Kernpunkte:
- Leitung Arbeitskreis Zertifizierung
- Prüfkriterienkatalog
- Erste Genehmigungen
- Eigenes Zertifizierungsverfahren
9 Zertifizierung und Akkreditierung
Nach Inkrafttreten der Regelungen zur Akkreditierung und Zertifizierung in der DSGVO 2018 konnten in diesem Jahr nun die ersten Genehmigungsverfahren für Kriterienkataloge in Europa bzw. auch in Deutschland vorangetrieben und teilweise sogar abgeschlossen werden (Tz. 9.3). Damit ist zu erwarten, dass 2023 auch in Deutschland erste Zertifizierungsstellen akkreditiert werden und damit endlich auch Datenschutzzertifizierungen erfolgen können. In Schleswig-Holstein bestehen noch keine derartigen Verfahren, wobei weiterhin auch Überlegungen bestehen, dass das ULD ein Zertifizierungsverfahren anbietet (Tz. 9.4). Allerdings haben wir die Entwicklung bis hierin als Leiter des Arbeitskreises Zertifizierung der deutschen Aufsichtsbehörden begleitet (Tz. 9.1) und werden dies auch weiterhin tun. Im Berichtszeitraum konnte u. a. eine neue Version eines Prüfkriterienkatalogs verabschiedet werden, der eine einheitliche Bewertung von Kriterienkatalogen in Deutschland sicherstellen soll (Tz. 9.2). Wir waren auch an der für den Zertifizierungs- und Akkreditierungsbereich zuständigen europäischen Expert Subgroup beteiligt, die die ersten Stellungnahmeverfahren und Genehmigungsverfahren zu den Kriterien vorliegen hatte (Tz. 11.4).
9.1 Leitung des AK Zertifizierung
Das ULD hat auch 2022 den Arbeitskreis Zertifizierung geleitet. Die Treffen fanden virtuell statt. Dabei wurde auf einen monatlichen Turnus gewechselt (unterbrochen nur in den Sommerferien), der es ermöglichte, zeitnah aktuelle Entwicklungen bei der Genehmigung von Zertifizierungskriterien und beginnende Akkreditierungsverfahren in Deutschland und der EU zu besprechen. Flankiert wurde dieses durch den Unterarbeitskreis (UAK) Prüfkriterien, der sich zunächst auf die Finalisierung der neuen Version des Prüfkriterienkatalogs (Tz. 9.2) konzentrierte und dabei und gerade auch im Folgenden ein Gremium zum Austausch zu aktuellen Verfahren darstellte. Geleitet wird der UAK von der LfD Nordrhein-Westfalen und findet alle 14 Tage statt.
Ein Thema, das den AK Zertifizierung fast durch das ganze Jahr begleitet hat, waren erste Verfahren zur Anerkennung von Zertifizierungskriterien in Europa. Konkret waren es nationale und auch europaweite Kriterien (Tz. 11.4). Wichtig war dabei, dass über den AK Zertifizierung eine geschlossene deutsche Haltung erreicht werden konnte. Das galt auch bei der Mitwirkung an einem europäischen Papier zu den Verfahren bei der Betrachtung nationaler und europäischer Kriterien. In diesem Jahr hat sich durchaus gezeigt, dass es in Europa unterschiedliche Positionen bei den Ansprüchen an eingereichte Zertifizierungskriterien gibt. Wichtig bleibt es, dass über den AK Zertifizierung alle Aufsichtsbehörden informiert bleiben und hier im Rahmen unserer Kooperationsvereinbarung (39. TB, Tz. 9.2) miteinander abgestimmt agieren.
Auch die Deutsche
Akkreditierungsstelle GmbH (DAkkS) nahm
regelmäßig an den Treffen des AK Zertifizierung teil und unterstützte damit die
deutschen Aufsichtsbehörden mit ihren Erfahrungen und dem Fachwissen in dem
Bereich Kriteriengenehmigung. Die Anträge hierzu gingen in der Regel über die
DAkkS ein, die diese an die zuständige Aufsichtsbehörde weiterreichte. Soweit
es nicht um die Kriterien nach der DSGVO geht, nimmt die DAkkS auch eigene
Prüfungen vor. Wenn es 2023 insbesondere nach ersten Genehmigungen von
Kriterienkatalogen nun auch darum geht, Zertifizierungsstellen zu
akkreditieren, ist die DAkkS sogar federführend und nutzt die Mitarbeiterinnen
und Mitarbeiter der jeweiligen Aufsichtsbehörden als Gutachterinnen und Gutachter.
Dies zu begleiten und Erfahrungen zu verarbeiten wird im kommenden Jahr voraussichtlich
einen großen Teil der Arbeit des AK Zertifizierung darstellen.
Was ist zu tun?
Der AK Zertifizierung wird sich
weiterhin monatlich virtuell treffen und aktuelle Entwicklungen in Deutschland
und Europa begleiten.
9.2 Prüfkriterienkatalog
Das im Frühjahr 2021 durch die DSK angenommene Papier „Anforderungen an datenschutzrechtliche Zertifizierungsprogramme – Datenschutzrechtliche Prüfkriterien, Prüfsystematik und Prüfmethoden zur Anpassung und Anwendung der technischen Norm DIN EN ISO/IEC 17067 (Programmtyp 6)“ wurde im Unterarbeitskreis (UAK) Prüfkriterien des AK Zertifizierung weiterentwickelt und liegt nun in der Version 2.0 vor. Die bisherige Struktur des Dokuments und insbesondere des Kapitels 2 aus
- gesetzlichen Tatbestandsmerkmalen,
- zu behandelnden Prüfthemen und deren Umsetzung durch die Kundinnen und Kunden der Zertifizierungsstelle sowie
- der Art und Weise der Prüfung durch die Zertifizierungsstelle
wurde hierbei beibehalten und um Inhalte zu verschiedenen Themenkomplexen ergänzt. So enthält das Papier nun u. a. umfangreiche Ausführungen zur gemeinsamen Verantwortlichkeit nach Artikel 26 und zur Datenübermittlung in Drittstaaten gemäß Artikel 46 DSGVO sowie Darstellungen zum Verfahrensablauf bei der Prüfung sowohl von nationalen als auch europäischen Zertifizierungskriterien. In die Überarbeitung bereits bestehender Inhalte sind dabei konkrete Erfahrungen mit der Anwendung des Papiers selbst sowie weiter ausdefinierter Vorgaben auf europäischer Ebene eingeflossen.
Es bildet somit in der aktuell vorliegenden Version eine breitere Basis für die einheitliche Bewertung von Zertifizierungsprogrammen durch die zuständigen unabhängigen Datenschutzaufsichtsbehörden in Deutschland und kann gleichermaßen als Orientierung für potenzielle Zertifizierungsstellen und bei der Erstellung von Zertifizierungsprogrammen dienen.
Darüber hinaus liegt das Papier der Version 2.0 mittlerweile auch in einer englischsprachigen Version vor, um die hierin entwickelten Vorgaben und Ansätze noch stärker auf europäischer Ebene sichtbar zu machen.
Das Papier ist unter dem folgenden Link abrufbar:
https://www.datenschutzkonferenz-online.de/media/ah/DSK_Zertifizierungskriterien_V2.0_Stand_21062022.pdf
Kurzlink: https://uldsh.de/tb41-9-2
Was ist zu tun?
Bis zur ersten DSK-Sitzung im Frühjahr 2022 soll eine Evaluation des Papiers erfolgen. Diese wird vom Unterarbeitskreis Prüfkriterien vorbereitet. Zusätzlich werden auch weitere Normen der DSGVO in das Kapitel 2 nach dem vorgestellten Muster aufgenommen.
9.3 Erste Genehmigungsverfahren in Deutschland und der EU
Nach den sowohl auf europäischer als auch auf deutscher Ebene geleisteten Vorarbeiten (vgl. u. a. für Deutschland 40. TB, Tz. 9.2, und 39. TB, Tz. 9.2) war im abgelaufenen Berichtszeitraum eine deutliche Zunahme von Anträgen auf Genehmigung von Zertifizierungskriterien und Akkreditierung von Zertifizierungsprogrammen zu verzeichnen. Dies galt sowohl für Europa als auch für Deutschland, wobei eine Häufung solcher Anträge in einzelnen Mitgliedstaaten (u. a. Deutschland und Luxemburg) bzw. Bundesländern (Nordrhein-Westfalen, Hamburg, Bremen, Berlin) zu beobachten war.
