Kernpunkte:
- Leitung AK Zertifizierung
- Prüfkriterienkatalog
- Deutsche und europäische Verfahren zu
Akkreditierungen und Zertifizierungen
9 Offene Fragen – der AK Zertifizierung hat viel zu tun
Seit 2018 besteht durch die DSGVO die Möglichkeit, dass sich im Datenschutzbereich Zertifizierungsstellen akkreditieren lassen können, die dann Zertifizierungen an Verantwortliche und Auftragsverarbeiter vergeben. Diese dienen als Nachweis, dass die DSGVO bei den Verarbei-
tungsvorgängen eingehalten wird. Lange hat es gedauert, bis hierfür die notwendigen Dokumente und Verfahren auf europäischer und nationaler Ebene geschaffen wurden. Doch nun war es 2024 so weit, dass erste Akkreditierungen auch in Deutschland abgeschlossen werden konnten.
9.1 Leitung des AK Zertifizierung
Die Koordinierung zu Zertifizierung und Akkreditierung unter den deutschen Aufsichtsbehörden erfolgt im Arbeitskreis Zertifizierung der Datenschutzkonferenz (AK Zertifizierung), den wir leiten. Wie in den Vorjahren haben wir monatliche virtuelle Treffen abgehalten, um uns über aktuelle nationale und internationale Entwicklungen insbesondere bei der Genehmigung von Kriterienkatalogen und Akkreditierungen auf dem Laufenden zu halten. Zum ersten Mal seit 2020 haben wir uns auch wieder im Juli 2024 persönlich in Hamburg zu einem zweitägigen Präsenztreffen zusammengefunden. Einen großen Raum nahm dort der Austausch mit der Deutschen Akkreditierungsstelle (DAkkS) ein, die in Zusammenarbeit mit den Aufsichtsbehörden die Akkreditierung von Zertifizierungsstellen vornimmt. Flankiert wurde die Arbeit des AK Zertifizierung weiterhin durch den Unterarbeitskreis Prüfkriterien (vgl. u. a. 42. TB, Tz. 9.1), der von Nordrhein-Westfalen geleitet wird. In diesem Unterarbeitskreis wird der Prüfkriterienkatalog weiterentwickelt (Tz. 9.4). Außerdem koordinieren sich darüber die Aufsichtsbehörden, die aktuelle Genehmigungs- und Akkreditierungsverfahren betreiben.
Nachdem nunmehr die ersten Kriterienkataloge in Deutschland genehmigt wurden und auch Akkreditierungen von Zertifizierungsstellen erfolgten (Tz. 9.2), ist es die Aufgabe des AK Zertifizierung, die sich daraus ergebenden weiteren Herausforderungen zu begleiten und offene Fragen zu klären. Unter anderem sind Zertifizierungsstellen nach Art. 43 Abs. 1 i. V. m. Abs. 5 DSGVO verpflichtet, die zuständige Aufsichtsbehörde über eine unmittelbar bevorstehende Zertifizierung zu unterrichten. Durch das föderale System in Deutschland kann das auch eine Aufsichtsbehörde eines anderen Bundeslandes betreffen als jenes, in dem die Zertifizierungsstelle ihren Sitz hat. Zu diesen Punkten ist ein Austausch zwischen den Aufsichtsbehörden nötig. Da die Meldung der Zertifizierungsstelle gegebenenfalls nur sieben Tage vor der Zertifizierung erfolgt, ist Eile geboten, damit es der betroffenen Aufsichtsbehörde noch möglich ist, wirksam Einwände mitzuteilen. Aus diesem Grund führen wir eine Liste der Kontaktmöglichkeiten in den Aufsichtsbehörden, damit die Meldung ohne Verzögerung umgehend von den zuständigen Mitarbeiterinnen und Mitarbeitern bearbeitet werden kann. Auch sollen Zertifizierungsstellen dazu angehalten werden, schon früher als sieben Tage über anstehende Zertifizierungen zu unterrichten. Dies gilt ebenfalls für mögliche Widerrufe von Zertifizierungen.
Diskutiert wurde außerdem, ob ein deutschlandweites Verzeichnis der erfolgten Zertifizierungen eingerichtet werden und wer dafür zuständig sein könnte. Diese Diskussion ist noch nicht abgeschlossen.
