als Zertifizierungsstelle agieren darf, durch die jeweils
zuständige Datenschutzaufsichtsbehörde auf Grundlage
einer Akkreditierung durch die Deutsche Akkreditierungsstelle (DAkkS). Detailregelungen dazu enthält das
Akkreditierungsstellengesetz (AkkStelleG). Dort ist etwa
festlegt, dass stets die sogenannte „befugniserteilende“
Datenschutzaufsichtsbehörde gemeinsam mit der DAkkS
das jeweilige Akkreditierungsverfahren bearbeitet. Bei
der Durchführung des Akkreditierungsprozesses im
Bereich Datenschutz sind sechs Phasen vorgesehen:
1. Antragsphase – Programmprüfung
2. Programmprüfung und Genehmigung der Kriterien
3. Antragsphase Akkreditierung/Befugniserteilung
4. Begutachtungsphase
5. Akkreditierungsphase/Befugniserteilung
6. Überwachungsphase
Die Datenschutzaufsichtsbehörden des Bundes und der
Länder befassen sich im Rahmen der nationalen Gremien derzeit intensiv mit der Umsetzung der Vorgaben
der DSGVO in das nationale Akkreditierungsverfahren.
Sie haben u. a. ein Konzept entwickelt, das ergänzende
Anforderungen zur DIN EN ISO/IEC 17065 enthält. Diese
Norm wird explizit in der DSGVO erwähnt. Sie befasst
sich bereits detailliert mit Fragen der Konformitätsbewertung und wird durch das Papier der Aufsichtsbehörden
um datenschutzspezifische Aspekte bei den Anforderungen an Strukturen, Ressourcen und Prozesse oder etwa an
das Managementsystem der zu akkreditierenden Stellen,
ergänzt (https://www.datenschutzkonferenz-online.de/
anwendungshinweise.html). Aktuell werden hier letzte
Anpassungen im Rahmen der Datenschutzkonferenz,
dem Gremium der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), vorgenommen. Anschließend durchläuft das Papier noch die
erforderlichen Genehmigungsprozesse auf europäischer
Ebene.
Darüber hinaus wurde auf der nationalen Ebene z. B.
auch eine Vereinbarung zwischen den Datenschutzaufsichtsbehörden des Bundes und der Länder und der
DAkkS über die Akkreditierungsaufgaben geschlossen,
die klare Regelungen im Hinblick auf die Zuständigkeiten und Verantwortlichkeiten enthält und so letztlich die
Vorgaben aus BDSG und AkkStelleG konkretisiert. Dies
ist nur ein Beispiel, das zeigt, in welchem Ausmaß und
Detailgrad die neue Aufgabe der datenschutzrechtlichen
Akkreditierung Regelungen und Absprachen auf der nationalen Ebene erfordert. Die Verhandlungen zwischen
den beteiligten Akteuren und die Ausarbeitung der
einzelnen Verfahrensschritte hat mehr Zeit in Anspruch
72
Tätigkeitsbericht zum Datenschutz für 2019
genommen, als ursprünglich erwartet. Auch auf der
europäischen Ebene sind Anpassungen erforderlich, für
die es bisher keine Erfahrungswerte gibt.
Der Europäische Datenschutzausschuss
Der Europäische Datenschutzausschuss (EDSA) hat
im vergangenen Jahr Leitlinien mit Hinweisen veröffentlicht, welche Aspekte innerhalb des Akkreditierungsverfahrens besonders zu berücksichtigen sind
(die Leitlinie vom 14. Dezember 2018 finden Sie unter:
http://www.bfdi.bund.de/guidelines). Ergänzend hierzu
arbeiten die Gremien auf europäischer Ebene auch an
einer konkreten Ausgestaltung entsprechender Verfahren
zur Umsetzung der Akkreditierungs- und Zertifizierungsmechanismen innerhalb der Strukturen des EDSA.
Der EDSA muss künftig etwa gewährleisten, dass er Stellungnahmen zu Entwürfen der Aufsichtsbehörden der
Mitgliedstaaten abgeben kann, die sich darauf beziehen,
Anforderungen für die Akkreditierung einer Zertifizierung gem. Art. 43 Abs. 3 DSGVO zu erlassen oder die in
Art. 42 Abs. 5 DSGVO genannten Zertifizierungskriterien
zu genehmigen (Art. 64 Abs. 1 lit. c DSGVO). Außerdem
besteht gem. Art. 42 Abs. 5 DSGVO (Art. 70 Abs. 1 lit. o
DSGVO) die Erfordernis, EU-weite Zertifizierungskriterien zu genehmigen, die die Voraussetzung für
ein europäisches Datenschutzsiegel bilden können.
Konsistente Verfahren auf der europäischen Ebene sind
eine unerlässliche Voraussetzung dafür, dass die Mitgliedstaaten ihre Aktivitäten im Zusammenhang mit der
nationalen und EU-weiten Zertifizierung aufnehmen
können. Der größte Teil der Prozessschritte wurde
zwischenzeitlich im Plenum des EDSA verabschiedet,
weitere Details werden nach und nach konkretisiert und
verabschiedet.
Erste Akkreditierungsverfahren starten 2020
Die neue Aufgabe der Akkreditierung bringt für alle
beteiligten Akteure eine Vielzahl an neuen Herausforderungen mit sich. Die Festlegung entsprechender Verfahren und Prozesse wurde – sowohl auf europäischer
als auch auf nationaler Ebene – intensiv diskutiert. 2020
laufen jetzt die ersten Akkreditierungsverfahren an.
Mein Ziel war und ist es, durch ein belastbares, transparentes und zuverlässiges Akkreditierungsverfahren dazu
beizutragen, dass Datenschutzzertifizierungen glaubhaft
sind. Denn nur so können sie sich zu einem wichtigen
Vertrauensanker entwickeln, der echte Mehrwerte
schafft.
Produkte und Dienstleistungen mit Datenschutzzertifizierung werden es vor allem kleineren Unternehmen
erleichtern sicherzustellen, datenschutzkonform zu
handeln.