Zertifizierung nach der DS-GVO

Qualitätskontrolle mit Frau am Laptop in hell erleuchtetem Raum

Die Zertifizierung nach der Datenschutz-Grundverordnung (DS-GVO) richtet sich an Unternehmen, die ihre Kompetenzen im Bereich Datenschutz oder das Datenschutzniveau ihrer Produkte, Dienstleistungen, Prozesse oder Datensysteme mit einem Zertifikat nach außen sichtbar untermauern möchten. Eine Zertifizierung ist also ein objektiver Blick von außen, der die internen Prozesse in einem Unternehmen dahingehend prüft, ob sie den Datenschutzregeln entsprechen. Die maßgeblichen Vorschriften in der DS-GVO sind die Artikel 42 und 43 DS-GVO. Der Zertifizierungsprozess umfasst in der Regel eine detaillierte Prüfung der Verarbeitungsvorgänge durch eine Zertifizierungsstelle. Dabei werden die technischen und organisatorischen Maßnahmen sowie die Einhaltung der DS-GVO-Prinzipien überprüft. Die Zertifikate haben eine maximale Gültigkeit von drei Jahren. Während dieses Zeitraums werden die zertifizierten Unternehmen von der Zertifizierungsstelle überwacht. Eine Erneuerung des Zertifikats ist möglich.

Die LDI NRW rät Ihnen als Unternehmen zur Zertifizierung. Das Zertifikat schafft Sicherheit und Vertrauen, es demonstriert Privat- oder Geschäftskund*innen, dass das Unternehmen rechtskonform arbeitet und es mit der Privatsphäre der von der Datenverarbeitung Betroffenen ernst nimmt.

Die DS-GVO-Zertifizierung ist ein wichtiges Instrument zur Stärkung des Datenschutzes und zur Verbesserung des Vertrauens in Unternehmen. Sie kann dazu beitragen, Risiken zu minimieren und einen Wettbewerbsvorteil zu erzielen. Durch die Zertifizierung wird die Einhaltung der Datenschutzbestimmungen für bestimmte Verarbeitungsvorgänge bestätigt. Sie dient als Nachweis für die Konformität mit der DS-GVO und kann sowohl für Verantwortliche als auch Auftragsverarbeiter relevant sein.

Was wird zertifiziert?

Zertifiziert werden ausschließlich Datenverarbeitungen in Produkten, Verfahren oder Dienstleistungen von Ver-antwortlichen oder Auftragsverarbeitern. Anders als bei der DIN/ISO-Zertifizierung können also keine Managementsysteme (ISO 9001 – Qualitätsmanagement, ISO 27001/27701 – Zertifizierung von Managementsystemen auf Basis von IT-Grundschutz) zertifiziert werden und auch keine bestimmten Produkte, also beispielsweise die Software XY.

Ein wesentlicher Schritt zur Erreichung des Zertifikats ist die genaue Festlegung der zu zertifizierenden Datenverarbeitung, also des ToEs (Target of Evaluation). Der ToE beschreibt den Gegenstand bzw. die Datenverarbeitung, für die ein Zertifikat erteilt wird.

Wer erteilt eine Zertifizierung?

Die Zertifizierung muss bei einer Zertifizierungsstelle beantragt werden. Nur akkreditierte Zertifizierungsstellen dürfen zertifizieren. Die Akkreditierung erfolgt in einem gemeinsamen Verfahren von der zuständigen Datenschutz-Aufsichtsbehörde und der Deutschen Akkreditierungsstelle (DAkkS) nach einem bestimmten Verfahrensablauf (weitere Informationen siehe unten unter "Wie läuft das Akkreditierungsverfahren einer Zertifizierungsstelle im Bereich Datenschutz ab?"). Alle in Deutschland akkreditierten Stellen sind bei der DAkkS in einem Verzeichnis aufgenommen.

Diese Liste finden Sie hier: Liste der zugelassenen Stellen („DSGVO“ als Suchbegriff eingeben).

Auch in anderen EU-Mitgliedstaaten gibt es akkreditierte Zertifizierungsstellen.

Wie arbeitet eine akkreditierte Zertifizierungsstelle?