Besonders beschäftigten den AK Zertifizierung im Berichtszeitraum Fragen zu grenzüberschreitenden Genehmigungen, Akkreditierungen und Zertifizierungen. Hierzu wurde zusammen mit Kolleginnen und Kollegen der Datenschutzaufsichtsbehörden für Berlin und Nordrhein-Westfalen sowie der DAkkS ein interner Wegweiser zu Akkreditierungen und Zertifizierungen mit internationalem Bezug erstellt. Hierin wird zunächst der Unterschied zwischen nationalen Zertifizierungskriterien und europäischen Kriterien dargelegt. Behandelt wird u. a. die Frage, inwieweit alle nationalen und europäischen Kriterienkataloge von deutschen Zertifizierungsstellen genutzt werden können. Eine weitere Frage ist, ob Zertifizierungsstellen auch für Kunden im Ausland tätig werden können. Die Diskussion zu einigen Fragen ist noch nicht abgeschlossen; teilweise ist eine Klärung auf europäischer Ebene erforderlich. Die DAkkS berichtete davon, dass zu Akkreditierungen mit internationalem Bezug auch in ihren europäischen Gremien rege Diskussionen geführt werden.
Es zeigt sich, dass auch auf europäischer Ebene weiterhin viele Fragen offen sind und vor allem sich jetzt mit den ersten erfolgten Akkreditierungen Folgefragen auftun, die nun vertieft außerhalb der regulären Sitzungen der zuständigen Subgroup (Tz. 9.3) behandelt werden sollen. Daher haben wir uns zusammen mit der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bereit erklärt, hierzu einen Workshop in Berlin auszurichten. Wie schon bei ähnlichen Workshops in Luxemburg und Madrid stammen die Teilnehmer aus der Compliance, e-Government und Health Expert Subgroup (CEH Expert Subgroup). Der Workshop soll an drei Tagen im Juni stattfinden und auch die Möglichkeit bieten, dass Akkreditierungsstellen (insbesondere die DAkkS) und Zertifizierungsstellen über ihre Erfahrungen und Probleme berichten.
Was ist zu tun?
Die Arbeit im AK Zertifizierung wird fortgesetzt. Insbesondere müssen die noch offenen Fragen zum nationalen und internationalen Umgang mit Akkreditierungen und Zertifizierungen geklärt werden. Der intensive Austausch zwischen den Aufsichtsbehörden zu den Themen Akkreditierung und Zertifizierung hat sich bewährt, um etwa widersprüchliche Ergebnisse in Deutschland zu vermeiden und schnell reagieren zu können.
9.2 Stand der Akkreditierungen und Zertifizierungen in Deutschland und der EU
Im Berichtsjahr verfestigte sich der schon früher festgestellte Trend, dass in einigen wenigen Mitgliedstaaten (Deutschland, Luxemburg, Niederlande) bzw. Ländern (Nordrhein-Westfalen, Bremen, Berlin) gehäuft Anträge auf Genehmigung von Zertifizierungskriterien und Akkreditierung von Zertifizierungsstellen gestellt werden. Zu beobachten war eine Verbesserung der Qualität der durch die zukünftigen Zertifizierungsstellen oder Programmeigner erstellten und eingereichten Zertifizierungsprogramme.
Ungeachtet dessen ist das Verfahren, das Zertifizierungsstellen für ihre Akkreditierung durchlaufen müssen, aufgrund der anspruchsvollen Thematik und seiner Mehrstufigkeit durchaus komplex und zeitintensiv. In diesem Verfahren prüft die DAkkS in enger Zusammenarbeit mit der zuständigen Aufsichtsbehörde die eingereichten Programme auf ihre Anwendbarkeit und Eignung. Die jeweils zuständige Datenschutzaufsichtsbehörde ist für die Prüfung der Zertifizierungskriterien aus fachlicher Sicht zuständig und genehmigt diese – vorbehaltlich der Stellungnahme durch den Europäischen Datenschutzausschuss (EDSA). Dieses Verfahren bedarf daher – sowohl im europäischen als auch im deutschen Kontext – der Klärung etlicher Detailfragen sowie einer engen Abstimmung aller Beteiligten.
Im Jahr 2024 haben mehrere nationale und europäische Zertifizierungskriterien das Genehmigungsverfahren erfolgreich abgeschlossen. Zum aktuellen Zeitpunkt gibt es somit mehrere genehmigte Kataloge mit Zertifizierungskriterien. Konkret ist nunmehr in Deutschland EuroPriSe aus Bonn akkreditiert. Weitere Akkreditierungsverfahren stehen kurz vor dem Abschluss.
Was ist zu tun?
Um eine einheitliche Bewertung von Kriterienkatalogen und Zertifizierungsprogrammen zu gewährleisten, sollen die von der DSK bereitgestellten Materialien zur Akkreditierung und Zertifizierung entsprechend den jeweiligen Entwicklungen fortgeschrieben werden. Auf diese Weise kann die Qualität der eingereichten Programme weiter gesteigert und das Instrument der Zertifizierung langfristig auf einem fachlich hohen Niveau ganz im Sinne der DSGVO verankert werden.
9.3 Akkreditierung und Zertifizierung in der europäischen Expert Subgroup
Auf europäischer Ebene koordinieren sich die Datenschutzaufsichtsbehörden zu Fragen der Akkreditierung und Zertifizierung in der Compliance, e-Government und Health Expert Subgroup (CEH Expert Subgroup). Wir tragen dazu bei, dass die Erfahrungen und das Know-how des AK Zertifizierung in die dortigen Diskussionen mit einfließen.
Art. 46 Abs. 2 Buchst. f DSGVO – Datenübermittlung vorbehaltlich geeigneter Garantien
(2) Die in Absatz 1 genannten geeigneten Garantien können, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, bestehen in […]
f) einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen.
Im Jahr 2024 wurde von der CEH Expert Subgroup einerseits die Aufgabe der Prüfung und Genehmigung konkreter Kriterienkataloge wahrgenommen, andererseits stand die Abstimmung zu zahlreichen Fragen im Mittelpunkt. Neben Aspekten der innereuropäischen Zusammenarbeit unter den Aufsichtsbehörden waren vor allem Bedingungen der Zertifizierung in Bezug auf den Drittstaatentransfer personenbezogener Daten gemäß Artikel 46 DSGVO zu klären. Wichtig dafür war die Einbindung weiterer Expert Subgroups wie der International Transfer Subgroup (ITS) sowie der Key Provision Subgroup (KEYP), um die grundlegenden Punkte aus den verschiedenen Perspektiven zu klären und auf eine einheitliche Auslegung der DSGVO hinzuwirken.
Für das Jahr 2025 ist in Deutschland ein Workshop zu den Themen Akkreditierung und Zertifizierung geplant. Zu diesem sollen sowohl Vertreterinnen und Vertreter der CEH und gegebenenfalls weiterer Subgroups als auch von Zertifizierungsstellen eingeladen werden, um einen intensiven und praxisbezogenen Austausch unter den Teilnehmenden zu fördern (Tz. 9.1).
Was ist zu tun?
Die Zusammenarbeit unter den Datenschutzaufsichtsbehörden in Europa zu Akkreditierung und Zertifizierung ist im Sinne eines europäisch einheitlichen Vorgehens fortzusetzen. Ziel ist es, das Instrument der Zertifizierung stärker in die Praxis zu bringen.
9.4 Überarbeitung des Prüfkriterienpapiers
Das von der DSK verabschiedete Papier „Anforderungen an datenschutzrechtliche Zertifizierungsprogramme – Datenschutzrechtliche Prüfkriterien, Prüfsystematik und Prüfmethoden zur Anpassung und Anwendung der technischen Norm DIN EN ISO/IEC 17067 (Programmtyp 6), Version 2.0“ wurde im Berichtszeitraum durch den Unterarbeitskreis Prüfkriterien des AK Zertifizierung überarbeitet und weiterentwickelt. Die grundlegende Struktur des Dokuments wurde beibehalten; lediglich einige Abschnitte wurden zur besseren Lesbarkeit und Verständlichkeit neu angeordnet.
Inhaltlich konzentrierte sich die Arbeit insbesondere auf umfangreiche Ausführungen zu den Anforderungen der DSGVO zur datenschutzfreundlichen Technikgestaltung und zu datenschutzfreundlichen Voreinstellungen (Artikel 25 DSGVO) sowie zur Auftragsverarbeitung (Artikel 28 DSGVO). Sobald die Änderungen von der DSK verabschiedet sind, wird das Papier in neuer Version veröffentlicht.
Die aktuelle Version 2.0 des Papiers hat sich bereits in einigen Akkreditierungsverfahren bewährt und konnte dort seine Praxistauglichkeit unter Beweis stellen. Das Papier ist in der Version 2.0 vom 21.06.2022 unter dem folgenden Link abrufbar:
https://www.datenschutzkonferenz-online.de/media/ah/DSK_Zertifizierungskriterien_V2.0_Stand_21062022.pdf
Kurzlink: https://uldsh.de/tb43-9-4a
Mit dem Papier bietet die DSK eine Basis zur einheitlichen Bewertung von Zertifizierungsprogrammen. Für die aktuellen und künftigen Weiterentwicklungen ist es dem AK Zertifizierung ein Anliegen, konkrete Erfahrungen mit dem Papier selbst, seiner Anwendung sowie die Vorgaben der europäischen Ebene einfließen zu lassen und dabei stets auf die Praxisnähe zu achten. Auch weiterhin soll das Papier als Orientierungshilfe für zukünftige Zertifizierungsstellen dienen, um sie bei der Erstellung von Zertifizierungsprogrammen und insbesondere der Erarbeitung von Zertifizierungskriterien zu unterstützen.
Was ist zu tun?
Der AK Zertifizierung wird die Entwicklungen auf deutscher und europäischer Ebene weiterverfolgen, um das Papier zu den Anforderungen an datenschutzrechtliche Zertifizierungsprogramme möglichst praxisnah weiterzuentwickeln und auf einem aktuellen Stand zu halten.
| Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |
