Art.42 - DSGVO - Zertifizierung
| Stand: 25.01.2012 | Stand: 12.03.2014 | Stand: 16.12.2015 |
Stand: 27.04.2016 (ehem. Art. 39) |
| Datenübermittlung auf der Grundlage geeigneter Garantien | Datenübermittlung auf der Grundlage geeigneter Garantien | Datenübermittlung auf der Grundlage geeigneter Garantien |
Zertifizierung |
|
1.Hat die Kommission keinen Beschluss nach Artikel 41 erlassen, darf ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermitteln, sofern er in einem rechtsverbindlichen Instrument geeignete Garantien zum Schutz personenbezogener Daten vorgesehen hat. |
1. Hat die Kommission keinen Beschluss nach Artikel 41 erlassen oder hat sie festgestellt, dass ein Drittland beziehungsweise ein Gebiet oder ein Verarbeitungssektor eines Drittlands oder eine internationale Organisation keinen angemessenen Datenschutz im Einklang mit Artikel 41 Absatz 5 bietet, darf ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter nur dann personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermitteln, wenn er in einem rechtsverbindlichen Instrument geeignete Garantien zum Schutz personenbezogener Daten vorgesehen hat. |
Text ist noch nicht in deutscher Fassung verfügbar (Stand 30.12.2015). Hier finden Sie den finalen Text in englischer Sprache. Oder klicken Sie auf den Reiter "Historie", um die bisherigen Texte im Vergleich (Synopse) zu sehen. |
1. Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen. |
|
2.Die in Absatz 1 genannten geeigneten Garantien können insbesondere bestehen in Form |
2. Die in Absatz 1 genannten geeigneten Garantien können insbesondere bestehen in Form |
2. Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können auch datenschutzspezifische Zertifizierungsverfahren, Siegel oder Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt worden sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsverarbeiter, die gemäß Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen. | |
|
a)verbindlicher unternehmensinterner Vorschriften nach Artikel 43; |
a) verbindlicher unternehmensinterner Vorschriften nach Artikel 43; oder |
a) (entfällt) | |
|
aa) eines gültigen europäischen Datenschutzsiegels gemäß Artikel 39 Absatz 1e für den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter; oder |
aa) (entfällt) | ||
|
b) vn der Kommission angenommener Standarddatenschutzklauseln, diese Durchführungsrechtsakte werden in Übereinstimmung mit dem in Artikel 87 Absatz 2 genannten Prüfverfahren erlassen; |
b) (entfällt) | ||
|
c)von einer Aufsichtsbehörde nach Maßgabe des in Artikel 57 beschriebenen Kohärenzverfahren angenommener Standarddatenschutzklauseln, sofern diesen von der Kommission allgemeine Gültigkeit gemäß Artikel 62 Absatz 1 Buchstabe b zuerkannt wurde, oder |
c) von einer Aufsichtsbehörde nach Maßgabe des in Artikel 57 beschriebenen Kohärenzverfahren angenommener Standarddatenschutzklauseln, sofern diesen von der Kommission allgemeine Gültigkeit gemäß Artikel 62 Absatz 1 Buchstabe b zuerkannt wurde, oder |
c) (entfällt) | |
|
d) von Vertragsklauseln, die zwischen dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter und dem Empfänger vereinbart und von einer Aufsichtsbehörde gemäß Absatz 4 genehmigt wurden. |
d) von Vertragsklauseln, die zwischen dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter und dem Empfänger vereinbart und von einer Aufsichtsbehörde gemäß Absatz 4 genehmigt wurden. |
d) (entfällt) | |
|
|
|
e) (entfällt) | |
|
2.Datenübermittlungen, die nach Maßgabe der in Absatz 2 Buchstabe a, b und c genannten unternehmensinternen Vorschriften und Standarddatenschutzklauseln erfolgen, bedürfen keiner weiteren Genehmigung. |
|||
|
3.Für Datenübermittlungen nach Maßgabe der in Absatz 2 Buchstabe d dieses Artikels genannten Vertragsklauseln holt der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die vorherige Genehmigung der Aufsichtsbehörde gemäß Artikel 34 Absatz 1 Buchstabe a ein. Falls die Datenübermittlung im Zusammenhang mit Verarbeitungstätigkeiten steht, welche Personen in einem oder mehreren anderen Mitgliedstaaten betreffen oder wesentliche Auswirkungen auf den freien Verkehr von personenbezogenen Daten in der Union haben, bringt die Aufsichtsbehörde das in Artikel 57 genannte Kohärenzverfahren zur Anwendung. |
3. Datenübermittlungen, die nach Maßgabe der in Absatz 2 Buchstabe a, aa, b oder c genannten Standarddatenschutzklauseln, eines europäischen Datenschutzsiegels oder unternehmensinternen Vorschriften erfolgen, bedürfen keiner besonderen Genehmigung. |
3. Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein. | |
|
4.Wenn keine geeigneten Garantien für den Schutz personenbezogener Daten in einem rechtsverbindlichen Instrument vorgesehen werden, holt der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die vorherige Genehmigung für die Übermittlung oder Kategorie von Übermittlungen oder für die Aufnahme von entsprechenden Bestimmungen in die Verwaltungsvereinbarungen ein, die die Grundlage für eine solche Übermittlung bilden. Derartige vorherige Genehmigungen der Aufsichtsbehörde müssen im Einklang mit Artikel 34 Absatz 1 Buchstabe a stehen. Falls die Datenübermittlung im Zusammenhang mit Verarbeitungstätigkeiten steht, welche Personen in einem oder mehreren anderen Mitgliedstaaten betreffen oder wesentliche Auswirkungen auf den freien Verkehr von personenbezogenen Daten in der Union haben, bringt die Aufsichtsbehörde das in Artikel 57 genannte Kohärenzverfahren zur Anwendung. Sämtliche von einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilten Genehmigungen bleiben so lange in Kraft, bis sie von dieser Aufsichtsbehörde geändert, ersetzt oder aufgehoben werden. |
4. Für Datenübermittlungen nach Maßgabe der in Absatz 2 Buchstabe d genannten Vertragsklauseln holt der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die vorherige Genehmigung der Aufsichtsbehörde ein. Falls die Datenübermittlung im Zusammenhang mit Verarbeitungstätigkeiten steht, welche Personen in einem oder mehreren anderen Mitgliedstaaten betreffen oder wesentliche Auswirkungen auf den freien Verkehr von personenbezogenen Daten in der Union haben, bringt die Aufsichtsbehörde das in Artikel 57 genannte Kohärenzverfahren zur Anwendung. |
4. Eine Zertifizierung gemäß diesem Artikel mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung dieser Verordnung und berührt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, die gemäß Artikel 55 oder 56 zuständig sind. |
|
|
5. Wenn keine geeigneten Garantien für den Schutz personenbezogener Daten in einem rechtsverbindlichen Instrument vorgesehen werden, holt der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die vorherige Genehmigung für die Übermittlung oder Kategorie von Übermittlungen oder für die Aufnahme von entsprechenden Bestimmungen in die Verwaltungsvereinbarungen ein, die die Grundlage für eine solche Übermittlung bilden. Derartige vorherige Genehmigungen der Aufsichtsbehörde müssen im Einklang mit Artikel 34 Absatz 1 Buchstabe a stehen. Falls die Datenübermittlung im Zusammenhang mit Verarbeitungstätigkeiten steht, welche Personen in einem oder mehreren anderen Mitgliedstaaten betreffen oder wesentliche Auswirkungen auf den freien Verkehr von personenbezogenen Daten in der Union haben, bringt die Aufsichtsbehörde das in Artikel 57 genannte Kohärenzverfahren zur Anwendung. Sämtliche von einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilten Genehmigungen bleiben so lange in Kraft, bis sie von dieserAufsichtsbehörde geändert, er setzt oder aufgehoben werden. |
5. Sämtliche von einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilten Genehmigungen bleiben zwei Jahre nach Inkrafttreten dieser Verordnung oder so lange in Kraft, es sei denn, sie werden durch die Aufsichtsbehörde vor Ende dieses Zeitraums geändert, ersetzt oderaufgehoben. |
5. Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde gemäß Artikel 58 Absatz 3 oder – gemäß Artikel 63 – durch den Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen. |
|
|
6. Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach Artikel 43 oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten. |
|||
| 7. Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden. | |||
|
8. Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen in ein Register auf und veröffentlicht sie in geeigneter Weise. |
Datenübermittlung auf der Grundlage geeigneter Garantien
Erwägungsgrund: 100
Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag
Besondere Bedeutung bekommen die Zertifizierungsverfahren in der EU-DSGVO. Art. 42 EU-DSGVO sieht vor, dass Mitgliedstaaten, Aufsichtsbehörden, der Europäische Datenschutzausschuss (Ausschuss) und die Kommission die Einführung datenschutzspezifischer „Zertifizierungsverfahren“, „Datenschutzsiegel“ und „-prüfzeichen“ fördern, freilich ohne diese Begriffe gegeneinander abzugrenzen.
