EDSA genehmigt europäische Kriterien für Datenschutz-Zertifizierung aus NRW 18.07.2024
Der Europäische Datenschutzausschuss (EDSA) hat europäische Kriterien für die Zertifizierung von Auftragsverarbeitern genehmigt. Es handelt sich um eine Fortentwicklung der bereits im Oktober 2022 genehmigten nationalen Kriterien eines in NRW ansässigen Unternehmens.
Das Zertifikat „European Privacy Seal“ (EuroPriSe) soll anderen Unternehmen in Europa künftig attestieren, dass ihre Auftragsverarbeitungen den Anforderungen des europäischen Datenschutzrechts entsprechen.
„Diesem Verfahren vorausgegangen war die Genehmigung der nationalen Zertifizierungskriterien durch unsere Behörde. Jetzt können sich Auftragsverarbeiter in ganz Europa zertifizieren lassen“, erklärt Bettina Gayk, die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW. Viele Unternehmen oder Behörden lassen sich bei ihrer Datenverarbeitung durch Auftragsverarbeiter unterstützen. Darunter fallen beispielsweise die Dienste eines Rechenzentrums oder ausgelagerte Clouddienste. Ob diese Dienste datenschutzkonform sind, ist für diejenigen, die sie nutzen wollen, oft nicht leicht zu beurteilen. Ein Zertifikat vereinfacht diese Beurteilung.
Eine Zertifizierung bedeutet – ganz allgemein – eine Begutachtung durch unabhängige Fachleute, die den Verarbeitungsvorgang personenbezogener Daten analysieren und auf Normgerechtigkeit prüfen. In einem „Konformitätsbewertungsprogramm“ sind Kriterien und Methoden für die Begutachtung festgelegt. Dieses Programm muss – so sieht es die Datenschutz-Grundverordnung (DS-GVO) vor – der Aufsichtsbehörde zur Beurteilung und Genehmigung vorgelegt werden. Europäische Zertifizierungskriterien genehmigt der EDSA selbst.
Gayk: „Mit dieser Entscheidung bestätigt der EDSA unsere Einschätzung. Dies hat zur Folge, dass die Kriterien nun von allen Aufsichtsbehörden europaweit anerkannt werden.“