Art. 42 – DSGVO – Zertifizierung
(1) Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.
(2) Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können auch datenschutzspezifische Zertifizierungsverfahren, Siegel oder Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt worden sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsverarbeiter, die gemäß Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
(3) Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein.
(4) Eine Zertifizierung gemäß diesem Artikel mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung dieser Verordnung und berührt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, die gemäß Artikel 55 oder 56 zuständig sind.
(5) Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde gemäß Artikel 58 Absatz 3 oder — gemäß Artikel 63 — durch den Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen.
(6) Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach Artikel 43 oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten.
(7) Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden.
(8) Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen in ein Register auf und veröffentlicht sie in geeigneter Weise.
Erwägungsgründe
Häufig gestellte Fragen
Besondere Bedeutung bekommen die Zertifizierungsverfahren in der EU-DSGVO. Art. 42 EU-DSGVO sieht vor, dass Mitgliedstaaten, Aufsichtsbehörden, der Europäische Datenschutzausschuss (Ausschuss) und die Kommission die Einführung datenschutzspezifischer „Zertifizierungsverfahren“, „Datenschutzsiegel“ und „-prüfzeichen“ fördern, freilich ohne diese Begriffe gegeneinander abzugrenzen.
Nach der EU-DSGVO sind Zertifizierungsstellen und Aufsichtsbehörden zur Vergabe von Zertifikaten befugt, vgl. Art. 43 EU-DSGVO.
Gegenstand eines Zertifizierungsverfahren können gem. Erwägungsgrund 100 auf „Produkte und Dienstleistungen“ beziehen, ebenso könnte damit aber auch ein Datenschutz-Management-System gemeint sein, dass gem. Art. 5 Abs. 2 EU-DSGVO eingefordert wird. Der Begriff der Zertifizierung wurde im BDSG nicht genutzt, vielmehr sprach §9a BDSG von Auditierung. Diese Rechtsnorm wurde jedoch nie mit Leben gefüllt.
Die Zertifizierung findet sich vor allem in den Art. 24 Abs. 3 EU-DSGVO („Gesichtspunkt für die Erfüllung der Anforderungen“) sowie in Art. 32 EU-DSGVO („Faktor“ für den Nachweis der Anforderungen).
Für das Vertrauen von Vertragspartnern kann eine Zertifizierung höchst hilfreich sein. Das gilt auch und insbesondere für die Überprüfung der Zuverlässigkeit von Auftragsverarbeitern nach Art. 28 EU-DSGVO. Dies würde aber voraussetzen, dass nicht nur einzelne Produkte und Dienstleistungen, sondern auch insgesamt Ablauforganisationen nach Art. 42 EU-DSGVO zertifiziert werden. Dabei ist es unerheblich, ob diese Audit als Selbstaudit oder durch unabhängige dritte Stellen durchgeführt werden.
Die Frage, ob durch Einholung von Zertifikaten die Zuverlässigkeit von Auftragsverarbeitern geprüft werden konnte, war bisher umstritten. Insofern besteht einige Innovation in der Anerkennung von Zertifizierungen als Nachweis für die Compliance im Vergleich zur bisherigen Rechtsauffassung.
So erkannte die EU-Datenschutz-Richtlinie 95/46/EG Zertifizierungen nicht als Beweise für Compliance an. Das ist auch einer der Gründe, warum sich Europäische Zertifikate wie z.B. das sog. European Privacy Seal nicht am Markt durchgesetzt hat. Diese Auffassung ist zumindest zu Beginn jedoch mit Vorsicht zu geniessen, da nicht klar ist ob und inwieweit die Aufsichtsbehörden diesen Auslegungen folgen und mit den Prüfkatalogen und Ergebnissen der Zertifizierungsstellen zufrieden sind. Insbesondere ist nicht klar, ob und falls ja welche Zertifikate grenzüberschreitend auch in anderen Mitgliedsstaaten anerkannt werden.
Für den Erhalt eines Zertifikats, das für jeweils 3 Jahre erteilt werden soll und dessen Voraussetzungen regelmäßig überprüft werden sollen, ist wichtig, dass die Verarbeitungsvorgänge ausreichend und transparent dokumentiert werden. Das Zertifikat kann dem Verantwortlichen jederzeit entzogen werden, wenn er die Voraussetzungen nicht mehr erfüllt.
Eine problematische Aufgabenkonzentration bei der Aufsicht kann dadurch entstehen, dass diese sowohl eine Zertifizierung durchführt wie auch diese kontrolliert. Damit sind möglicherweise Interessenkonflikte vorprogrammiert. Ob diese in der Praxis tatsächlich so auftreten, mag aber angesichts der klammen Ressourcenausstattung der Aufsichtsbehörden bezweifelt werden, schließlich soll die Überprüfung der Zertifizierung durch die Aufsichtsbehörde nach Art. 58 Abs. 1 Lit. c EU-DSGVO „gegebenenfalls“ regelmäßig erfolgen – ist also nur eine Kann-Bestimmung. Dennoch sollten solche Konstellationen durch entsprechende Maßnahmen vermieden werden, so dass die Vertrauensstellung der Aufsichtsbehörde nicht beschädigt wird.
Es bleibt spannend, inwieweit die Mitgliedsstaaten sowie Ausschuss und Kommission ihre Regelungsspielräume ausnutzen um die Unklarheiten zu beseitigen.
Handreichung des LDA Bayern zur Zertifizierung nach Art. 42 EU-DSGVO
Navigieren Sie sicher durch den DSGVO-Dschungel!
Holen Sie sich den Umsetzungsfahrplan zur DSGVO und unseren Newsletter!