Im Rahmen der Umsetzung von Zertifizierungsmechanismen und Datenschutzgütesiegeln oder -marken gemäß Artikel 43 Absatz 1 der DSGVO müssen die Mitgliedstaaten sicherstellen, dass die Zertifizierungsstellen, die eine Zertifizierung gemäß Artikel 42 Absatz 1 ausstellen, von der zuständigen Aufsichtsbehörde oder der nationalen Akkreditierungsstelle oder beiden zugelassen sind.
Eine Zulassung wird von der CNPD im Rahmen von Artikel 15 des Gesetzes vom 1. August 2018 über die Organisation der Nationalen Datenschutzkommission erteilt, welcher der CNPD die Befugnis zur Zulassung von Zertifizierungsstellen gemäß Artikel 43 Absatz 1 der DSGVO überträgt.
Zweck der Zulassung
Die Zulassung hat den Wert und Zweck, mit der nötigen Autorität die Kompetenzen der Zertifizierungsstellen zu bescheinigen und damit Vertrauen in den Zertifizierungsmechanismus aufzubauen.
Von der CNPD zugelassene Zertifizierungsstelle werden
Um Zertifizierungen gemäß Artikel 43 der DSGVO ausstellen zu können, muss eine Organisation eine von der CNPD ausgestellte Zulassung als Zertifizierungsstelle erhalten.
Voraussetzung für die Erteilung einer solchen Zulassung ist, dass die antragstellende Organisation die Zulassungskriterien der CNPD erfüllt.
Die Erteilung der Zulassung setzt ein Audit durch die CNPD voraus. Die CNPD kann nur Einrichtungen mit Sitz in Luxemburg eine Zulassung erteilen.
Rolle einer Zertifizierungsstelle
Die Tätigkeit einer Zertifizierungsstelle besteht darin, auf der Grundlage eines Zertifizierungsmechanismus und genehmigter Kriterien Zertifizierungen auszustellen, zu prüfen, zu erneuern und zu widerrufen.
Ein Zertifizierungsmechanismus und Zertifizierungskriterien müssen vorhanden sein, damit die Zertifizierungsstelle gemäß Artikel 43 der DSGVO zugelassen werden kann. Der Umfang, und die Art der gewählten Zertifizierungskriterien bestimmen maßgeblich die Zertifizierungsverfahren.
Anforderungen für die Zulassung von Zertifizierungsstellen
Die CNPD hat die folgenden Kriterien für die Zulassung von Zertifizierungsstellen angenommen:
- Luxembourg accreditation requirements of certification bodies (art 43(1)(a)) – Set Alpha. Die CNPD stellt die Liste der Zulassungskriterien auf Anfrage zur Verfügung (E-Mail: certification@cnpd.lu). Die als "Alpha-Set" bezeichneten Zulassungskriterien gelten für das folgende Zertifizierungsschema: GDPR-Carpa. Anmerkung: Eine Besonderheit der "Alpha-Set"-Zertifizierungskriterien ist, dass die Zertifizierungsstelle in der Lage sein muss, ISAE 3000 (Assurance Engagements Other than Audits or Reviews of Historical Financial Information), wie vom International Auditing and Assurance Standards Board (IAASB) definiert, auszustellen.
- Luxembourg accreditation requirements of certification bodies (art 43(1)(a)) – Set Bêta. Diese Zulassungskriterien gelten für Zertifizierungsstellen, die Zertifikate für andere Zertifizierungsschemata als GDPR-CARPA ausstellen möchten, für die die oben genannten ISAE 3000-Berichte nicht erforderlich sind.
Ablauf des Zulassungsverfahrens
Jede Zulassung als Zertifizierungsstelle ist an ein bestimmtes Zertifizierungsschema gebunden. Wenn eine Organisation unter mehreren Schemata zertifizieren möchte, muss sie für jedes Schema eine eigene Zulassung erhalten.
Die Zulassung einer Zertifizierungsstelle erfolgt in drei Schritten:
Schritt 1: Analyse des Antrags auf Vorabzulassung;
In diesem Schritt bewertet die CNPD zunächst die Reife der antragstellenden Organisation hinsichtlich ihrer Fähigkeit, die Zulassungskriterien umzusetzen.
Wenn die CNPD den Reifegrad für ausreichend hält, gibt sie eine positive Vormeinung ab, und der Antrag auf Zulassung wird in Schritt 2 eingehend geprüft.
Wird der Reifegrad als zu niedrig eingestuft (z. B. unvollständige Unterlagen, nicht oder nur teilweise behandelte Anforderungen, nicht verfügbare Verfahren und/oder erforderliche Dokumente), endet das Zulassungsverfahren in diesem Schritt 1 und der Antrag auf Zulassung wird abgelehnt.