Nach der EU-DSGVO sind Zertifizierungsstellen und Aufsichtsbehörden zur Vergabe von Zertifikaten befugt, vgl. Art. 43 EU-DSGVO.
Gegenstand eines Zertifizierungsverfahren können gem. Erwägungsgrund 100 auf „Produkte und Dienstleistungen“ beziehen, ebenso könnte damit aber auch ein Datenschutz-Management-System gemeint sein, dass gem. Art. 5 Abs. 2 EU-DSGVO eingefordert wird. Der Begriff der Zertifizierung wurde im BDSG nicht genutzt, vielmehr sprach §9a BDSG von Auditierung. Diese Rechtsnorm wurde jedoch nie mit Leben gefüllt.
Die Zertifizierung findet sich vor allem in den Art. 24 Abs. 3 EU-DSGVO („Gesichtspunkt für die Erfüllung der Anforderungen“) sowie in Art. 32 EU-DSGVO („Faktor“ für den Nachweis der Anforderungen).
Für das Vertrauen von Vertragspartnern kann eine Zertifizierung höchst hilfreich sein. Das gilt auch und insbesondere für die Überprüfung der Zuverlässigkeit von Auftragsverarbeitern nach Art. 28 EU-DSGVO. Dies würde aber voraussetzen, dass nicht nur einzelne Produkte und Dienstleistungen, sondern auch insgesamt Ablauforganisationen nach Art. 42 EU-DSGVO zertifiziert werden. Dabei ist es unerheblich, ob diese Audit als Selbstaudit oder durch unabhängige dritte Stellen durchgeführt werden.
Die Frage, ob durch Einholung von Zertifikaten die Zuverlässigkeit von Auftragsverarbeitern geprüft werden konnte, war bisher umstritten. Insofern besteht einige Innovation in der Anerkennung von Zertifizierungen als Nachweis für die Compliance im Vergleich zur bisherigen Rechtsauffassung.
So erkannte die EU-Datenschutz-Richtlinie 95/46/EG Zertifizierungen nicht als Beweise für Compliance an. Das ist auch einer der Gründe, warum sich Europäische Zertifikate wie z.B. das sog. European Privacy Seal nicht am Markt durchgesetzt hat. Diese Auffassung ist zumindest zu Beginn jedoch mit Vorsicht zu geniessen, da nicht klar ist ob und inwieweit die Aufsichtsbehörden diesen Auslegungen folgen und mit den Prüfkatalogen und Ergebnissen der Zertifizierungsstellen zufrieden sind. Insbesondere ist nicht klar, ob und falls ja welche Zertifikate grenzüberschreitend auch in anderen Mitgliedsstaaten anerkannt werden.
Für den Erhalt eines Zertifikats, das für jeweils 3 Jahre erteilt werden soll und dessen Voraussetzungen regelmäßig überprüft werden sollen, ist wichtig, dass die Verarbeitungsvorgänge ausreichend und transparent dokumentiert werden. Das Zertifikat kann dem Verantwortlichen jederzeit entzogen werden, wenn er die Voraussetzungen nicht mehr erfüllt.
Eine problematische Aufgabenkonzentration bei der Aufsicht kann dadurch entstehen, dass diese sowohl eine Zertifizierung durchführt wie auch diese kontrolliert. Damit sind möglicherweise Interessenkonflikte vorprogrammiert. Ob diese in der Praxis tatsächlich so auftreten, mag aber angesichts der klammen Ressourcenausstattung der Aufsichtsbehörden bezweifelt werden, schließlich soll die Überprüfung der Zertifizierung durch die Aufsichtsbehörde nach Art. 58 Abs. 1 Lit. c EU-DSGVO „gegebenenfalls“ regelmäßig erfolgen – ist also nur eine Kann-Bestimmung. Dennoch sollten solche Konstellationen durch entsprechende Maßnahmen vermieden werden, so dass die Vertrauensstellung der Aufsichtsbehörde nicht beschädigt wird.
Es bleibt spannend, inwieweit die Mitgliedsstaaten sowie Ausschuss und Kommission ihre Regelungsspielräume ausnutzen um die Unklarheiten zu beseitigen.
Handreichung des LDA Bayern zur Zertifizierung nach Art. 42 EU-DSGVO
Kommentar
Art.42 - DSGVO - Zertifizierung
| Stand: 25.01.2012 | Stand: 12.03.2014 | Stand: 16.12.2015 |
Stand: 27.04.2016 (ehem. Art. 39) |
| Datenübermittlung auf der Grundlage geeigneter Garantien | Datenübermittlung auf der Grundlage geeigneter Garantien | Datenübermittlung auf der Grundlage geeigneter Garantien |
Zertifizierung |
|
1.Hat die Kommission keinen Beschluss nach Artikel 41 erlassen, darf ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermitteln, sofern er in einem rechtsverbindlichen Instrument geeignete Garantien zum Schutz personenbezogener Daten vorgesehen hat. |
1. Hat die Kommission keinen Beschluss nach Artikel 41 erlassen oder hat sie festgestellt, dass ein Drittland beziehungsweise ein Gebiet oder ein Verarbeitungssektor eines Drittlands oder eine internationale Organisation keinen angemessenen Datenschutz im Einklang mit Artikel 41 Absatz 5 bietet, darf ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter nur dann personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermitteln, wenn er in einem rechtsverbindlichen Instrument geeignete Garantien zum Schutz personenbezogener Daten vorgesehen hat. |
Text ist noch nicht in deutscher Fassung verfügbar (Stand 30.12.2015). Hier finden Sie den finalen Text in englischer Sprache. Oder klicken Sie auf den Reiter "Historie", um die bisherigen Texte im Vergleich (Synopse) zu sehen. |
1. Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen. |
|
2.Die in Absatz 1 genannten geeigneten Garantien können insbesondere bestehen in Form |
2. Die in Absatz 1 genannten geeigneten Garantien können insbesondere bestehen in Form |
2. Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können auch datenschutzspezifische Zertifizierungsverfahren, Siegel oder Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt worden sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsverarbeiter, die gemäß Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen. | |
|
a)verbindlicher unternehmensinterner Vorschriften nach Artikel 43; |
a) verbindlicher unternehmensinterner Vorschriften nach Artikel 43; oder |
a) (entfällt) | |
|
aa) eines gültigen europäischen Datenschutzsiegels gemäß Artikel 39 Absatz 1e für den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter; oder |
aa) (entfällt) | ||
|
b) vn der Kommission angenommener Standarddatenschutzklauseln, diese Durchführungsrechtsakte werden in Übereinstimmung mit dem in Artikel 87 Absatz 2 genannten Prüfverfahren erlassen; |
b) (entfällt) | ||
|
c)von einer Aufsichtsbehörde nach Maßgabe des in Artikel 57 beschriebenen Kohärenzverfahren angenommener Standarddatenschutzklauseln, sofern diesen von der Kommission allgemeine Gültigkeit gemäß Artikel 62 Absatz 1 Buchstabe b zuerkannt wurde, oder |
c) von einer Aufsichtsbehörde nach Maßgabe des in Artikel 57 beschriebenen Kohärenzverfahren angenommener Standarddatenschutzklauseln, sofern diesen von der Kommission allgemeine Gültigkeit gemäß Artikel 62 Absatz 1 Buchstabe b zuerkannt wurde, oder |
c) (entfällt) | |
|
d) von Vertragsklauseln, die zwischen dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter und dem Empfänger vereinbart und von einer Aufsichtsbehörde gemäß Absatz 4 genehmigt wurden. |
d) von Vertragsklauseln, die zwischen dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter und dem Empfänger vereinbart und von einer Aufsichtsbehörde gemäß Absatz 4 genehmigt wurden. |
d) (entfällt) | |
|
|
|
e) (entfällt) | |
|
2.Datenübermittlungen, die nach Maßgabe der in Absatz 2 Buchstabe a, b und c genannten unternehmensinternen Vorschriften und Standarddatenschutzklauseln erfolgen, bedürfen keiner weiteren Genehmigung. |
|||
|
3.Für Datenübermittlungen nach Maßgabe der in Absatz 2 Buchstabe d dieses Artikels genannten Vertragsklauseln holt der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die vorherige Genehmigung der Aufsichtsbehörde gemäß Artikel 34 Absatz 1 Buchstabe a ein. Falls die Datenübermittlung im Zusammenhang mit Verarbeitungstätigkeiten steht, welche Personen in einem oder mehreren anderen Mitgliedstaaten betreffen oder wesentliche Auswirkungen auf den freien Verkehr von personenbezogenen Daten in der Union haben, bringt die Aufsichtsbehörde das in Artikel 57 genannte Kohärenzverfahren zur Anwendung. |
