnhaftigkeit

Für jedes Unternehmen ist es lästig, ständig und überall prüfen zu müssen, ob die unternehmerische Tätigkeit mit der DSGVO vereinbar ist. Um hier Abhilfe zu schaffen, sieht Artikel 42 der DSGVO die Förderung der Einrichtung von datenschutzspezifischen Zertifizierungsverfahren, Datenschutzsiegeln und -prüfzeichen durch die Aufsichtsbehörden vor.

Die Zertifizierungen sollen als Nachweis dafür dienen, dass Datenverarbeiter die DSGVO einhält. In Deutschland sind solche Zertifizierungen bislang selten, was unter anderem daran liegt, dass eine umfangreiche Vorbereitung durch das Unternehmen erforderlich ist, das die Genehmigung zur Zertifizierung erwerben will. Nun wurde der PwC Certification Services GmbH als erste hessische Firma die Genehmigung zur Zertifizierung nach Art. 42 DSGVO verliehen. Die Genehmigung wurde für die Anwendung des für Anbieter von Cloud-Diensten entwickelten AUDITOR-Kriterienkatalogs erteilt. Der AUDITOR-Kriterienkatalog des Kompetenznetzwerks Trusted Cloud e. V., an dessen Erstellung der HBDI Hessen auch selbst mitgewirkt hat, wurde am 28. Juni 2024 von der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen zur Anwendung durch Zertifizierungsstellen nach Art. 42 DSGVO genehmigt.

Aber was bringt eine Zertifizierung nach Art. 42 DSGVO?

Rein auf rechtlicher Ebene, nicht viel. So heißt es in Art. 42 Abs. 4 DSGVO:

„Eine Zertifizierung gemäß diesem Artikel mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung dieser Verordnung und berührt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden (…)“

Wie bei den meisten Zertifizierungen steht auch bei der Zertifizierung nach Art. 42 DSGVO die Gewinnung des Kundenvertrauens im Vordergrund. Das Zertifikat soll nach außen hin signalisieren, dass der Anbieter vertrauenswürdig ist, was das Datenschutzniveau betrifft. Ein solches Zertifikat ist somit ein Marketinginstrument für die Datenschutz-Compliance. Es entbindet jedoch nicht von der Prüfung des Datenschutzniveaus vor der Beauftragung des Anbieters. Ähnlich verhält es sich bei der Zertifizierung nach ISO 27701: Sie garantiert nicht, dass ein Anbieter im Bereich der IT-Sicherheit DSGVO-konform ist. Sie ist jedoch ein guter Indikator für Compliance, sofern der Anbieter den Umfang seiner Zertifizierung darlegt.

Ist eine Zertifizierung nach Art. 42 DSGVO empfehlenswert?

Auch wenn eine Zertifizierung nach Art. 42 DSGVO keinen Freifahrtschein darstellt, ist sie für Unternehmen dennoch empfehlenswert. Zertifizierte Unternehmen zeigen, dass sie ihre datenschutzrechtlichen Pflichten gemäß der DSGVO ernst nehmen. Das schafft Vertrauen bei Kundinnen und Kunden und stärkt die Position gegenüber der Datenschutzaufsicht bei der Darlegung der Compliance. Wie wirksam die Zertifikate der PwC Certification Services GmbH in dieser Hinsicht sein werden, hängt unter anderem davon ab, wie transparent die Unternehmen mit ihren Zertifizierungen und deren Umfang umgehen. Bis dato kann man sie als nützliches, wenn auch möglicherweise kostenintensives Marketinginstrument betrachten.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Und nach welcher Norm wird dann zertifiziert? Wirklich Sinn macht das ja nur, wenn nicht nur allgemeines sondern vor allem die technischen und organisatorischen Maßnahmen beinhaltet sind. Hier liegen doch in der Praxis der Aufwand, die Probleme und jede Menge Ärger.
    Da im Ergebnis die aus Sicht des Dienstleisters fremden Risiken/Anforderungen des Kunden zählen, wird sich dieser Bereich auch schlecht in einen Standard gießen lassen.
    Schließlich und endlich wird dies alles wieder in allenfalls scheinbarer Konformität enden, die aber als tatsächliche verkauft wird.

    • Rein formal ist eine Zertifizierung durch eine gemäß Art. 42 DSGVO akkreditierte Stelle ein nationales Zertifikat. Der Umfang, in dem eine Zertifizierung erfolgen darf, ergibt sich aus dem jeweiligen Akkreditierungsbescheid. Bezogen auf die Zertifizierung nach dem AUDITOR-Katalog ergibt sich der inhaltliche Maßstab aus dem öffentlich einsehbaren AUDITOR-Kriterienkatalog. Bei der Zertifizierung wird vor allem geprüft, ob der Cloud-Dienstleister die Vorgaben von Art. 28 DSGVO für Auftragsverarbeiter einhält. Für die Umsetzung der Prüfung soll sich der Auditor an den öffentlich einsehbaren Kriterienkatalog sowie an die darin genannten ISO/IEC-Normen orientieren. Ob dieser Standard gut oder schlecht ist, bleibt jedem selbst überlassen. Dies wird auch stark von der Branche des Auftraggebers abhängen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.