Die DSGVO hat den Rahmen für die Entwicklung von Zertifizierungskriterien festgelegt. Die Kriterien müssen auf den Grundsätzen und Regeln der DSGVO basieren. Das Zertifizierungsverfahren muss die grundlegenden Anforderungen erfüllen, die in den Artikeln 42 und 43 der Verordnung festgelegt sind.
Bei der Ausarbeitung der Kriterien sollte der Schwerpunkt auf der Überprüfbarkeit, der Bedeutung und der Relevanz der Zertifizierungskriterien liegen, mit denen die Einhaltung der Verordnung nachgewiesen werden soll.
Die Zertifizierungskriterien sollten so formuliert werden, dass sie klar und verständlich sind und in der Praxis angewandt werden können.
Bei der Ausarbeitung der Zertifizierungskriterien werden je nach Art der angestrebten Behandlung(en) die folgenden Konformitätsaspekte berücksichtigt:
- die Rechtmäßigkeit der Verarbeitung (Art. 6)
- die Grundsätze der Datenverarbeitung (Art. 5)
- die Rechte der betroffenen Personen (Art. 12-23)
- die Pflicht zur Meldung von Datenverletzungen (Art. 33)
- die Verpflichtung zum Datenschutz durch Technik und Standardeinstellungen (Art. 25)
- ob eine Datenschutz-Folgenabschätzung durchgeführt wird, (Art. 35)
- welche technischen und organisatorischen Maßnahmen ergriffen wurden (Art. 32).
Das Ausmaß, in dem diese Überlegungen in den Kriterien berücksichtigt werden, kann je nach Umfang der Zertifizierung, dem Geltungsbereich, der Art der Verarbeitung(en) und der Branche, in der die Verarbeitung stattfindet, variieren.
Welche Elemente können gemäß der DSGVO zertifiziert werden?
Der Europäische Datenschutzausschuss ist der Ansicht, dass die DSGVO sehr breite Möglichkeiten hinsichtlich der Elemente bietet, die zertifiziert werden können, sofern der Schwerpunkt auf dem Nachweis liegt, dass die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter diese Verordnung in Bezug auf ihre Verarbeitungsvorgänge einhalten (Artikel 42 Absatz 1).
Aus diesem Grund ist eine Zertifizierung nach der DSGVO nicht möglich für
- Produkte oder Dienstleistungen, wenn der Begriff des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters darin nicht vorkommt.
- eine Organisation oder ein Datenschutzmanagementsystem allein, da sich eine solche Zertifizierung nicht auf Verarbeitungsvorgänge beziehen würde.
Bei der Bewertung eines Verarbeitungsvorgangs sollten die folgenden drei grundlegenden Elemente berücksichtigt werden, sofern sie relevant sind:
- die personenbezogenen Daten (materieller Anwendungsbereich der DSGVO);
- technische Systeme: Infrastrukturen wie Hardware und Software, die zur Verarbeitung personenbezogener Daten verwendet werden; und
- die Prozesse und Verfahren, die mit dem/den Verarbeitungsvorgang(en) verbunden sind.
Diese drei grundlegenden Elemente sind für die Gestaltung der Zertifizierungsverfahren und -kriterien relevant. Das Ausmaß, in dem sie berücksichtigt werden, kann je nach Gegenstand der Zertifizierung variieren. Beispielsweise können in einigen Fällen bestimmte Komponenten ignoriert werden, wenn sie in Bezug auf den Zertifizierungsgegenstand als nicht relevant erachtet werden.
In den EDPB-Richtlinien 1/2018 wird ausführlich erläutert, welche Komponenten nach der DSGVO zertifiziert werden können.
Gebühren
Für den Antrag auf Genehmigung von Zertifizierungskriterien durch die CNPD muss der Eigentümer des Zertifizierungsschemas eine Gebühr an die CNPD entrichten. Die Höhe dieser Gebühr hängt von der Phase des Genehmigungsverfahrens ab und ist in der Verordnung Nr. 7/2020 vom 3. April 2020 der CNPD zur Festlegung der Höhe und Zahlungsweise der Gebühren im Rahmen ihrer Genehmigungs- und Konsultationsbefugnisse festgelegt.
Wenn eine Organisation ein Zertifizierungsschema entwickeln und dieses der CNPD zur Annahme vorlegen möchte, ist es ratsam, sich bereits in der Anfangsphase des Projekts mit der Aufsichtsbehörde in Verbindung zu setzen.