3. Datenübermittlungen, die nach Maßgabe der in Absatz 2 Buchstabe a, aa, b oder c genannten Standarddatenschutzklauseln, eines europäischen Datenschutzsiegels oder unternehmensinternen Vorschriften erfolgen, bedürfen keiner besonderen Genehmigung. |
3. Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein. | |
|
4.Wenn keine geeigneten Garantien für den Schutz personenbezogener Daten in einem rechtsverbindlichen Instrument vorgesehen werden, holt der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die vorherige Genehmigung für die Übermittlung oder Kategorie von Übermittlungen oder für die Aufnahme von entsprechenden Bestimmungen in die Verwaltungsvereinbarungen ein, die die Grundlage für eine solche Übermittlung bilden. Derartige vorherige Genehmigungen der Aufsichtsbehörde müssen im Einklang mit Artikel 34 Absatz 1 Buchstabe a stehen. Falls die Datenübermittlung im Zusammenhang mit Verarbeitungstätigkeiten steht, welche Personen in einem oder mehreren anderen Mitgliedstaaten betreffen oder wesentliche Auswirkungen auf den freien Verkehr von personenbezogenen Daten in der Union haben, bringt die Aufsichtsbehörde das in Artikel 57 genannte Kohärenzverfahren zur Anwendung. Sämtliche von einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilten Genehmigungen bleiben so lange in Kraft, bis sie von dieser Aufsichtsbehörde geändert, ersetzt oder aufgehoben werden. |
4. Für Datenübermittlungen nach Maßgabe der in Absatz 2 Buchstabe d genannten Vertragsklauseln holt der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die vorherige Genehmigung der Aufsichtsbehörde ein. Falls die Datenübermittlung im Zusammenhang mit Verarbeitungstätigkeiten steht, welche Personen in einem oder mehreren anderen Mitgliedstaaten betreffen oder wesentliche Auswirkungen auf den freien Verkehr von personenbezogenen Daten in der Union haben, bringt die Aufsichtsbehörde das in Artikel 57 genannte Kohärenzverfahren zur Anwendung. |
4. Eine Zertifizierung gemäß diesem Artikel mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung dieser Verordnung und berührt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, die gemäß Artikel 55 oder 56 zuständig sind. |
|
|
5. Wenn keine geeigneten Garantien für den Schutz personenbezogener Daten in einem rechtsverbindlichen Instrument vorgesehen werden, holt der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die vorherige Genehmigung für die Übermittlung oder Kategorie von Übermittlungen oder für die Aufnahme von entsprechenden Bestimmungen in die Verwaltungsvereinbarungen ein, die die Grundlage für eine solche Übermittlung bilden. Derartige vorherige Genehmigungen der Aufsichtsbehörde müssen im Einklang mit Artikel 34 Absatz 1 Buchstabe a stehen. Falls die Datenübermittlung im Zusammenhang mit Verarbeitungstätigkeiten steht, welche Personen in einem oder mehreren anderen Mitgliedstaaten betreffen oder wesentliche Auswirkungen auf den freien Verkehr von personenbezogenen Daten in der Union haben, bringt die Aufsichtsbehörde das in Artikel 57 genannte Kohärenzverfahren zur Anwendung. Sämtliche von einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilten Genehmigungen bleiben so lange in Kraft, bis sie von dieserAufsichtsbehörde geändert, er setzt oder aufgehoben werden. |
5. Sämtliche von einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilten Genehmigungen bleiben zwei Jahre nach Inkrafttreten dieser Verordnung oder so lange in Kraft, es sei denn, sie werden durch die Aufsichtsbehörde vor Ende dieses Zeitraums geändert, ersetzt oderaufgehoben. |
5. Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde gemäß Artikel 58 Absatz 3 oder – gemäß Artikel 63 – durch den Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen. |
|
|
6. Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach Artikel 43 oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten. |
|||
| 7. Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden. | |||
|
8. Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen in ein Register auf und veröffentlicht sie in geeigneter Weise. |
Datenübermittlung auf der Grundlage geeigneter Garantien
Erwägungsgrund: 100
Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag
Besondere Bedeutung bekommen die Zertifizierungsverfahren in der EU-DSGVO. Art. 42 EU-DSGVO sieht vor, dass Mitgliedstaaten, Aufsichtsbehörden, der Europäische Datenschutzausschuss (Ausschuss) und die Kommission die Einführung datenschutzspezifischer „Zertifizierungsverfahren“, „Datenschutzsiegel“ und „-prüfzeichen“ fördern, freilich ohne diese Begriffe gegeneinander abzugrenzen.
Nach der EU-DSGVO sind Zertifizierungsstellen und Aufsichtsbehörden zur Vergabe von Zertifikaten befugt, vgl. Art. 43 EU-DSGVO.
Gegenstand eines Zertifizierungsverfahren können gem. Erwägungsgrund 100 auf „Produkte und Dienstleistungen“ beziehen, ebenso könnte damit aber auch ein Datenschutz-Management-System gemeint sein, dass gem. Art. 5 Abs. 2 EU-DSGVO eingefordert wird. Der Begriff der Zertifizierung wurde im BDSG nicht genutzt, vielmehr sprach §9a BDSG von Auditierung. Diese Rechtsnorm wurde jedoch nie mit Leben gefüllt.
Die Zertifizierung findet sich vor allem in den Art. 24 Abs. 3 EU-DSGVO („Gesichtspunkt für die Erfüllung der Anforderungen“) sowie in Art. 32 EU-DSGVO („Faktor“ für den Nachweis der Anforderungen).
Für das Vertrauen von Vertragspartnern kann eine Zertifizierung höchst hilfreich sein. Das gilt auch und insbesondere für die Überprüfung der Zuverlässigkeit von Auftragsverarbeitern nach Art. 28 EU-DSGVO. Dies würde aber voraussetzen, dass nicht nur einzelne Produkte und Dienstleistungen, sondern auch insgesamt Ablauforganisationen nach Art. 42 EU-DSGVO zertifiziert werden. Dabei ist es unerheblich, ob diese Audit als Selbstaudit oder durch unabhängige dritte Stellen durchgeführt werden.
Die Frage, ob durch Einholung von Zertifikaten die Zuverlässigkeit von Auftragsverarbeitern geprüft werden konnte, war bisher umstritten. Insofern besteht einige Innovation in der Anerkennung von Zertifizierungen als Nachweis für die Compliance im Vergleich zur bisherigen Rechtsauffassung.
So erkannte die EU-Datenschutz-Richtlinie 95/46/EG Zertifizierungen nicht als Beweise für Compliance an. Das ist auch einer der Gründe, warum sich Europäische Zertifikate wie z.B. das sog. European Privacy Seal nicht am Markt durchgesetzt hat. Diese Auffassung ist zumindest zu Beginn jedoch mit Vorsicht zu geniessen, da nicht klar ist ob und inwieweit die Aufsichtsbehörden diesen Auslegungen folgen und mit den Prüfkatalogen und Ergebnissen der Zertifizierungsstellen zufrieden sind. Insbesondere ist nicht klar, ob und falls ja welche Zertifikate grenzüberschreitend auch in anderen Mitgliedsstaaten anerkannt werden.
Für den Erhalt eines Zertifikats, das für jeweils 3 Jahre erteilt werden soll und dessen Voraussetzungen regelmäßig überprüft werden sollen, ist wichtig, dass die Verarbeitungsvorgänge ausreichend und transparent dokumentiert werden. Das Zertifikat kann dem Verantwortlichen jederzeit entzogen werden, wenn er die Voraussetzungen nicht mehr erfüllt.
Eine problematische Aufgabenkonzentration bei der Aufsicht kann dadurch entstehen, dass diese sowohl eine Zertifizierung durchführt wie auch diese kontrolliert. Damit sind möglicherweise Interessenkonflikte vorprogrammiert. Ob diese in der Praxis tatsächlich so auftreten, mag aber angesichts der klammen Ressourcenausstattung der Aufsichtsbehörden bezweifelt werden, schließlich soll die Überprüfung der Zertifizierung durch die Aufsichtsbehörde nach Art. 58 Abs. 1 Lit. c EU-DSGVO „gegebenenfalls“ regelmäßig erfolgen – ist also nur eine Kann-Bestimmung. Dennoch sollten solche Konstellationen durch entsprechende Maßnahmen vermieden werden, so dass die Vertrauensstellung der Aufsichtsbehörde nicht beschädigt wird.
Es bleibt spannend, inwieweit die Mitgliedsstaaten sowie Ausschuss und Kommission ihre Regelungsspielräume ausnutzen um die Unklarheiten zu beseitigen.
Handreichung des LDA Bayern zur Zertifizierung nach Art. 42 EU-DSGVO