Regelmäßig berichten wir über den aktuellen Stand der Akkreditierungen nach Art. 42 DSGVO, also dem Weg zu akkreditierten DSGVO-Zertifikaten. Nun gibt es die ersten großen News!
Zur Erinnerung: Nach wie vor gibt es keine offiziell akkreditierten Zertifikate gemäß Art. 42 DSGVO. Elementarer Bestandteil der Akkreditierung ist die Abnahme des Zertifizierungsprogrammes bzw. Konformitätsbewertungsprogramms. Dies erfolgt in einem gemeinsamen Verfahren der deutschen Akkreditierungsstelle und der zuständigen Aufsichtsbehörden in zwei Schritten:
- Akkreditierung einer Zertifizierungsstelle durch die Deutsche Akkreditierungsstelle (DAkkS),
- Zulassung einer Zertifizierungsstelle durch die Befugnis erteilende Behörde, also die zuständige Aufsichtsbehörde (hier ist die Datenschutzaufsichtsbehörde gemeint, in deren Zuständigkeitsbereich die Zertifizierungsstelle ihren Sitz hat).
Lange ging es nicht voran, da Vorgaben für die Durchführung dieser Verfahren fehlten. Nun ist jedoch ein erster großer Schritt geschafft. Erste Zertifizierungsstellen berichteten in den vergangenen Tagen von positiven Rückmeldungen der DAkkS zu ihren jeweiligen eingereichten Konformitätsbewertungsprogrammen. Auch die datenschutz cert GmbH gehört dazu.
Damit ist ein großer Meilenstein für die Akkreditierung offizieller Zertifikate zum Datenschutz erreicht. Es wird aber noch ein wenig dauern wird bis es DSGVO-Zertifikate geben wird. Denn bis zur vollständigen Akkreditierung stehen nun noch weitere Schritte aus.
Zunächst prüfen nun die jeweils zuständigen Datenschutz Aufsichtsbehörden die Konformitätsbewertungsprogramme und die Zertifizierungskriterien.
Für die datenschutz cert GmbH mit Sitz in Bremen z. B. prüft daher nun die Landesbeauftragte für Datenschutz und Informationsfreiheit in Bremen das Programm und die entsprechenden Zertifizierungskriterien.
Erteilen auch die zuständigen Aufsichtsbehörden Ihre Genehmigung kann das Akkreditierungsverfahren zum Konformitätsbewertungsprogramm per Beschluss abgeschlossen werden und somit Akkreditierung auf nationaler Ebene erreicht werden.
Um tatsächlich Zertifizierungen nach dem dann akkreditierten Programm erteilen zu dürfen müssen schließlich die Zertifizierungsstellen noch für das Programm akkreditiert werden.
Für ein offizielles europäisches Datenschutzzertifikat ist noch ein weiterer Akkreditierungsschritt erforderlich. In diesem muss zusätzlich der Europäische Datenschutzausschuss (EDSA) seine Zustimmung zu den Zertifizierungskriterien erteilen.
Wir erwarten mit Spannung die Entwicklung in den kommenden Wochen und Monaten und halten Sie natürlich auf dem Laufenden hinsichtlich der Entwicklung bei der Akkreditierung gemäß Art. 42 DSGVO.