Bremer Datenschutzaufsicht rückt Zertifizierungen stärker in den Fokus

Im 8. Jahresbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen (LfDI Bremen) taucht ein Thema auf, das in den Vorjahren eher nur am Rande erwähnt wurde: die datenschutzrechtliche Zertifizierung nach Art. 42 DSGVO. Der Landesdatenschutzbeauftragte widmet ihr im Kapitel „Zahlen und Fakten“ einen klaren Platz – ein Schritt, der zeigt, dass Zertifizierungen zunehmend an Bedeutung gewinnen (siehe Kapitel 19.9). So heißt es dazu auch im Bericht:

„Eine datenschutzrechtliche Zertifizierung nach Artikel 42 DSGVO ermöglicht es Verantwortlichen und Auftragsverarbeitern, die Umsetzung der Datenschutzgrundsätze sowie die Einhaltung der Anforderungen der Datenschutzgrundverordnung nachzuweisen. Sie stellt einen formalisierten und objektiv überprüfbaren Nachweis dar, dass bestimmte Verarbeitungsvorgänge datenschutzkonform ausgestaltet sind.“ (8. Tätigkeitsbericht, S. 155)

Datenschutz-Zertifizierungen sind längst nicht mehr nur theoretische Konstrukte der DSGVO, sondern ein relevantes Nachweis‑ und Compliance‑Werkzeug, das im Aufsichtsalltag angekommen ist.

Eines der ersten DSGVO-Zertifikate stammt aus Bremen

Der Tätigkeitsbericht des LfDI Bremen unterstreicht noch einen weiteren Punkt: 2025 wurden erstmals deutschlandweit sog. generische Kriterien genehmigt. Damit ist der „DSGVO – information privacy standard“ der datenschutz cert GmbH gemeint (wir berichteten). Diese Kriterien sind nicht an bestimmte Branchen, Systeme oder Technologien gebunden – sie bilden vielmehr eine universell anwendbare Grundlage für Datenschutz-Zertifizierungen.

Die datenschutz cert GmbH hatte das Verfahren 2018 bei der Deutschen Akkreditierungsstelle (DAkkS) angestoßen; es entwickelte sich zu einem europäischen Prüfprozess, an dem letztlich alle nationalen Datenschutzaufsichtsbehörden beteiligt waren. Dass dieser Prozess 2025 unter Mitwirkung des LfDI Bremen abgeschlossen wurde, stellt einen der wichtigsten Fortschritte im Bereich DSGVO‑Zertifizierungen in Deutschland dar.

Die ersten Zertifikate auf Basis des „DSGVO – information privacy standards“ wurden auch bereits erteilt, die Liste können Sie hier einsehen: datenschutz-cert.de/zertifikatslisten/dsgvo-information-privacy-standard

DSGVO-Zertifizierungen nehmen Fahrt auf

Dass der Landesdatenschutzbeauftragte das Thema explizit aufgreift, ist kein Zufall. Die Zertifizierung gewinnt an Bedeutung – und zwar aus mehreren Gründen:

Höhere regulatorische Komplexität

Mit neuen EU‑Gesetzen wie der KI‑Verordnung, dem Data Act oder der TTPW‑Verordnung steigt der Druck auf Organisationen, ihre Datenschutzprozesse systematisch nachzuweisen. Zertifizierungen bieten hierfür ein erprobtes, strukturiertes Mittel.

Unterstützung der Rechenschaftspflicht

Der LfDI Bremen betont in seinem Bericht:

„Verantwortliche und Auftragsverarbeiter haben nun die Möglichkeit, eine offiziell anerkannte Datenschutzzertifizierung zu erwerben, diese als Nachweis für die Konformität mit der Datenschutzgrundverordnung zu nutzen und möglichst auch Wettbewerbs- beziehungsweise Vertrauensvorteile zu erzielen.“ (8. Tätigkeitsbericht, S. 156)

Zertifizierungen unterstützen die Nachweisführung, ersetzen sie aber nicht. Verantwortliche bleiben weiterhin verpflichtet, die Einhaltung der Datenschutzgrundsätze vollständig sicherzustellen – auch darauf verweist die Aufsichtsbehörde. Die Zertifizierung stellt jedoch einen objektiven, geprüften Beleg dar, der in Compliance‑Strukturen, Kundenbeziehungen und Audit‑Prozessen zunehmend an Gewicht gewinnt.

Orientierung für Unternehmen

Indem der Landesdatenschutzbeauftragte das Thema sichtbar macht, sendet er ein Signal an Verantwortliche und Auftragsverarbeiter: Zertifizierungen werden beobachtet, bewertet und als relevantes Mittel für datenschutzkonforme Praxis eingeordnet.

Ein Blick nach vorn

Mit der Genehmigung der generischen Kriterien entsteht erstmals eine breite Basis für Zertifizierungen. Für Unternehmen bedeutet das, dass sie ihre Datenschutzorganisation künftig über strukturierte, auditierbare und europaweit anschlussfähige Kriterien prüfen lassen können – unabhängig von der Branche, der Unternehmensgröße oder dem Geschäftsmodell.

Zertifizierungen werden somit zu einem wachsenden Bestandteil der regulatorischen Landschaft, insbesondere in Verbindung mit anderen europäischen Digitalrechtsakten.

Fazit

Die Erwähnung der datenschutzrechtlichen Zertifizierung im Bremer Jahresbericht 2025 ist mehr als eine Randnotiz. Sie ist ein Hinweis darauf, dass das Instrument im Zentrum moderner Compliance‑Strategien angekommen ist. Die Genehmigung der ersten generischen Kriterien markiert einen Wendepunkt, der Zertifizierungen künftig breiter einsetzbar macht – und der zeigt, wie ernst die Aufsichtsbehörden dieses Werkzeug inzwischen nehmen.

Mehr über den „DSGVO – information privacy standard“ und den Ablauf einer Zertifizierung erfahren Sie hier: datenschutz-cert.de/leistungen/dsgvo-information-privacy-standard

Dr. Irene Karper | 18. März 2026 | Aufsichtsbehörden | Auditierung, Datenschutzaufsichtbehörde, DSGVO – information privacy standard, DSGVO-Zertifikat, LfDI Bremen, Tätigkeitsbericht, Zertifizierung