Das Zertifikat „European Privacy Seal“ (EuroPriSe) soll anderen Unternehmen künftig attestieren, dass ihre Auftragsverarbeitungen den Anforderungen des europäischen Datenschutzrechts entsprechen.

„Insgesamt haben wir in Europa erst zwei Verfahren mit nationalen Zertifizierungskriterien abgeschlossen. Unsere Genehmigung der Kriterien für die EuroPriSe GmbH ist die erste in Deutschland und europaweit, die die Zertifizierungen durch Unternehmen betrifft“, erklärt Bettina Gayk, die Landesbeauftragte für Datenschutz in NRW. In der Praxis lassen sich viele Unternehmen oder Behörden bei ihrer Datenverarbeitung durch Auftragsverarbeiter unterstützen. Dies können beispielsweise die Dienste eines Rechenzentrums, ausgelagerte Clouddienste oder die Unterstützung mit konkreten Softwareprodukten sein. Ob diese Dienste datenschutzkonform sind, ist für diejenigen, die sie nutzen wollen, oft nicht leicht zu beurteilen. Ein Zertifikat vereinfacht diese Beurteilung.

Eine Zertifizierung bedeutet – ganz allgemein – eine Begutachtung durch unabhängige Fachleute, die den Verarbeitungsvorgang personenbezogener Daten analysieren und auf Normgerechtigkeit prüfen. In einem „Konformitätsbewertungsprogramm“ sind Kriterien und Methoden für die Begutachtung festgelegt. Dieses Programm muss – so sieht es die Datenschutz-Grundverordnung (DS-GVO) vor – der Aufsichtsbehörde zur Beurteilung und Genehmigung vorgelegt werden. Gayk: „Wir haben gemäß dem europäischen Datenschutzrecht geprüft, ob die Kriterien, nach denen die Zertifikate an Auftragsverarbeiter erteilt werden sollen, tatsächlich die Einhaltung der DS-GVO bei der Verarbeitung personenbezogener Daten sicherstellen – und damit die Persönlichkeitsrechte wahren.“ Solche Zertifizierungen sind erst mit der DS-GVO eingeführt worden, die seit Mai 2018 gilt. Die staatlichen Datenschutzaufsichtsbehörden sind daneben weiterhin zuständig.

Zertifikate sind ein bewährtes Instrument, um den Marktteilnehmer*innen eine Orientierung zu datenschutzkonformen Produkten zu verschaffen. „Zertifikate bedeuten für alle, deren Daten verarbeitet werden, mehr Transparenz. Sie liefern einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen“, erklärt die NRW-Datenschutzbeauftragte.

Die Grundlagen für einheitliche europäische Zertifizierungs- und Akkreditierungsverfahren werden in den Artikeln 42 und 43 der DS-GVO gelegt.

Kontakt
0211 – 38 424 158
pressestelle[at]ldi.nrw.de (pressestelle[at]ldi[dot]nrw[dot]de)
www.ldi.nrw.de