Die Zertifizierungsstellen wenden ein genehmigtes Zertifizierungsprogramm an, das auf Herz und Nieren geprüft wurde. Einen wesentlichen Teil dieses Programms bilden die Zertifizierungskriterien. Diese beschreiben den Anwendungsbereich des Programms, enthalten Vorgaben, an denen sich die Verarbeitungsvorgänge messen lassen müssen und beschreiben den Evaluierungsgegenstand, den Target of Evaluation (ToE). Die Zertifizierungskriterien werden von den Datenschutzaufsichtsbehörden überprüft und genehmigt. Bei der Auswahl der geeigneten Zertifizierungsstelle ist darauf zu achten, dass nur solche Datenverarbeitungen zertifiziert werden können, die im Rahmen des Programms der Zertifizierungsstelle liegen, beispielsweise: Ein Zertifizierungsprogramm, das ausschließlich für Verantwortliche gilt, ist für die Zertifizierung einer Datenverarbeitung im Bereich der Auftragsverarbeitung ungeeignet.

Wie läuft der Prozess der Zertifizierung ab?

Antrag bei einer akkreditierten Zertifizierungsstelle
Einreichen der für das Verfahren relevanten Unterlagen mit Datenschutzdokumentation
Prüfung durch die Zertifizierungsstelle
Ausstellen des Zertifikats (bis zu 3 Jahre gültig)
Überwachung und Erneuerung des Zertifikats

Auch über die Erteilung des Zertifikats hinaus sind eine laufende Überprüfung des Zertifikats und eine regelmäßige Erneuerung erforderlich, damit auch langfristig sichergestellt bleibt, dass die Verfahren datenschutzkonform sind.

Graphische Darstellung des Verfahrensablaufs:

Kreisdiagramm mit fünf blauen Kästchen und Pfeilen, die den Zertifizierungsprozess von Antrag über Einreichen relevanter Unterlagen, Prüfung, Ausstellung des Zertifikats bis Überwachung und Erneuerung darstellen.

Welche rechtlichen Grundlagendokumente muss ich als Antragsteller (Programmeigner/Zertifizierungsstelle) beachten?

Einen Überblick finden Sie hier: www.ldi.nrw.de/datenschutz/wirtschaft/akkreditierungzertifizierung.

Sowohl in Deutschland als auch in der Europäischen Union existieren verschiedene Dokumente, die relevant sind:

Europäischer Datenschutzausschuss (EDSA)

Leitlinien 1/2018 für die Zertifizierung und Ermittlung von Zertifizierungskriterien nach Art. 42/43 DSGVO und Addendum 2021/2022
„Prozesspapier des EDSA“ vom 14.2.23
Leitlinien 4/2018 zur Akkreditierung von Zertifizierungsstellen

Datenschutzkonferenz (DSK)

„DSK-Ergänzungspapier“ zur Akkreditierung – Anforderungen zur Akkreditierung gem. Art. 43 Abs. 3 DSGVO i. V. m. DIN EN ISO/IEC 17065
„DSK-Ergänzungspapier“ – Anforderungen an datenschutzrechtliche Zertifizierungsprogramme (DIN EN ISO/IEC 17065) Version 2.0, Version 3.0 in Vorbereitung

Wie läuft das Akkreditierungsverfahren einer Zertifizierungsstelle im Bereich Datenschutz ab?

Das Verfahren lässt sich im Wesentlichen in zwei Hauptverfahren unterteilen:

die Programmprüfung und
die Akkreditierung.

Weitere Informationen zu den einzelnen Schritte finden Sie hier (nicht barrierefrei).

Voraussetzung für eine Stelle, sich als Zertifizierungsstelle akkreditieren lassen will, ist, dass sie über ein Zertifizierungsprogramm verfügt (auch Konformitätsbewertungsprogramm genannt). Wesentlicher Teil des Programms sind die Zertifizierungskriterien.

Wie wird ein Zertifizierungsprogramm genehmigt?

Ihre Organisation hat ein Zertifizierungsprogramm entwickelt und möchte dessen Kriterien von der zuständigen Datenschutzbehörde genehmigen lassen? Unabhängig davon, ob es sich um nationale Zertifizierungskriterien oder um ein europäisches Projekt handelt, ist der folgende Verfahrensablauf zu beachten:

Einreichung bei nationaler Aufsichtsbehörde (AB) (Zuständigkeit in der Regel nach Sitz der Zertifizierungsstelle)

Sitz des Programmeigners oder Vorlage an die AB des Landes, in dem Zertifizierungsstelle ihren Sitz hat bzw. wo die meisten Zertifikate ausgestellt werden.

↓

Feststellung nationaler AB und Start Kooperationsphase (informelle Reviewphase)

Drafting Team (zwei Co-Reviewer und nationale AB) nehmen Arbeit auf, Iteration mit Antragssteller
Rückkoppelung mit CEH (30 Tage)
Certification Session (gegebenenfalls verpflichtend)

↓

Stellungnahme des Europäischen Datenschutzausschuss (EDSA): 
Art. 64 Abs. 1 lit c bzw. Abs. 2 DS-GVO innerhalb von 8 + gegebennefalls 6 Wochen

↓

Entscheidung EDSA: Opinion ./. Approval bei nationalen Kriterien: Entscheidung der zuständigen AB

EU Siegel: Sekretariat veröffentlicht Opinion, nat. AB informiert Programmeigner über Entscheidung/ nat. Kriterien: zust. AB bescheidet Antrag

↓

Akkreditierung einer Zertifizierungsstelle erfolgt grds. auf nationaler Ebene

Weiter Informationen finden Sie in den ausführlichen Grundlagendokumenten.

Was sind nationale Zertifizierungskriterien bzw. europäische Zertifizierungskriterien?

Nationale Zertifizierungskriterien	Europäische Kriterien
Geltung innerhalb Deutschlands	Geltung innerhalb EU (ggf. EWR)
Nationales Verfahren der zuständigen Aufsichtsbehörde	Vorprüfung durch federführende Aufsichtsbehörde
Einbeziehung des Europäischen Datenschutzausschusses (EDSA): Stellungnahme zu den Kriterien nach Art. 64 Abs. 1 lit. c DS-GVO, danach Entscheidung durch die zuständige AB	Einbeziehung des EDSA: Genehmigung der Kriterien nach Art. 64 Abs. 2 DS-GVO durch den EDSA selbst

Was gilt, wenn eine deutsche Zertifizierungsstelle den bestehenden nationalen Kriterienkatalog einer anderen deutschen Zertifizierungsstelle nutzen möchte?

Das ist möglich, wenn diese Kriterien genehmigt sind, also eine Genehmigung der zuständigen Aufsichtsbehörde vorliegt. Der (Programm-)Eigner des bestehenden nationalen Kriterienkatalogs macht in der Regel die weitere Nutzung von einer kostenpflichtigen Lizenzvereinbarung abhängig. Voraussetzung zum Tätigwerden als Zertifizierungsstelle mit dem übernommenen Kriterienkatalog ist eine erfolgreiche Akkreditierung bei der DAkkS (siehe oben).

Wie sieht es aus, wenn eine deutsche Zertifizierungsstelle auf einen vom EDSA genehmigten europäischen Kriterienkatalog zurückgreifen will?

Auch das ist erlaubt. Voraussetzung zum Tätigwerden als Zertifizierungsstelle ist eine erfolgreiche Akkreditierung bei der DAkkS. Der (Programm-)Eigner des Kriterienkatalogs macht in der Regel die weitere Nutzung von einer kostenpflichtigen Lizenzvereinbarung abhängig. Der EDSA genehmigt jedoch nur den Kriterienkatalog und prüft nicht die weiteren Voraussetzungen aus dem System der ISO-Normen, die Teil des Konformitätsbewertungsprogramms sind. Als Teil der Akkreditierung muss in diesen Fällen zusätzlich die Akkreditierungsfähigkeit des Konformitätsbewertungsprogramms durch die DAkkS geprüft werden.

Was gilt, wenn eine in einem Bundesland akkreditierte deutsche Zertifizierungsstelle Kund*innen in einem anderen Bundesland in Deutschland zertifizieren will?

Das ist möglich.

Wie sehen die Regeln aus, wenn eine in der EU akkreditierte Zertifizierungsstelle mit europäischem Kriterienkatalog in Deutschland (oder anderem EU-Staat) zertifizieren will?

Soweit zusätzlich die Voraussetzungen der EG-Verordnung über die Vorschriften für die Akkreditierung, Nr. 765/2008 erfüllt sind, ist auch das erlaubt. Zu diesen Voraussetzungen zählt die Akkreditierung durch eine nationale Akkreditierungsstelle (Art. 4) und die Durchführung der Beurteilung unter Gleichrangigen (Art. 10).

Vorab: Was Sie über die Zertifizierung nach der DS-GVO wissen sollten…

FAQ für Unternehmen, die sich zertifizieren lassen möchten

Graphische Darstellung des Verfahrensablaufs:

FAQ zur Akkreditierung von Zertifizierungsstellen Antworten auf Fragen von Zertifizierungsstellen oder zur Genehmigung von Zertifizierungskriterien