Im Vorfeld einer Akkreditierung müssen die zukünftigen Zertifizierungsstellen oder hiervon losgelöste Programmeigner ein Zertifizierungsprogramm erstellen. Dieses Programm sowie auch die zukünftige Zertifizierungsstelle werden dann durch die Deutsche Akkreditierungsstelle GmbH (DAkkS) und in enger Zusammenarbeit mit der zuständigen Aufsichtsbehörde auf ihre Eignung geprüft. Wesentlicher Bestandteil eines solchen Zertifizierungsprogramms sind die Zertifizierungskriterien, die die Umsetzung der datenschutzrechtlichen Anforderungen beschreiben. Diese Zertifizierungskriterien werden neben den von der DAkkS durchgeführten Prüfungen anderer Teile des Programms durch die jeweils zuständige Aufsichtsbehörde fachlich geprüft und, vorbehaltlich der Stellungnahme durch den Europäischen Datenschutzausschuss (EDSA), genehmigt.
Einige dieser Anträge auf Genehmigung von Zertifizierungskriterien konnten im abgelaufenen Berichtszeitraum erfolgreich abgeschlossen werden, sodass es mittlerweile erste durch die zuständigen Datenschutzaufsichtsbehörden und den EDSA genehmigte Kataloge mit Zertifizierungskriterien gibt. Im Zuge dieser Verfahren waren im europäischen Kontext, aber auch bei den deutschen Aufsichtsbehörden, eine Vielzahl von Detailfragen zu klären, die einer engen Abstimmung aller Beteiligten bedurften. In Schleswig-Holstein sind bisher keine Anträge auf Akkreditierung als Zertifizierungsstelle eingegangen. Sofern sich in Schleswig-Holstein ansässige Verantwortliche dafür interessieren, ihre Verarbeitungsvorgänge zertifizieren zu lassen, könnten sie nunmehr auf genehmigte Zertifizierungsverfahren in Deutschland oder in anderen europäischen Mitgliedstaaten zurückgreifen.
Was ist zu tun?
Der Austausch und die Zusammenarbeit
der Aufsichtsbehörden untereinander ist fortzuführen und zu intensivieren, auch
um die Qualität der eingereichten Programme auf Dauer zu steigern und um damit
das Instrument der Zertifizierung langfristig auf einem fachlich hohen Niveau
zu verankern.
9.4 Planung eines eigenen Zertifizierungsangebots
Im Mai 2018 waren die Regelungen im LDSG zum
Datenschutz-Gütesiegel Schleswig-Holstein entfallen. Weitere Zertifizierungen –
insbesondere von IT-Produkten – waren für uns danach in dieser Form nicht mehr
möglich. Allerdings könnte das ULD Zertifizierungen auch nach der DSGVO
vornehmen. Dabei wäre jedoch zu
beachten, dass keine Produkte wie etwa reine Softwarelösungen mehr zertifiziert
werden könnten, sondern sich die Zertifizierung auf konkrete
Datenverarbeitungsvorgänge (Verfahren, Prozesse, Dienstleistungen) bei
Verantwortlichen oder Auftragsverarbeitern beziehen muss.
Wir wollten zunächst abwarten, wie die Entwicklung bei
Zertifizierungskriterien, Akkreditierungen und schließlich Zertifizierungen
auf dem Markt erfolgt (vgl. u. a. 40. TB, Tz. 9.4). 2023 ist mit
ersten Akkreditierungen in Deutschland zu rechnen (Tz. 9.3), sodass damit
bald erste Erfah-
rungen und Erkenntnisse vorliegen, ob und in welcher Form ein
Zertifizierungsverfahren durch das ULD insbesondere für öffentliche Stellen
eine sinnvolle Bereicherung für den Zertifizierungsbereich darstellen könnte.
Dies werden wir beobachten.
Was ist zu tun?
Auf Basis der weiteren Entwicklung
des Zertifizierungsbereichs in Deutschland und Europa ist zu eruieren, ob ein
eigenes Zertifizierungsverfahren vom ULD sinnvoll ist.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |