Kernpunkte:
- AK Zertifizierung
- Ergänzende Kooperationsvereinbarung
- Erste Akkreditierungsverfahren
9 Zertifizierung und Akkreditierung
Nachdem mit der DSGVO im Jahr 2018 die rechtliche Möglichkeit geschaffen wurde, dass akkreditierte Zertifizierungsstellen Verarbeitungsvorgänge von Verantwortlichen und Auftragsverarbeitern zertifizieren können, war es ruhig darum geworden. Begleitende Regelungen fehlten insbesondere auf europäischer Ebene zunächst. Dies ist nunmehr nicht mehr der Fall, sodass – endlich (!) – zu erwarten ist, dass 2024 auch in Deutschland die ersten Zertifikate vergeben werden können. Den Datenschutzaufsichtsbehörden fällt dabei die Aufgabe zu, Kriterienkataloge zu genehmigen, im Rahmen der Akkreditierung gutachterlich tätig zu werden und akkreditierten Zertifizierungsstellen die Befugnis zur Zertifizierung zu erteilen.
9.1 Leitung des AK Zertifizierung
Im Rahmen der Leitung des Arbeitskreises Zertifizierung der Datenschutzkonferenz (AK Zertifizierung) war die Begleitung der ersten Verfahren zur Anerkennung von Kriterienkatalogen und Akkreditierungen in mehreren Bundesländern zentraler Punkt im Berichtsjahr. Monatliche virtuelle Treffen der Mitglieder des AK Zertifizierung ermöglichten einen regelmäßigen Austausch. Hierbei waren aber auch europäische Themen öfter Gesprächsthema. Es war zu mehreren Themen erforderlich, eine deutsche Meinung zu strittigen Themen abzustimmen.
So wies u. a. die Deutsche Akkreditierungsstelle (DAkkS), die Mitglied des AK Zertifizierung ist, auf Unklarheiten hinsichtlich der Reichweite von Zuständigkeiten bei Akkreditierungen hin. Hierzu gab es einen regen Austausch, allerdings wies der AK Zertifizierung auch darauf hin, dass es sich hierbei um ein Thema handelt, das die Akkreditierungsstellen selbst betrifft. Zumindest in Deutschland erfolgt die Akkreditierung durch die DAkkS und nicht durch die Datenschutzaufsichtsbehörden, sodass wir darauf verwiesen, dass die europäischen Akkreditierungsstellen zunächst selbst in der Pflicht sind, Unklarheiten zu klären.
Ein weiteres Thema im AK Zertifizierung betraf die Reichweite von Zertifizierungen bei grenzüberschreitender Datenverarbeitung. Unklar war mit Blick auf das in Art. 42 Abs. 5 Satz 2 DSGVO vorgesehene Europäische Datenschutzsiegel, inwieweit es ein Problem darstellt, wenn eine Zertifizierungsstelle aus einem Mitgliedstaat Zertifikate für Datenverarbeitungsvorgänge in einem anderen Mitgliedstaat vornimmt und die dortige Aufsichtsbehörde hieran Kritik übt. Diese Frage haben wir an die zuständige Expert Subgroup (siehe Tz. 11.2) auf europäischer Ebene weitergegeben.
Auch konnte im Berichtszeitraum in gemeinsamer Abstimmung des AK Zertifizierung das Kurzpapier zu Akkreditierung und Zertifizierung aktualisiert und nach Genehmigung der Datenschutzkonferenz veröffentlicht werden.
Das Papier ist unter dem folgenden Link abrufbar:
https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_9.pdf
Kurzlink: https://uldsh.de/tb42-9-1a
Unter der Leitung von Nordrhein-Westfalen besteht ein Unterarbeitskreis zum Thema Prüfkriterien (vgl. u. a. 41. TB, Tz. 9.2), der aber auch zum Austausch von Bund und Ländern genutzt wird, die aktuell mit Prüfungen von Kriterienkatalogen und Zertifizierungsstellen beschäftigt sind. Im Frühjahr 2021 hatte die DSK das Papier „Anforderungen an datenschutzrechtliche Zertifizierungsprogramme – Datenschutzrechtliche Prüfkriterien, Prüfsystematik und Prüfmethoden zur Anpassung und Anwendung der technischen Norm DIN EN ISO/IEC 17067 (Programmtyp 6)“ angenommen. Dieses Papier wurde auch im zurückliegenden Berichtszeitraum in dem Unterarbeitskreis unter unserer Mitwirkung weiterentwickelt. Die bisherige Struktur des Dokuments und insbesondere des Kapitels 2, das sich mit den gesetzlichen Tatbestandsmerkmalen, den zu behandelnden Prüfthemen und deren Umsetzung durch den Antragsteller sowie mit der Art und Weise der Prüfung befasst, wurde beibehalten und um Inhalte zu verschiedenen Themenkomplexen ergänzt.
Augenblicklich wird das Papier um umfangreiche Ausführungen zu den Anforderungen des Artikels 25 DSGVO zu „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ ergänzt. Bei der Überarbeitung bereits bestehender Inhalte wurde auf konkrete Erfahrungen mit der Anwendung des Papiers selbst sowie weiter spezifizierter Vorgaben auf europäischer Ebene geachtet. Nach dem Abschluss der Überarbeitung ist geplant, das Papier in einer neuen Version vorzulegen und damit weiterhin eine praxistaugliche Basis für die einheitliche Bewertung von Zertifizierungsprogrammen anzubieten. Das Papier soll dabei wie gewohnt als Orientierungshilfe für zukünftige Zertifizierungsstellen, bei der Erstellung von Zertifizierungsprogrammen und insbesondere von Zertifizierungskriterien dienen.
