Akkreditierung/Zertifizierung

Artikel 42 und 43 Datenschutz-Grundverordnung (DS-GVO) legen die Grundsteine für einheitliche europäische Akkreditierungs- und Zertifizierungsverfahren. Ziel ist es die Einhaltung der DS-GVO bei Verarbeitungsvorgängen nachzuweisen. Erfolgreiche Zertifizierungen dienen gleichzeitig Marketing- und Geschäftszwecken. Die neuen Verfahren bedeuten auch für alle, deren Daten verarbeitet werden, mehr Transparenz. Zwar entbindet eine erfolgreiche Zertifizierung nicht von der Einhaltung der DS-GVO. Ein nach der DS-GVO erteiltes Zertifikat kann jedoch bei aufsichtsbehördlichen Kontrollen von Vorteil sein und die Prüfung erleichtern.

Anforderungen für die Akkreditierung

Um als Zertifizierungsstelle gemäß Artikel 42, 43 DS-GVO am Markt tätig werden zu können, muss sich eine Stelle zunächst für diese Tätigkeit akkreditieren lassen.

Eine Akkreditierung bestätigt, dass eine Zertifizierungsstelle die Kompetenz besitzt, bestimmte Zertifizierungsverfahren durchzuführen und Zertifikate zu erteilen.

In Deutschland werden Zertifizierungsstellen von der Deutsche Akkreditierungsstelle (DAkkS) zusammen mit den unabhängigen Datenschutzaufsichtsbehörden gemäß § 39 BDSG akkreditiert.

Hierzu hat die Datenschutzkonferenz (DSK) in Abstimmung mit der DAkkS ergänzende Anforderungen zur DIN EN ISO/IEC 17065 für die Akkreditierung aufgestellt und somit die Norm für die Akkreditierung konkretisiert. Einschlägige ISO-Normen wurden dabei berücksichtigt.

Die Kapitel adressieren neben allgemeinen Themen auch Anforderungen an die Struktur, die Ressourcen, die Prozesse und an das Managementsystem der zu akkreditierenden Stelle. Damit wird eine bundesweit einheitliche Bewertung im Sinne der DS-GVO ermöglicht.

Anträge auf Akkreditierung können direkt bei der DAkkS gestellt werden.

Ergänzende Anforderungen der Datenschutzkonferenz

Im Rahmen des Akkreditierungsprozesses erfolgen zunächst eine Programmprüfung und die Genehmigung der Kriterien. Hierzu prüft die zuständige Aufsichtsbehörde die Erfüllung der Normanforderungen aus ISO/IEC 17065 und der ergänzenden Anforderungen. Die ergänzenden Anforderungen der Datenschutzkonferenz zur Akkreditierung gemäß Art. 43 Abs. 3 DS-GVO i. V. m. DIN EN ISO/IEC 17065 sind in der Version 1.4 (Stand: 08.10.2020) hier abrufbar.

Zur Bewertung der eingereichten Unterlagen bildet das Papier der Datenschutzkonferenz „Anforderungen an Zertifizierungskriterien von Zertifizierungsstellen“ in der Version 1.8 (Stand: 16.04.2021) die Basis für die Genehmigung der Zertifizierungskriterien durch die Aufsichtsbehörden. Programmeigner sowie die zu akkreditierenden Zertifizierungsstellen können sich bei der Erstellung ihrer Dokumente ebenfalls hieran orientieren.

Grafik – Akkreditierungsprozess für den Bereich „Datenschutz

Der Akkreditierungsprozess gemäß Art. 42, 43 DS-GVO  ist in sechs Phasen eingeteilt. Die einzelnen Beschreibungen hierzu können der Grafik entnommen werden:

Version in Farbe

Version in schwarz/weiß.

Kurzpapier Nr. 9 – Zertifizierung nach Art. 42 DS-GVO

Eine erfolgreiche Zertifizierung bestätigt, dass festgelegte Anforderungen bezogen auf ein Produkt, einen Prozess oder eine Dienstleistung, erfüllt sind. Weitergehende Informationen zu Zertifizierungen finden Sie in dem Kurzpapier Nr. 9 der DSK.

Gebühren

Für Genehmigungs- und Akkreditierungsentscheidungen im Rahmen von Zertifizierungen werden Gebühren erhoben.

Maßgeblich sind insoweit die Gebührentatbestände im Allgemeinen Gebührentarif der Allgemeinen Verwaltungsgebührenordnung, Tarifstelle 20: Datenschutzrechtliche Angelegenheiten.




zurück zur Übersicht