Die zahlreichen Gespräche zwischen der CNPD und den Unternehmen während der Vorbereitungsphase auf die DSGVO haben gezeigt, dass die Unternehmen ein besonderes Interesse an einer Zertifizierung unter der DSGVO haben.
Da die CNPD von dem Mehrwert überzeugt ist, den eine Zertifizierung bieten kann, hat sie einen besonders proaktiven Ansatz gewählt und einen Zertifizierungsrahmen entwickelt, der auf dem internationalen Rahmenwerk für die Konformitätsbewertung ISAE ("International Standard on Assurance Engagements") beruht.
So schlug die CNPD das Schema mit der Bezeichnung "GDPR-CARPA" vor, das im Juni 2018 einer ersten öffentlichen Konsultation unterzogen wurde und nach Einarbeitung der auf nationaler und europäischer Ebene erhaltenen Rückmeldungen im Mai 2021 einer zweiten Konsultation unterzogen wurde.
Die CNPD orientierte sich bei ihrer Arbeit an zwei Säulen:
- Die erste Säule betrifft die Zertifizierungskriterien, die eine Organisation erfüllen muss, die einige ihrer Datenverarbeitungen zertifizieren lassen möchte.
- Die zweite Säule betrifft die Zulassungskriterien, die eine Organisation erfüllen muss, die als Zertifizierungsstelle fungieren möchte.
In diesem Zusammenhang trug die Nationale Datenschutzkommission als Lead-Referentin im Europäischen Datenschutzausschuss zu folgenden Themen bei
- die Einführung von Verfahren zur Annahme von Kriterien für die Zulassung von Zertifizierungsstellen,
- die Annahme von Zertifizierungskriterien und
- die Annahme eines europäischen Gütesiegels für die Zertifizierung.
Die CNPD ist darüber hinaus die erste Datenschutzbehörde, die ihre Zulassungskriterien Ende 2020 dem EDPB zur Stellungnahme vorlegt. Sie ist auch die erste Datenschutzbehörde, die dem EDPB Ende 2021 Zertifizierungskriterien (GDPR-CARPA) zur Stellungnahme vorgelegt hat.
Die GDPR-CARPA-Zertifizierungskriterien wurden am 13. Mai 2022 von der CNPD verabschiedet.
GDPR-CARPA: Das erste und einzige Zertifizierungsschema unter der DSGVO
Die CNPD ist bislang die einzige europäische Aufsichtsbehörde, die selbst ein Zertifizierungsschema unter der DSGVO entwickelt hat. Als die Stelle, die die Zertifizierungskriterien entwickelt hat, ist die CNPD auch Eigentümerin des Zertifizierungsschemas.
Die zahlreichen Gespräche, die die CNPD seit dem Inkrafttreten der DSGVO im Jahr 2018 mit Akteuren aus dem Bereich der Rechnungsprüfung geführt hat, haben dazu beigetragen, das Interesse und die Art der Zertifizierung unter der DSGVO zu ermitteln, die für das luxemburgische Ökosystem von Nutzen sein könnte. In Absprache mit diesen Akteuren entwickelte sie eine erste Version ihres Zertifizierungsschemas. Anschließend wurden die Zertifizierungskriterien von ihren europäischen Amtskollegen im Rahmen des europäischen Kohärenzmechanismus geprüft und waren Gegenstand einer vom Europäischen Datenschutzausschuss (EDSB) abgegebenen Stellungnahme.
Auf europäischer Ebene spielte der CNPD eine führende Rolle bei der Förderung der Arbeit des EDSB im Bereich der Zertifizierung, insbesondere als Berichterstatter für die Leitlinien oder um dem EDSB die Möglichkeit zu geben, diese formellen Stellungnahmen zu diesem neuen Thema abzugeben.
Einzigartige Besonderheit der GDPR-CARPA-Zertifizierung
In Luxemburg hat die CNPD auch die Aufgabe, Zertifizierungsstellen für die GDPR-CARPA-Zertifizierung zuzulassen. Die von der CNPD entwickelten Kriterien für die Zulassung von Zertifizierungsstellen im Zusammenhang mit der GDPR-CARPA-Zertifizierung basieren auf den Standards ISAE 3000 (Audit), ISCQ1 (Qualitätskontrolle von Auditstellen) und ISO 17065 (Akkreditierung von Zertifizierungsstellen). Diese Zulassungskriterien bilden den Rahmen für die Arbeit der Zertifizierungsstelle und des Auditors.
Das innovative und einzigartige Merkmal dieses Zertifizierungsschemas der CNPD besteht darin, dass es auf einem ISAE 3000 Typ 2-Bericht beruht, der es ermöglicht, eine Meinung über die ordnungsgemäße Umsetzung des Kontrollsystems im Laufe der Zeit abzugeben und gleichzeitig die formale Verantwortung des Prüfers zu übernehmen. Dies garantiert ein hohes Anspruchsniveau, das ein entscheidender Faktor dafür ist, dass die Akteure und vor allem die betroffenen Personen Vertrauen in die Verarbeitung ihrer personenbezogenen Daten haben, die von der Zertifizierung abgedeckt wird.
Anwendungsbereich der GDPR-CARPA-Zertifizierung
Die GDPR-CARPA-Zertifizierung soll für die Verarbeitung Verantwortlichen und Auftragsverarbeitern ein hohes Maß an Konformität mit der DSGVO und die Sicherheit bieten, dass sie technische und organisatorische Maßnahmen anwenden, um ihren DSGVO-Verpflichtungen für ihre zertifizierten Verarbeitungsvorgänge nachzukommen. Sie ist ein Element, mit dem die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter nachweisen können, dass diese zertifizierten Verarbeitungsvorgänge der DSGVO entsprechen.
Das Ziel von GDPR-CARPA ist es, die für die Verarbeitung Verantwortlichen und Auftragsverarbeiter bei ihrer Verpflichtung zu unterstützen, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und in der Lage zu sein, nachzuweisen, dass die Verarbeitung in ihrem Anwendungsbereich in Übereinstimmung mit ihrer Rechenschaftspflicht gemäß der DSGVO erfolgt.
Nicht sektorspezifische Kriterien
Die GDPR-CARPA-Zertifizierungskriterien wurden so konzipiert, dass sie flexibel genug sind, um für eine Reihe von Verarbeitungsvorgängen in verschiedenen Sektoren relevant zu sein. Jede Einheit kann die Maßnahmen festlegen und umsetzen, die für ihre spezifische Situation und ihren spezifischen Sektor am besten geeignet sind, um die Kriterien einzuhalten.
Begrenzung des Anwendungsbereichs des Zertifizierungsschemas
- Obwohl Elemente der Informationssicherheit in das Schema aufgenommen wurden, bilden sie nicht den Fokus dieses Zertifizierungsmechanismus. GDPR-CARPA zertifiziert nicht die Sicherheit der Verarbeitung in seinem Anwendungsbereich, sondern konzentriert sich stattdessen auf die Verantwortung der für die Verarbeitung Verantwortlichen/Unterauftragsverarbeiter, die ein Governance-System umsetzen müssen, das es ihnen ermöglicht, Maßnahmen zum Management der Informationssicherheit für die Verarbeitungstätigkeit in seinem Anwendungsbereich festzulegen und umzusetzen. Um Gewissheit über die umgesetzten Informationssicherheitsmaßnahmen zu haben, sollten andere geeignete Zertifizierungen und Rahmen für die Informationssicherheit in Betracht gezogen werden.
- Nur für die Verarbeitung Verantwortliche und Auftragsverarbeiter, die in Luxemburg unter der Aufsicht der CNPD niedergelassen sind, können eine GDPR-CARPA-Zertifizierung beantragen.
Ausschluss aus dem Geltungsbereich der Zertifizierung
GDPR-CARPA ist nicht geeignet:
- für die Zertifizierung der Verarbeitung personenbezogener Daten, die sich speziell an Minderjährige unter 16 Jahren richtet;
- für die Zertifizierung von Verarbeitungstätigkeiten im Rahmen einer gemeinsamen Verantwortlichkeit;
- für Verarbeitungstätigkeiten im Rahmen von Artikel 10 der DSGVO;
- für Einrichtungen, die keinen DSB ernannt haben (Artikel 37 der DSGVO). Es sei darauf hingewiesen, dass es den Einrichtungen freisteht, einen DSB zu bestellen, auch wenn sie nicht gesetzlich dazu verpflichtet sind.
Was sind die wichtigsten Schritte zur Erlangung einer GDPR-CARPA-Zertifizierung?
- Zertifizierungskriterien: Allgemeine Regeln für Organisationen, die eine GDPR-CARPA-Zertifizierung beantragen.
Die GDPR-CARPA-Zertifizierungskriterien enthalten die Regeln, welche von Organisationen, die eine CARPA-Zertifizierung beantragen, befolgt werden müssen. Diese Organisationen müssen sicherstellen, dass ihre internen Maßnahmen so gestaltet, umgesetzt und betrieben werden, dass sie die in diesen Zertifizierungskriterien genannten Anforderungen erfüllen können. Bei ihrem Zertifizierungsaudit werden die Zertifizierungsstellen überprüfen, ob die Gestaltung, Umsetzung und Funktionsweise dieser Maßnahmen den in den Zertifizierungskriterien festgelegten Anforderungen entspricht.
