Kernpunkte:
- Arbeitskreis Zertifizierung
- Verwaltungsvereinbarung zwischen den Datenschutzbehörden
- Akkreditierungskriterien
9 Zertifizierung und Akkreditierung
Auch im Berichtsjahr spielten Zertifizierung und Akkreditierung eine Rolle – leider immer noch nicht im Realeinsatz, sondern nun im Endspurt im AK Zertifizierung (Tz. 9.1) mit der Fertigstellung aller vorbereitender Dokumente und Vereinbarungen (Tz. 9.2, Tz. 9.3), damit deutschlandweit und EU-weit (Tz. 9.4) ein einheitliches Vorgehen garantiert wird. Dies beeinflusst auch die eigenen Planungen der Fortführung der Zertifizierung durch das ULD, wie dies vor der Geltung der Datenschutz-Grundverordnung durch Instrumente des Datenschutz-Gütesiegels und des Datenschutzaudits der Fall war (Tz. 9.5).
Eine Zertifizierung nach der Datenschutz-Grundverordnung dient dazu, die Datenschutzkonformität von Verarbeitungen personenbezogener Daten sichtbar zu machen. Solche Zertifizierungen können insbesondere sinnvoll sein, wenn Verantwortliche über die Wahl von Dienstleistern entscheiden sollen. Nicht nur eine erfolgreich durchlaufene Zertifizierung, sondern auch die dafür notwendige nachvollziehbare Dokumentation und die Prüfbarkeit der Verarbeitung werden einen großen Beitrag für die Rechenschaftspflicht der Verantwortlichen leisten. Die DSGVO beinhaltet einige Erleichterungen, wenn eine Zertifizierung vorgelegt werden kann.
9.1 Leitung des AK Zertifizierung
Seit drei Jahren leitet das ULD auf Wunsch der Datenschutzkonferenz (DSK) den Arbeitskreis (AK) Zertifizierung der Datenschutzaufsichtsbehörden in Deutschland. 2020 konnten durch die Arbeiten in dem Arbeitskreis sowohl die Verwaltungsvereinbarung zur deutschlandweiten Zusammenarbeit (Tz. 9.2) als auch die gemeinsamen Akkreditierungskriterien (Tz. 9.3) verabschiedet werden.
Eingebunden war stets auch die Deutsche Akkreditierungsstelle GmbH (DAkkS). Die DAkkS ist zwar in Deutschland für die Akkreditierung von Zertifizierungsstellen zuständig, doch die Aufsichtsbehörden werden bei der Begutachtung dieser Stellen tätig und sind maßgeblich an der Akkreditierungsentscheidung beteiligt. Auch gehört es zu den Aufgaben der Aufsichtsbehörden, die Zertifizierungskriterien zu genehmigen und die Befugnis zur Tätigkeit als Zertifizierungsstelle zu erteilen. Der AK Zertifizierung hat nun die Grundlage gelegt, dass diese Akkreditierungsverfahren starten können. 2020 wurden bereits in mehreren Bundesländern Anträge hierzu gestellt, wobei dies in Schleswig-Holstein bisher noch nicht der Fall ist.
Vorrangiges Ziel des AK Zertifizierung war es in der zweiten Jahreshälfte, gemeinsame Kriterien für die Bewertung von Kriterienkatalogen der Zertifizierungsstellen festzulegen. Die Arbeiten des dafür eingerichteten Unterarbeitskreises (UAK) Prüfkriterien waren Schwerpunkt in mehreren Sitzungen; es ist geplant, dass Anfang 2021 diese gemeinsamen Prüfkriterien der DSK vorgelegt werden können.
2020 fanden fünf Sitzungen des AK Zertifizierung statt, davon in Präsenz nur eine im Februar in Kiel.
Was ist zu tun?
Die Leitung des AK Zertifizierung durch das ULD wird auch 2021 fortgesetzt. Neben den gemeinsamen Prüfkriterien für Kriterienkataloge werden viele kleinere Themen wie die Ausgestaltung von Registern, Veröffentlichungen und die Koordinierung mit den Vorgaben der EU behandelt werden müssen.
9.2 Verwaltungsvereinbarung zwischen den deutschen Datenschutzbehörden
Anfang 2020 wurde zwischen allen Datenschutzaufsichtsbehörden in Deutschland (Länder und Bund) eine Verwaltungsvereinbarung zum Bereich Akkreditierung von Zertifizierungsstellen geschlossen. Nach Art. 57 Abs. 1 Buchst. q DSGVO haben die Aufsichtsbehörden die Aufgabe, Akkreditierungen von Zertifizierungsstellen gemäß Artikel 43 DSGVO vorzunehmen. Das bedeutet, dass alle Aufsichtsbehörden an der Akkreditierung von Zertifizierungsstellen mitwirken müssen. Diese Zertifizierungsstellen – in der Regel private Anbieter – wiederum zertifizieren Verantwortliche oder Auftragsverarbeiter hinsichtlich der Einhaltung der Vorgaben der DSGVO.
Die Akkreditierung selbst wird zwar durch die Deutsche Akkreditierungsstelle GmbH (DAkkS) vorgenommen, jedoch sind die Aufsichtsbehörden als Gutachter eingebunden und entscheiden über die Akkreditierung mit. Insbesondere diese Zusammenarbeit zwischen den Aufsichtsbehörden und der DAkkS musste durch eine Vereinbarung geregelt werden. Diese beinhaltet grundsätzliche Regelungen der Zusammenarbeit sowie die Zusammensetzung von Gremien und stellt auch klar, dass Genehmigungen von Zertifizierungskriterien nach Art. 42 Abs. 5 DSGVO deutschlandweit gelten. Auch beinhaltet die Vereinbarung eine Möglichkeit der gegenseitigen Unterstützung und des freiwilligen Austauschs u. a. von Fachbegutachtenden, wenn aufgrund erhöhter Antragszahl personelle Engpässe in den Datenschutzbehörden einzelner Bundesländer entstehen. Dazu kommen Regelungen zur fortlaufenden Überwachung von Akkreditierungen.
Was ist zu tun?
Anträge auf Akkreditierung von Zertifizierungsstellen sind zu bearbeiten und zu entscheiden. Andere Bundesländer können gegebenenfalls in ihrer Arbeit unterstützt werden.
9.3 Akkreditierungskriterien veröffentlicht
Eine der Kernaufgaben des vom ULD geleiteten AK Zertifizierung im Jahr 2020 war es, zusammen mit den anderen deutschen Aufsichtsbehörden die zuvor erarbeiteten Kriterien gemäß Art. 64 Abs. 1 Buchst. c DSGVO für die Akkreditierung von Zertifizierungsstellen dem Europäischen Datenschutzausschuss zuzuleiten und die im Rahmen der Stellungnahme übermittelten Anpassungsvorschläge einzuarbeiten. Hierbei handelt es sich um Ergänzungen zur DIN EN ISO/IEC 17065 aus Datenschutzsicht. Dies konnte im abgelaufenen Berichtsjahr erfolgreich umgesetzt werden, sodass die von den deutschen Aufsichtsbehörden zusammen mit der Deutschen Akkreditierungsstelle (DAkkS) erarbeiteten Akkreditierungskriterien inzwischen das Stellungnahmeverfahren beim Europäischen Datenschutzausschuss erfolgreich durchlaufen haben. Diese Kriterien können nun im Rahmen von Akkreditierungsverfahren angewendet werden.
Unter anderem werden in den Kriterien Festlegungen getroffen, welche Fachkundeanforderungen eine Zertifizierungsstelle erfüllen muss, um Zertifizierungsverfahren kompetent durchführen zu können. Zudem werden spezielle Verfahrensfragen und Publikationsanforderungen geregelt.
Die aktuellen Akkreditierungsanforderungen können auf der Webseite der Datenschutzkonferenz abgerufen werden:
https://www.datenschutzkonferenz-online.de/media/ah/20201008_din17065_Ergaenzungen_deutsch_nach_opinion.pdf
Kurzlink: https://uldsh.de/tb39-9-3
In diesem Zusammenhang ist das ULD neben anderen deutschen Datenschutzaufsichtsbehörden aktiv im Unterarbeitskreis (UAK) Prüfkriterien eingebunden, der sich zur Aufgabe gemacht hat, einheitliche Anforderungen zu definieren, die es den deutschen Datenschutzaufsichtsbehörden erlauben, eingereichte Zertifizierungsprogramme auf einer einheitlichen Grundlage zu prüfen und zu bewerten. Hierzu wird vom UAK Prüfkriterien ein Dokument erstellt, das die Mindestanforderungen an solche Zertifizierungsprogramme skizziert. Die Arbeit des UAK Prüfkriterien ist dabei eng mit der Arbeit des AK Zertifizierung verzahnt.
Das erarbeitete Dokument soll nach der finalen Abstimmung im UAK Prüfkriterien und im AK Zertifizierung Anfang 2021 der DSK vorgelegt werden.
9.4 Mitwirkung in der europäischen Subgroup zur Zertifizierung
Das ULD war im Berichtszeitraum im Zusammenhang mit der Akkreditierung von Zertifizierungsstellen und mit der Zertifizierung in die Arbeit auf europäischer Ebene eingebunden.
Im Rahmen der „Compliance, e-Government und Health Subgroup (CEH ESG)“, einer Untergruppe des Europäischen Datenschutzausschusses, hat sich das ULD als Co-Berichterstatter u. a. an der Erarbeitung von Stellungnahmen für Akkreditierungskriterien von Zertifizierungsstellen nach Artikel 43 DSGVO in Verbindung mit § 39 BDSG aus anderen europäischen Mitgliedstaaten beteiligt.
Darüber hinaus wirkt das ULD zurzeit in der CEH ESG aktiv an der Erstellung von Kriterien zur Bewertung und Genehmigung von Zertifizierungsprogrammen mit (vergleichbar mit denen des UAK Prüfkriterien, Tz. 9.3).
Diese sollen es den europäischen Datenschutzaufsichtsbehörden erleichtern, die zur Genehmigung eingereichten Zertifizierungsprogramme bzw. -kriterien auf einer einheitlichen Basis und nach vergleichbaren Vorgaben zu prüfen und zu bewerten.
Was ist zu tun?
Die aktive Mitarbeit in den verantwortlichen Gremien auf europäischer Ebene soll weiter fortgeführt werden, um das Instrument der datenschutzrechtlichen Zertifizierung auf einer einheitlichen Basis weiter zu definieren und durch eine konsistente Anwendung und Umsetzung in Deutschland und Europa zu stärken.
9.5 Planung eigener Zertifizierungen des ULD
Das ULD hat bis Mai 2018 nach den damaligen Regelungen des LDSG Zertifizierungen in Form des Datenschutz-Gütesiegels Schleswig-Holstein durchgeführt. Auch nach den Regelungen der DSGVO kann das ULD Zertifizierungen vornehmen.
Aufgrund der guten Erfahrungen mit dem Datenschutz-Gütesiegel Schleswig-Holstein plant das ULD, dieses in Zukunft wieder anzubieten. Allerdings war für uns von Anfang an klar, dass wir uns vergleichbaren Regelungen unterwerfen wollen, wie sie für die privaten Anbieter von Zertifizierungen gelten – und die mussten erst ausgearbeitet werden. Mittlerweile stehen die endgültigen Akkreditierungskriterien für Deutschland fest (Tz. 9.3). Im Jahr 2021 werden die Prüfkriterien für Kriterienkataloge abgestimmt sein.
Frühestens dann können wir unseren eigenen Kriterienkatalog für eine ULD-Zertifizierung veröffentlichen. Dabei wird es sich im Gegensatz zum alten Datenschutz-Gütesiegel nicht um eine Produktzertifizierung handeln. Entsprechend den Vorgaben der DSGVO stehen Verfahren, Prozesse und Dienstleistungen im Fokus. Zielgruppe der ULD-Zertifizierung werden öffentliche Stellen in Schleswig-Holstein sein. Im Gegensatz zu früher werden wir nicht mehr grundsätzlich auf anerkannte Sachverständige zurückgreifen. Auch die Gebühren für die Zertifizierung müssen noch festgesetzt werden.
Was ist zu tun?
Neben einigen Grundsatzfestlegungen muss insbesondere der Kriterienkatalog für die ULD-Zertifizierung ausgearbeitet und veröffentlicht werden. Die Gebühren und die genauen Verfahrensabläufe im Rahmen des eigenen Zertifizierungsprogramms müssen bestimmt werden.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |