Vom 11. bis zum 13. Juni 2025 trafen sich die Datenschutzaufsichtsbehörden aus 18 Mitgliedstaaten sowie weitere Expert*innen und Stakeholder zu einem Workshop zum Thema DSGVO-Zertifizierung. In ihrer Kurzmeldung fasst die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) den Anlass und Ablauf des Treffens wie folgt zusammen:
„Die Datenschutz-Grundverordnung sieht die Förderung von datenschutzspezifischen Prüfverfahren und Datenschutzsiegeln vor, die nachweisen sollen, dass bei Verarbeitungsvorgängen die DSGVO eingehalten wird. […] Gemeinsam mit Zertifizierungs- und Akkreditierungsstellen sowie Programmeignern wurde evaluiert, wie Prozesse rund um die Zertifizierung verbessert werden könnten und welche Erfahrungen bereits gemacht wurden.“
Im Mittelpunkt des Workshops stand ein offener Dialog zwischen den Aufsichtsbehörden und den Vertreter*innen aus der Wirtschaft. Neben anderen Programmeignern und Zertifizierungsstellen, nahm auch die datenschutz cert GmbH als Stakeholder teil, um die Erfahrungen aus ihrer Sicht sowohl als Programmeignerin als auch als Zertifizierungsstelle für den akkreditierten und offiziell zugelassenen Art. 42 DSGVO Zertifizierungsstandard „DSGVO – information privacy standard“ zu teilen.
Kann mit einer DSGVO-Zertifizierung das Datenschutzniveau europaweit verbessert werden?
Ziel der dreitägigen Veranstaltung war es, im Rahmen von Workshops herauszufinden, wie eine DSGVO-Zertifizierung genutzt werden kann, um das Datenschutzniveau europaweit zu verbessern. Dabei sollten auch Erkenntnisse aus dem bisherigen Prozess zum Genehmigungsverfahren von Zertifizierungskriterien gesammelt werden. Neben den bereits gemachten Erfahrungen der beteiligten Akteure im Rahmen der Zulassungsverfahren und Anwendung von Datenschutzzertifizierungsstandards gemäß Art. 42 DSGVO stand insbesondere die Frage im Vordergrund, wie Prozesse rund um die Zertifizierung verbessert werden können.
Gemeinsamer Tenor ist das Ziel, Genehmigungsverfahren reibungsloser durchführen und schneller abschließen zu können. Bisher war der Prozess recht langwierig (wir berichteten hier und hier). Dies betrifft jedoch die ersten Verfahren dieser Art – eine Verbesserung ist bereits erkennbar.
In der Diskussion der Expert*innen und Stakeholder ging es auch darum, wie die Förderung von datenschutzspezifischen Prüfverfahren und Datenschutzsiegeln, die nachweisen sollen, dass bei Verarbeitungsvorgängen die DSGVO eingehalten wird, weiter gestaltet werden kann. Wie lässt sich also die Anerkennung und Bekanntheit der verfügbaren Zertifizierungsstandards erhöhen? Dazu wurden von den Teilnehmer*innen ebenfalls Ideen und Vorschläge eingebracht.
Die anerkannten Programme sind auf der Website des European Data Protection Boards (EDPB) gelistet: Register of certification mechanisms, seals and marks. Zertifizierungsstellen merkten hierzu an, dass insbesondere Auftragsverarbeiter sich für ein Zertifikat interessieren. Dies liegt maßgeblich daran, dass ein Zertifikat den Verantwortlichen (potenzielle Auftraggeber) vorgelegt werden kann, um die Konformität zur DSGVO nachzuweisen ohne, dass diese den Auftragsverarbeiter selbst auditieren (lassen) müssen. Dabei können Zertifizierungen auch verantwortlichen Stellen erhebliche Vorteile verschaffen, etwa in Form einer Haftungsreduktion und Reduzierung der Versicherungsbeiträge. Weitere Vorteile von DSGVO-Zertifikaten finden Sie in diesem Beitrag.
Im Anschluss an den Stakeholder-Tag folgten zwei weitere Tage, an denen die teilnehmenden Aufsichtsbehörden in zahlreichen Workshops zu den Themen arbeiteten. Wir sind gespannt auf die Erkenntnisse! In ihrer Mitteilung zum Workshop betont auch die Landesdatenschutzbeauftragte von Nordrhein-Westfalen (LDI NRW) nochmals die Wichtigkeit von Zertifizierungen:
„Eine Zertifizierung der eigenen Datenverarbeitungen verbessert regelmäßig den Datenschutz im Unternehmen und minimiert das Risiko von Datenschutzverletzungen. Mit einem Zertifikat kann ein Unternehmen nachweisen, dass seine Dienstleistung definierten Datenschutzanforderungen entspricht. Zertifizierungen steigern so das Vertrauen der Kundschaft, der Geschäftspartnerinnen und -partner und der Öffentlichkeit in den ordnungsgemäßen Umgang mit ihren Daten und können dadurch Wettbewerbsvorteile am Markt verschaffen. Datenschutz ist dem Unternehmen wichtig – auch das signalisiert ein Zertifikat eindrucksvoll nach innen und nach außen.“