Zertifizierungen sind ein allgemein anerkanntes Mittel, um die Einhaltung gewisser Standards nachweisen zu können. Auch im Datenschutz sind gemäß Artt. 42 und 43 DS-GVO Möglichkeiten zur Zertifizierung vorgesehen.  Häufig gibt es hierzu auch nachfragen, da der Bedarf nach rechtssicheren Standards, nach denen sich datenschutzrechtlich Verantwortliche richten können, hoch ist. Wir möchten hiermit einen kurzen Überblick zum aktuellen Stand bei der Entwicklung von datenschutzrechtlichen Zertifizierungsverfahren geben.

I. Die Zertifizierung gem. Art. 42 und 43 DS-GVO

Eine Zertifizierung kann durch eine Aufsichtsbehörde oder eine behördlich anerkannte Zertifizierungsstelle durchgeführt werden. Maßgabe für die Zertifizierung sind datenschutzrechtliche Kriterien, die von den zu prüfenden Verantwortlichen einzuhalten sind.

Durch eine Zertifizierung kann ein Verantwortlicher nachweisen, dass er sich an die Anforderungen der DS-GVO für den Zeitraum der Gültigkeit der Zertifizierung hält.

Zertifiziert werden können ausschließlich bestimmte Verarbeitungstätigkeiten. Ein Zertifikat kann aber auch eine hinreichende Garantie darstellen, um nachzuweisen, dass eine Auftragsverarbeitung ordnungsgemäß durchgeführt werden kann. Ein Verantwortlicher kann mit einer Zertifizierung jedoch nicht in seiner Gesamtheit die Datenschutzkonformität nachweisen, hierfür ist ein einzelnes Zertifikat nicht ausreichend.

II. Aktueller Stand bei der Entwicklung von Zertifizierungsverfahren

In Deutschland soll das Zertifizierungswesen durch Zusammenarbeit der Aufsichtsbehörden (insbesondere unter Federführung des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD)) und der Deutschen Akkreditierungsstelle GmbH (DAkkS) aufgebaut werden.

Das ULD hat bereits vor Inkrafttreten der DS-GVO 2018 den Arbeitskreis Zertifizierung geleitet und hat Zertifizierungen durchgeführt. Diese Position hat das ULD auch weiterhin inne und bemüht sich seitdem um die Entwicklung eines Zertifizierungsverfahrens.

Auch nachdem der europäische Datenschutzausschuss (EDSA) 2019 Leitlinien zur Zertifizierung und zur Ermittlung von Zertifizierungskriterien veröffentlicht hat, berichtet das ULD jedoch in seinem Jahresbericht darüber, dass bei der Koordination von gemeinsamen Kriterien auf europäischer Ebene keine Fortschritte erzielt wurden und damit auch in Deutschland das Verfahren ins Stocken geraten ist.

Im Jahr 2019 konnten somit keine nennenswerten Fortschritte bei der Entwicklung eines Zertifizierungsverfahrens erlangt werden.

Für das Jahr 2020 ist geplant, die Vorgaben des EDSA in bereits erarbeitete Akkreditierungskriterien mit aufzunehmen. Außerdem wurde eine Kooperationsvereinbarung zwischen den deutschen Aufsichtsbehörden erarbeitet, welche die gegenseitige Unterstützung und Verfahrensabstimmungen zwischen den Behörden und der DAkkS ermöglichen solle. Diese soll im Laufe des Jahres zur Verabschiedung vorgelegt werden.

Diese Maßnahmen können jedoch nicht darüber hinwegtäuschen, dass es bisher immer noch keine anerkannte datenschutzrechtliche Zertifizierung, weder auf deutscher, noch auf europäischer Ebene gibt und so schnell auch nicht geben wird. Der Weg zu einem Zertifizierungsverfahren scheint noch lang, da bisher nur einige Grundsteine, wie gewisse Ermittlungsverfahren für Kriterien, gelegt wurden. Zwar gibt es bereits die ISO 27701, welche datenschutzrechtliche Aspekte abbildet und auf die ISO 27001 aufbaut, jedoch fehlt es hier daran, dass diese Zertifizierung von den Behörden nicht offiziell anerkannt wird.

Es bleibt festzuhalten, dass bis zur Entwicklung eines anerkannten Zertifizierungssystems noch einige Zeit vergehen wird. Ein Zeitraum ist noch nicht abschätzbar. Da wir jedoch wissen, dass an Zertifizierungsverfahren reges Interesse besteht, werden wir regelmäßig darüber informieren, sobald es Neuigkeiten zur DS-GVO-Zertifizierung gibt.