Die Zertifizierung stellt ein neues Instrument dar, das den Bedürfnissen von Fachleuten entgegenkommt, die nachweisen möchten, dass ihre Verarbeitungsvorgänge die Allgemeine Datenschutzverordnung (DSGVO) einhalten.
Die Einführung von Zertifizierungsmechanismen kann die Transparenz und die Einhaltung der DSGVO fördern und es betroffenen Personen ermöglichen, sich über das Datenschutzniveau der Organisation, die ihre personenbezogenen Daten verarbeitet, zu informieren.
DSGVO-Zertifizierungsmechanismen können auch in Geschäftsbeziehungen zwischen Unternehmen nützlich sein, z. B. zwischen dem für die Verarbeitung Verantwortlichen und seinem Unterauftragsverarbeiter. So können diese Akteure von einer unabhängigen Bescheinigung eines Dritten profitieren, um nachzuweisen, dass ihre Verarbeitungsvorgänge die DSGVO einhalten.
Was sind die Hauptmerkmale der Zertifizierung?
Die Zertifizierung ist
- ein freiwilliges Verfahren, das dazu beiträgt, die Einhaltung der DSGVO nachzuweisen. Die Verordnung führt kein Recht oder eine Pflicht zur Zertifizierung für die für die Verarbeitung Verantwortliche oder Auftragsverarbeiter ein.
- ein Instrument zur Rechenschaftsablegung ("accountability"). Sie ermöglicht es Unternehmen, Behörden, Vereinen und anderen Organisationen, ihre Einhaltung der DSGVO nachzuweisen.
- ein rechtsverbindliches Instrument im Gegensatz beispielsweise zu einer ISO-Zertifizierung, die sich auf Managementsysteme bezieht.
Was sind die Vorteile einer Zertifizierung?
- Durch eine Zertifizierung können verschiedene Organisationen nachweisen, dass sie die DSGVO einhalten.
- Eine Zertifizierung kann das Vertrauen der Kunden und anderer Interessengruppen einer Organisation stärken und so zur Stärkung ihres Markenimages beitragen. Insofern kann die Zertifizierung einen Wettbewerbsvorteil darstellen und die Möglichkeit bieten, sich in ihrem Markt zu differenzieren.
- Die Einhaltung der genehmigten Zertifizierungsmechanismen ist ein Faktor, den die Aufsichtsbehörden als mildernden Umstand betrachten können, falls sie nach einer Untersuchung entscheiden müssen, Abhilfemaßnahmen oder eine Verwaltungsstrafe zu verhängen, und um über die Höhe der Strafe zu entscheiden.
Wer kann Zertifizierungskriterien ausarbeiten?
Ein Zertifizierungsschema kann von einer Aufsichtsbehörde wie der CNPD oder von einer öffentlichen oder privaten Einrichtung erstellt werden, wie z. B.
- eine Organisation, die sich auf die Bewertung im Bereich des Schutzes personenbezogener Daten spezialisiert hat,
- eine Verbraucherschutzorganisation,
- einem sektoralen Verband,
- Eine Einrichtung, die Kategorien von für die Verarbeitung Verantwortlichen oder Auftragsverarbeitern vertritt.
Die Stelle, die die Kriterien für eine Zertifizierung entwickelt hat, wird als Eigentümer des Zertifizierungsschemas bezeichnet.
Die Kriterien einer Zertifizierung müssen in jedem Fall von der Aufsichtsbehörde oder dem EDPB genehmigt werden, damit es sich um eine Zertifizierung im Sinne der DSGVO handelt.
Wie bei "klassischen" Zertifizierungen müssen Zertifizierungsschemata von ihrem Eigentümer regelmäßig überarbeitet werden, um Änderungen der Vorschriften zu berücksichtigen.