Aussage, d. h., es sind sowohl eine Zertifizierungsstelle als auch mehrere Zertifizierungsstellen möglich. Der
Verordnungsgeber beabsichtigt hierbei, aus dem Betrieb von Zertifizierungsstellen ein Geschäftsmodell machen
zu können.
Die Definition der Zertifizierungskriterien obliegt grundsätzlich den Aufsichtsbehörden, dabei sollen neben den
Maßnahmen zum technisch-organisatorischen Datenschutz auch Verhaltensregeln als Zertifizierungskriterien
definiert werden. Die konkreten Rahmenbedingungen für dieses Verfahren werden aktuell auf europäischer und
nationaler Ebene ausgestaltet. Denn die neue Aufgabe erfordert vielfältige Vorbereitungsmaßnahmen und Abstimmungsprozesse, sowohl in den europäischen Gremien als auch bei der Anpassung der nationalen Gesetzgebung. Diese muss u. a. festlegen, welchen Stellen welche Aufgaben zukommen und wie beispielsweise die nationale Akkreditierungsstelle, die Deutsche Akkreditierungsstelle (DAkkS), einzubinden ist. Die konkrete Ausgestaltung war bei Redaktionsschluss noch offen (vgl. hierzu Nr. 1.21 f.).
Zentral geregelt ist das Zertifizierungsverfahren in den Artikeln 42 und 43 der Datenschutz-Grundverordnung.
Gegenstand von Zertifizierungen können letztlich sämtliche Verarbeitungsvorgänge sein. Nachgewiesen wird
die ordnungsgemäße Anwendung der Verordnung, vor allem die Einhaltung der technischen und organisatorischen Anforderungen entsprechend Artikel 24 und 32 der Datenschutz-Grundverordnung. Sie hebt an einigen
Stellen die Zertifizierung aber auch noch einmal gesondert als Instrument zur Erfüllung der Anforderungen von
„privacy by design“ und „privacy by default“ und hinreichender und geeigneter Garantien bei der Auftragsdatenverarbeitung und bei der Drittstaatenübermittlung hervor. Grundsätzlich soll die Zertifizierung die Verwendung von privacy by design und privacy by default befördern.
Durch eine Zertifizierung kann der Auftragnehmer, z. B. ein Anbieter von Cloud-Diensten, nachweisen, dass er
seine Verpflichtungen zu technisch-organisatorischen Maßnahmen bei der Auftragsdatenverarbeitung erfüllt. Im
Zertifikat müssen die Art der Auftragsdatenverarbeitung, die Risikolage sowie der Maßnahmenkatalog enthalten
sein. Ein wichtiger Punkt ist die Gewährleistung der Datensicherheit als grundlegendes Fundament des Datenschutzes, sie umfasst die Erreichung der Schutzziele wie Vertraulichkeit, Integrität und Verfügbarkeit durch
geeignete Maßnahmen wie zum Beispiel Pseudonymisierung oder Verschlüsselung. Darüber hinaus sind
Schutzklassen ein wichtiges Instrument, um individuellen Schutzbedarf und dessen Erfüllung durch zertifizierte
Dienste praxisgerecht auszudrücken. Hier bietet besonders der Maßnahmenkatalog des Standard-Datenschutzmodells (vgl. u. Nr. 10.2.11.5) eine geeignete Grundlage.
Zertifikate sind nicht unbeschränkt gültig. Nach spätestens 3 Jahren bzw. bei Änderung der Datenverarbeitung
oder der Risikolage kann eine Nachzertifizierung beauflagt werden. Bei Verstößen bzw. fehlender Nachzertifizierung, d. h., wenn die Voraussetzungen für die Zertifizierung nicht mehr erfüllt sind, muss das Zertifikat entzogen werden.
Eine grundlegende Voraussetzung für die Zertifizierung ist die Akkreditierung der Zertifizierungsstellen. Zu
akkreditierende Zertifizierungsstellen müssen Zertifikate im Sicherheitsmanagement und umfangreiche Erfahrungen in der Datenschutzberatung nachweisen. Akkreditierende Stellen wiederum benötigen fachlich versiertes
Personal, das auf dem aktuellen Stand im Bereich Sicherheitsmanagement und Datenschutz ist. Sie müssen die
gemäß Artikel 55 oder 56 zuständige Aufsichtsbehörde und/oder die nationale Akkreditierungsstelle sein. Zertifizierungsstellen kann die Akkreditierung entzogen werden, wenn z. B. fehlende oder nicht aktualisierte Zertifikate im Sicherheitsmanagement oder Mängel bei der Datenschutzberatung festgestellt werden. Dies setzt eine
regelmäßige Überprüfung der akkreditierten Stellen voraus. Die Höchstdauer der Akkreditierung beträgt
5 Jahre.
Die Einführung von europaweit einheitlichen datenschutzspezifischen Zertifizierungsverfahren durch die Datenschutz-Grundverordnung stellt eine wichtige und zentrale Neuerung der europäischen Bemühungen um einen
gestärkten Datenschutz dar. Darüber hinaus bietet sie für Auftragnehmer einen möglichen Wettbewerbsvorteil.
Jetzt gilt es, die Herausforderungen der Umsetzung dieser Vorgaben anzunehmen und die entsprechende Ausgestaltung effektiv zu begleiten. Über diese Entwicklungen werde ich auch in den kommenden Tätigkeitsberichten
informieren.
10.2.11.3 Windows XP - ein langer Abschied
– 120 –
BfDI 26. Tätigkeitsbericht 2015-2016