Erfolgreiche Zertifizierungen dienen gleichzeitig Marketing- und Geschäftszwecken. Die neuen Verfahren bedeuten auch für alle, deren Daten verarbeitet werden, mehr Transparenz. Ein nach der DS-GVO erteiltes Zertifikat kann bei aufsichtsbehördlichen Kontrollen von Vorteil sein und die Prüfung erleichtern.

Um als Zertifizierungsstelle gemäß Artikel 42, 43 DS-GVO am Markt tätig werden zu können, muss sich eine Stelle zunächst für diese Tätigkeit akkreditieren lassen.

Eine Akkreditierung bestätigt, dass eine Zertifizierungsstelle die Kompetenz besitzt, bestimmte Zertifizierungsverfahren durchzuführen und Zertifikate zu erteilen.

In Deutschland werden Zertifizierungsstellen von der Deutsche Akkreditierungsstelle (DAkkS) zusammen mit den unabhängigen Datenschutzaufsichtsbehörden gemäß § 39 BDSG akkreditiert.

Hierzu hat die Datenschutzkonferenz (DSK) in Abstimmung mit der DAkkS ergänzende Anforderungen zur DIN EN ISO/IEC 17065 für die Akkreditierung aufgestellt und somit die Norm für die Akkreditierung konkretisiert. Einschlägige ISO-Normen wurden dabei berücksichtigt.

Die Kapitel adressieren neben allgemeinen Themen auch Anforderungen an die Struktur, die Ressourcen, die Prozesse und an das Managementsystem der zu akkreditierenden Stelle. Damit wird eine bundesweit einheitliche Bewertung im Sinne der DS-GVO ermöglicht.

Anträge auf Akkreditierung können direkt bei der DAkkS gestellt werden.

Informationen zu den bei der DAkkS akkreditierten Stellen können auf der Website der DAkkS abgerufen werden.

Im Rahmen des Akkreditierungsprozesses erfolgen zunächst eine Programmprüfung und die Genehmigung der Kriterien. Hierzu prüft die zuständige Aufsichtsbehörde die Erfüllung der Normanforderungen aus ISO/IEC 17065 und der ergänzenden Anforderungen. Die ergänzenden Anforderungen der Datenschutzkonferenz zur Akkreditierung gemäß Art. 43 Abs. 3 DS-GVO i. V. m. DIN EN ISO/IEC 17065 sind in der Version 1.4 (Stand: 08.10.2020) hier abrufbar.

Zur Bewertung der eingereichten Unterlagen bildet das Papier der Datenschutzkonferenz „Anforderungen an Zertifizierungskriterien von Zertifizierungsstellen“ in der Version 2.0 (Stand: 21.06.2022) die Basis für die Genehmigung der Zertifizierungskriterien durch die Aufsichtsbehörden. Programmeigner sowie die zu akkreditierenden Zertifizierungsstellen können sich bei der Erstellung ihrer Dokumente ebenfalls hieran orientieren.

Für Genehmigungs- und Akkreditierungsentscheidungen im Rahmen von Zertifizierungen werden Gebühren erhoben.

Maßgeblich sind insoweit die Gebührentatbestände im Allgemeinen Gebührentarif der Allgemeinen Verwaltungsgebührenordnung, Tarifstelle 1.3: Datenschutzrechtliche Angelegenheiten.