Besondere Bedeutung bekommen die Zertifizierungsverfahren in der EU-DSGVO. Art. 42 EU-DSGVO sieht vor, dass Mitgliedstaaten, Aufsichtsbehörden, der Europäische Datenschutzausschuss (Ausschuss) und die Kommission die Einführung datenschutzspezifischer „Zertifizierungsverfahren“, „Datenschutzsiegel“ und „-prüfzeichen“ fördern, freilich ohne diese Begriffe gegeneinander abzugrenzen.
Nach der EU-DSGVO sind Zertifizierungsstellen und Aufsichtsbehörden zur Vergabe von Zertifikaten befugt, vgl. Art. 43 EU-DSGVO.
Gegenstand eines Zertifizierungsverfahren können gem. Erwägungsgrund 100 auf „Produkte und Dienstleistungen“ beziehen, ebenso könnte damit aber auch ein Datenschutz-Management-System gemeint sein, dass gem. Art. 5 Abs. 2 EU-DSGVO eingefordert wird. Der Begriff der Zertifizierung wurde im BDSG nicht genutzt, vielmehr sprach §9a BDSG von Auditierung. Diese Rechtsnorm wurde jedoch nie mit Leben gefüllt.
Die Zertifizierung findet sich vor allem in den Art. 24 Abs. 3 EU-DSGVO („Gesichtspunkt für die Erfüllung der Anforderungen“) sowie in Art. 32 EU-DSGVO („Faktor“ für den Nachweis der Anforderungen).
Für das Vertrauen von Vertragspartnern kann eine Zertifizierung höchst hilfreich sein. Das gilt auch und insbesondere für die Überprüfung der Zuverlässigkeit von Auftragsverarbeitern nach Art. 28 EU-DSGVO. Dies würde aber voraussetzen, dass nicht nur einzelne Produkte und Dienstleistungen, sondern auch insgesamt Ablauforganisationen nach Art. 42 EU-DSGVO zertifiziert werden. Dabei ist es unerheblich, ob diese Audit als Selbstaudit oder durch unabhängige dritte Stellen durchgeführt werden.
Die Frage, ob durch Einholung von Zertifikaten die Zuverlässigkeit von Auftragsverarbeitern geprüft werden konnte, war bisher umstritten. Insofern besteht einige Innovation in der Anerkennung von Zertifizierungen als Nachweis für die Compliance im Vergleich zur bisherigen Rechtsauffassung.
So erkannte die EU-Datenschutz-Richtlinie 95/46/EG Zertifizierungen nicht als Beweise für Compliance an. Das ist auch einer der Gründe, warum sich Europäische Zertifikate wie z.B. das sog. European Privacy Seal nicht am Markt durchgesetzt hat. Diese Auffassung ist zumindest zu Beginn jedoch mit Vorsicht zu geniessen, da nicht klar ist ob und inwieweit die Aufsichtsbehörden diesen Auslegungen folgen und mit den Prüfkatalogen und Ergebnissen der Zertifizierungsstellen zufrieden sind. Insbesondere ist nicht klar, ob und falls ja welche Zertifikate grenzüberschreitend auch in anderen Mitgliedsstaaten anerkannt werden.
Für den Erhalt eines Zertifikats, das für jeweils 3 Jahre erteilt werden soll und dessen Voraussetzungen regelmäßig überprüft werden sollen, ist wichtig, dass die Verarbeitungsvorgänge ausreichend und transparent dokumentiert werden. Das Zertifikat kann dem Verantwortlichen jederzeit entzogen werden, wenn er die Voraussetzungen nicht mehr erfüllt.
Eine problematische Aufgabenkonzentration bei der Aufsicht kann dadurch entstehen, dass diese sowohl eine Zertifizierung durchführt wie auch diese kontrolliert. Damit sind möglicherweise Interessenkonflikte vorprogrammiert. Ob diese in der Praxis tatsächlich so auftreten, mag aber angesichts der klammen Ressourcenausstattung der Aufsichtsbehörden bezweifelt werden, schließlich soll die Überprüfung der Zertifizierung durch die Aufsichtsbehörde nach Art. 58 Abs. 1 Lit. c EU-DSGVO „gegebenenfalls“ regelmäßig erfolgen – ist also nur eine Kann-Bestimmung. Dennoch sollten solche Konstellationen durch entsprechende Maßnahmen vermieden werden, so dass die Vertrauensstellung der Aufsichtsbehörde nicht beschädigt wird.
Es bleibt spannend, inwieweit die Mitgliedsstaaten sowie Ausschuss und Kommission ihre Regelungsspielräume ausnutzen um die Unklarheiten zu beseitigen.
Handreichung des LDA Bayern zur Zertifizierung nach Art. 42 EU-DSGVO