Die Zertifizierungsstelle strukturiert ihre Bewertungsaufgaben wie folgt:
- Design und Umsetzung: Der Auditor untersucht die dokumentierte Konzeption/Beschreibung einer Maßnahme (z. B. in Form eines Verfahrens) und prüft, ob sie theoretisch so funktionieren wird, wie es die Zertifizierungskriterien verlangen: Der Auditor wird versuchen festzustellen, ob sie so konzipiert ist, dass sie den Zertifizierungskriterien entspricht.
- Operative Effektivität: Nachdem der Auditor die Konzeption und Umsetzung einer Maßnahme geprüft hat, wird er die operative Effektivität dieser Maßnahme testen, indem er durch Beobachtung, Bewertung, Stichproben, Interviews, Interaktion (z. B. mit einer Schnittstelle) usw. prüft, ob die Kontrolle oder Maßnahme in der Praxis so funktioniert, wie sie sollte und wie sie dokumentiert ist.
Wenn ein Kriterium in einem bestimmten Kontext innerhalb der Einheit nicht anwendbar ist, dokumentiert die Zertifizierungsstelle dies mit einer Begründung, warum es nicht anwendbar ist.
Darüber hinaus können die von der EDPB veröffentlichten offiziellen Leitlinien als Unterstützung dienen, um die Anforderungen der DSGVO besser zu verstehen und Leitlinien für die Umsetzung dieser Anforderungen der DSGVO bereitzustellen. Diese Leitlinien können beispielsweise die Gestaltung und praktische Umsetzung von organisatorischen und technischen Maßnahmen unterstützen. Es ist jedoch zu beachten, dass sich die Einrichtungen im Rahmen der GDPR-CARPA-Zertifizierung strikt an die Zertifizierungskriterien halten müssen, um die Zertifizierung zu erhalten.
Aufbau der Kriterien für die GDPR-CARPA-Zertifizierung
Die Kriterien sind in drei Abschnitte gegliedert:
Abschnitt I:
- Gilt für Einrichtungen, die als für die Verarbeitung Verantwortliche und Auftragsverarbeiter fungieren.
- Enthält Kriterien für die Datenschutz-Governance.
Abschnitt II:
- Gilt für Einrichtungen, die als für die Verarbeitung Verantwortliche handeln.
- Deckt die Grundsätze des Datenschutzes, die Rechte der betroffenen Personen und die Governance-Kriterien für die Sicherheit der Verarbeitung ab.
Abschnitt III:
- Gilt für Einrichtungen, die als Auftragsverarbeiter fungieren
- Enthält hauptsächlich Kriterien für die vertraglichen Verpflichtungen (mit dem für die Verarbeitung Verantwortlichen), die Governance im Bereich der Sicherheit der Verarbeitung, die Vergabe von Unteraufträgen.
Wie lange ist ein GDPR-CARPA-Zertifikat gültig?
Die Gültigkeitsdauer eines Zertifikats beträgt drei Jahre, sofern ein jährliches vollständiges Audit erfolgreich abgeschlossen wurde.
Welche Zertifizierungsstellen können eine GDPR-CARPA-Zertifizierung ausstellen?
Die GDPR-CARPA-Zertifizierung kann nur von Zertifizierungsstellen ausgestellt werden, die von der CNPD zugelassen sind. Die Liste der zugelassenen Zertifizierungsstellen wird auf der CNPD-Website veröffentlicht.
Verantwortung einer Organisation, die ein GDPR-CARPA-Zertifikat erhalten hat
Die GDPR-CARPA-Zertifizierungskriterien und der ISAE 3000 Assurance Report wurden entwickelt, um ein Zertifizierungssystem wie in Artikel 42 der DSGVO beschrieben zu unterstützen. Gemäß der DSGVO wird darauf hingewiesen, dass sich Rechtsträger (für die Verarbeitung Verantwortliche und Auftragsverarbeiter) auf die Zertifizierung verlassen können, um die Einhaltung bestimmter Elemente der DSGVO nachzuweisen. Es wird jedoch auch darauf hingewiesen, dass die Zertifizierung nach diesem Artikel (42) die Verantwortung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung der DSGVO nicht verringert und die Aufgaben und Befugnisse der zuständigen Aufsichtsbehörden nach Artikel 55 oder 56 unberührt lässt.