Zu diesem Zweck betont die CNPD, dass die antragstellende Organisation nur dann ihre Antragsunterlagen einreichen sollte, wenn sie ihre Reife hinsichtlich der Umsetzung der Anforderungen für die Zulassung als hoch einschätzt.
Schritt 2: Vollständiges Audit des Zulassungsantrags.
Das Audit der Zertifizierungsstelle beginnt, nachdem der Antrag auf Zulassung angenommen wurde. Gegebenenfalls wird ein Bericht über das Erstaudit ausgestellt, der auf zu korrigierende Punkte hinweisen kann. In diesem Fall wird eine Frist gesetzt, damit die antragstellende Organisation die entsprechenden Maßnahmen umsetzen kann.
Werden im Bericht über das Erstaudit größere Probleme festgestellt, für deren Lösung mehr als vier Monate veranschlagt werden, stellt die CNPD das Zulassungsverfahren ein. Die antragstellende Organisation kann einen neuen Antrag auf Anerkennung stellen, nachdem sie die erforderlichen Korrekturen vorgenommen hat.
Wenn die Organisation bereits über eine CNPD-Zulassung verfügt, aber ihren Umfang um ein anderes DSGVO-Zertifizierungsschema erweitern möchte, kann sie einen Antrag auf Zulassung für zusätzliche Kriterien stellen.
Schritt 3: Erteilung der Zulassung
Sobald die antragstellende Organisation alle angemessenen Maßnahmen erfolgreich berücksichtigt hat, erteilt die CNPD ihre Zulassung.
Die Zertifizierungsstelle ist verpflichtet, die sich daraus ergebenden Rechte und Pflichten einzuhalten. Sie wird jährlich einem Überwachungsaudit unterzogen, das in einem Überwachungsauditbericht resultiert.
Eine Zulassung als Zertifizierungsstelle ist fünf Jahre lang gültig. Wenn die Zertifizierungsstelle ihre Zulassung um weitere fünf Jahre verlängern möchte, ist ein Verlängerungsaudit erforderlich, das zu einem Bericht über das Verlängerungsaudit führt.
In der Praxis:
- Bevor die Bewerberorganisation ihre Unterlagen übermittelt, wird sie aufgefordert, eine Selbstbewertung ihrer Fähigkeit und Reife vorzunehmen, die Zulassungskriterien zu erfüllen. Diese Phase unterliegt der Kontrolle der antragstellenden Organisation selbst; die CNPD greift in diese Phase nicht ein. Wir empfehlen Organisationen, die eine Zulassung anstreben, dringend, sich mit der CNPD in Verbindung zu setzen, bevor sie weitere Schritte unternehmen.
- Die antragstellende Stelle füllt das Bewerbungsformular für die Zertifizierungsstelle ihrer Wahl aus und übermittelt es der CNPD.
- Für das Zertifizierungsschema GDPR-CARPA füllt die antragstellende Organisation das folgende Formular aus: GDPR-CARPA Application form for accreditation
- Für jedes andere Zertifizierungssystem füllt die antragstellende Stelle das folgende Formular aus: Application form for Accreditation
- Mit der Einsendung der Bewerbung überweist die antragstellende Organisation den Betrag der fälligen Gebühr. Dieser Betrag hängt von der Stufe des Zulassungsverfahrens ab und ist in der Verordnung N.7/2020 der CNPD vom 3. April 2020 zur Festlegung der Höhe und der Zahlungsmodalitäten der Gebühren im Rahmen ihrer Genehmigungs- und Beratungsbefugnisse festgelegt.
Das von der Nationalen Kommission verabschiedete Verfahren für die Zulassung von Zertifizierungsstellen finden Sie unter folgendem Link:
Verfahren für die Zulassung von Zertifizierungsstellen
Frist für die Erlangung einer Zulassung
Die Frist für die Erteilung einer Zulassung hängt von der Reife der antragstellenden Organisation bei der Umsetzung der Zulassungskriterien ab. Die CNPD ist bestrebt, die Dauer des Verfahrens auf einen Zeitraum von sechs Monaten nach Einreichung des Antrags auf Zulassung zu begrenzen.
Gebühren
Für jede in Luxemburg ansässige Zertifizierungsstelle, die von der CNPD gemäß Artikel 43 der DSGVO und auf der Grundlage der von der CNPD veröffentlichten Zulassungskriterien zugelassen werden möchte, hängt die Höhe der an die CNPD zu entrichtenden Gebühr von der Stufe des Zulassungsverfahrens ab und ist in der Verordnung Nr. 7/2020 vom 3. April 2020 der CNPD zur Festlegung der Höhe und der Zahlungsmodalitäten der Gebühren im Rahmen ihrer Genehmigungs- und Konsultationsbefugnisse festgelegt.