Wie steht es eigentlich um die DSGVO-Zertifizierung? Gemeint sind jetzt nicht irgendwelche proprietären DSGOV-Siegel o.ä.,  sondern die hoch-offizielle Zertifizierung von Verarbeitungsvorgängen gem. Art. 42 DSGVO durch dafür eigens akkreditierte Zertifizierungsstellen gem. Art. 43 DSGVO?

Zum aktuellen Sachstand bietet die aktuelle Ausgabe 10/2020 der DuD (Datenschutz und Datensicherheit) einen guten Überblick.

In der Zeitschrift stellt zunächst Henry Krasemann vom Unabhängigen Landeszentrum für Datenschutz (ULD) Schleswig-Holstein den aktuellen Stand „der Datenschutz-Zertifizierung und Akkreditierung in Deutschland und Europa“ dar. In diesem Beitrag wird insbesondere das Zusammenspiel von nationalen Datenschutz-Aufsichtsbehörden und den nationalen Akkreditierungsstellen – in Deutschland die DAkkS – erläutert. Eingangs diskutiert Henry Krasemann auch die Vorteile einer Zertifizierung. Diese „Vorteile“ einer Zertifizierung werden übrigens von den Autoren Wilhelm Dolle, Julian Herlinghaus und Dr. Marian Corbe im Beitrag „Sinn und Unsinn von Zertifizierungen“ kritisch hinterfragt.

Zurück zur Akkreditierung von Zertifizierungsstellen:

Ein wichtiger Bestandteil der Akkreditierung ist die Abnahme des Zertifizierungs-/Konformitätsbewertungsprogramms samt der Kriterien. Diese werden von den Datenschutz-Aufsichtsbehörden abgenommen. Die Aktivitäten, die die Datenschutz-Aufsichtsbehörden in Deutschland dazu unternehmen, illustriert der Beitrag von Christian Prietz, Martin Rost und Julia Stoll in „Prüfverfahren zur datenschutzrechtlichen Zertifizierung“. Diese Aktivitäten spiegeln die europäischen Vorgaben des Europäischen Datenschutz-Ausschuss EDSA (European Data Protection Board EDPB) wieder, die bereits verfügbar sind: „Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation, Version 3.0, 4 June 2019“.

Ein Stück weit außerhalb des Art. 42 DSGVO-Rahmens erläutern Dr. Aleksandra Sowa und Martin Rost im Beitrag „Die ISO 27701 und das SDM-V2 im Lichte der Umsetzung der DSGVO“, wie der internationale Standard eines Datenschutz-Managementsystems (ISO/IEC 27701) mit dem Standard-Datenschutzmodell (SDM) zusammenpasst. „Ein Stück weit außerhalb der DSGVO“, weil die DSGVO als verbindliche Akkreditierungsnorm ISO/IEC 17065 festlegt und damit kein Datenschutz-Managementsystem gem. DSGVO zertifiziert werden kann. Gleichwohl ist der Ansatz, ein Managementsystem für Datenschutz aufzubauen und dazu anerkannte Standards zu nutzen, sehr attraktiv, vgl. hierzu auch unseren Beitrag „Anschluss unter 27701“.

Inwiefern das Standard-Datenschutzmodell mit dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zusammenpasst – insbesondere wo doch der Datenschutz-Baustein stets nicht zertifizierungsrelevant ist , diskutieren Benjamin Heckmann, Florian Schweighart und Markus Tasch im Beitrag „JOINED-VIV: Umsetzung der DSGVO mittels SDM und unter Einbindung des BSI IT-Grundschutzes“.

Und abschließend noch in eigener Sache: Wir berichten in der DuD 10/2020 über den „langen Weg zur Akkreditierung nach Art. 42 DSGVO, vgl. hier (der gesamte Beitrag von uns kann hier direkt kostenlos heruntergeladen werden).