Das Papier ist unter dem folgenden Link abrufbar:
https://datenschutzkonferenz-online.de/media/ah/DSK_Zertifizierungskriterien_V2.0_Stand_21062022.pdf
Kurzlink: https://uldsh.de/tb42-9-1b
Was ist zu tun?
Wir werden die Arbeit im AK Zertifizierung in der Rolle der Leitung fortsetzen und aktuelle Themen zu Akkreditierungen und Zertifizierungen auf deutscher und europäischer Ebene begleiten. Geplant ist für 2024 ein Präsenztreffen, das auch für eine Fortbildung durch die DAkkS im Bereich Begutachtung von Zertifizierungsstellen genutzt werden soll.
9.2 Ergänzende Kooperationsvereinbarung der Aufsichtsbehörden
Im Jahr 2020 wurde eine Kooperationsvereinbarung zwischen allen Datenschutzaufsichtsbehörden und der DAkkS zur Zusammenarbeit bei Genehmigungen von Zertifizierungskriterien und der Akkreditierung von Zertifizierungsstellen geschlossen (39. TB, Tz. 9.2). Mit Aufkommen der ersten konkreten Verfahren zeigte sich, dass auf deutscher Ebene noch Unklarheiten bestanden, wie im Vorfeld zur Genehmigung von Kriterienkatalogen die übrigen Aufsichtsbehörden eingebunden werden und welche Voraussetzungen hierfür gelten. Als Addendum zur ursprünglichen Kooperationsvereinbarung wurde im Berichtszeitraum daher zwischen den deutschen Aufsichtsbehörden eine weitere Kooperationsvereinbarung getroffen.
Ziel ist es, in Abstimmung mit dem Antragsteller die nicht direkt beteiligten Aufsichtsbehörden in Deutschland frühzeitig zu informieren und in einem angemessenen Umfang einzubinden. Dadurch soll verhindert werden, dass erst in einem fortgeschrittenen Stadium des Genehmigungsverfahrens von Zertifizierungskriterien Diskussionspunkte aufkommen, die dann gegebenenfalls sogar erst auf der nachgeschalteten europäischen Ebene besprochen werden müssen. Die hierdurch entstehende Verzögerung des Gesamtverfahrens soll vermieden werden, um Antragstellern eine bessere Planungsmöglichkeit für das Verfahren zu ermöglichen. Auch dient diese ergänzende Kooperationsvereinbarung dazu, einen einheitlichen Bewertungsmaßstab in Deutschland zu gewährleisten.
Was ist zu tun?
Die Kooperationsvereinbarungen müssen sich nun in der Praxis bewähren. Sollten sich dabei neue Fragen ergeben, sind gegebenenfalls weitere Anpassungen erforderlich.
9.3 Erste Genehmigungen und Akkreditierungsverfahren in Deutschland und der EU
Im Berichtszeitraum war sowohl auf deutscher als auch auf europäischer Ebene eine deutliche Zunahme von Anträgen auf Genehmigung von Zertifizierungskriterien und Akkreditierung von Zertifizierungsstellen zu verzeichnen. Hierbei verstärkte sich der bisher zu beobachtende Trend einer Häufung entsprechender Anträge in einzelnen Mitgliedstaaten (Deutschland, Luxemburg, Niederlande) bzw. Bundesländern (Berlin, Bremen, Nordrhein-Westfalen).
Die von den zukünftigen Zertifizierungsstellen oder Programmeignern entwickelten Zertifizierungsprogramme einschließlich der Zertifizierungskriterien werden dabei in einem mehrstufigen Verfahren durch die Deutsche Akkreditierungsstelle (DAkkS) in enger Zusammenarbeit mit der zuständigen Aufsichtsbehörde auf ihre Anwendbarkeit und Eignung geprüft. Die Zertifizierungskriterien selbst beschreiben hierbei die Umsetzung der datenschutzrechtlichen Anforderungen. Diese Zertifizierungskriterien werden im Verlauf dieses Verfahrens durch die jeweils zuständige Aufsichtsbehörde fachlich geprüft und – vorbehaltlich der Stellungnahme durch den Europäischen Datenschutzausschuss (EDSA) – genehmigt. Es folgt dann das Akkreditierungsverfahren unter der Leitung der DAkkS, wobei die zuständige Datenschutzaufsichtsbehörde als Gutachterin beteiligt ist und anschließend zusammen mit der DAkkS über die Akkreditierung entscheidet.
Im Berichtszeitraum konnten weitere Anträge auf Genehmigung nationaler und europäischer Zertifizierungskriterien erfolgreich abgeschlossen werden. Es gibt somit zum aktuellen Zeitpunkt mehrere durch die zuständigen Datenschutzaufsichtsbehörden und den EDSA genehmigte Kataloge mit Zertifizierungskriterien. Wie auch in der Vergangenheit waren im Zuge dieser Verfahren sowohl im europäischen als auch im nationalen Kontext etliche Detailfragen zu klären, die einer engen Abstimmung aller Beteiligten bedurften.
Aktuell durchlaufen mehrere Zertifizierungsstellen in Deutschland ein Akkreditierungsverfahren. Es ist 2024 mit Abschlüssen zu rechnen, sodass es bis zu den ersten Zertifizierungen in Deutschland nicht mehr lange dauern kann.
Was ist zu tun?
Die bestehenden Papiere zur Akkreditierung sind entsprechend den jeweiligen Entwicklungen zu ergänzen, um sie bei der Bewertung und Genehmigung von Zertifizierungskriterien durch die Datenschutzaufsichtsbehörden als Basis der Bewertung zu nutzen. Auf diese Weise lässt sich eine einheitliche Bewertung sicherstellen. Außerdem kann die Qualität der eingereichten Programme gesteigert werden. Ziel ist es, das Instrument der Zertifizierung langfristig auf einem fachlich hohen Niveau zu verankern.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |