Zum Ende des Jahres steht vielleicht bei so manch einem Verantwortlichen oder Auftragsverarbeiter ein Zertifikat, mit dem er die Einhaltung der DGSVO nachweisen und seiner Rechenschaftspflicht nachkommen kann, ganz oben auf dem Wunschzettel.

Schließlich sollen gemäß Art. 24 Abs. 3 DSGVO und Erwägungsgrund Nr. 81 der DSGVO genehmigte Zertifizierungsverfahren herangezogen werden können, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. In Art. 42 Abs. 1 DSGVO heißt es außerdem, datenschutzspezifische Zertifizierungsverfahren und Datenschutzsiegel sollen auf Unionsebene gefördert werden. Erwägungsgrund 100 der DSGVO besagt: „Um die Transparenz zu erhöhen und die Einhaltung dieser Verordnung zu verbessern, sollte angeregt werden, dass Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen eingeführt werden, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen.“ Wir haben bereits ausführlich darüber berichtet (hier und hier). Dennoch gibt es auch ein halbes Jahr nach Wirksamwerden der DSGVO immer noch keine DSGVO-Zertifikate. Woran liegt das?

Akkreditierung von Zertifizierungsstellen für DSGVO-Zertifizierungen

Zertifizierungsstellen müssen zunächst akkreditiert werden sowie die Befugnis erhalten um Zertifizierungen gemäß DSGVO erteilen zu dürfen. In Deutschland erfolgt dies einerseits durch die Deutsche Akkreditierungsstelle, kurz „DAkkS“. Zur Befugniserteilung müssen die Zertifizierungsstellen gegenüber der zuständigen Aufsichtsbehörde nachweisen, dass sie unabhängig sind, über das Fachwissen verfügen und dass Ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

Die Kriterien, nach denen zertifiziert werden soll, müssen gemäß Artikel 42 Absatz 5 DSGVO entweder von der zuständigen Aufsichtsbehörde oder durch den Europäischen Datenschutz-Ausschuss (EDPB – European Data Protection Board) genehmigt werden. Die Zertifizierungsstellen müssen sich verpflichten, diese Kriterien einzuhalten. Zudem müssen die Zertifizierungsstellen Verfahren für die Erteilung, die regelmäßige Überprüfung und den Widerruf der Datenschutzzertifizierung sowie den Umgang mit Beschwerden und Verletzungen der Kriterien festlegen.

Um die Kriterien genehmigen zu lassen, wird ein sogenanntes Konformitätsbewertungsprogramm bei der DAkkS eingereicht. In einem koordinierten Verfahren erfolgt die Prüfung durch die DAkkS und die zuständige Aufsichtsbehörde. Mit diesem Verfahren sollen vor allem unseriöse Zertifikate vom Markt verdrängt werden. Da eine Prüfung vor dem 25.5.2018 nicht möglich war, ist die logische Schlussfolgerung, dass es zunächst keine Zertifizierung nach DSGVO gab. So bestätigt es auch die DAkkS in ihrer Meldung vom 10.04.2018.

So weit, so gut. Dennoch gibt es zum aktuellen Zeitpunkt noch immer kein offizielles, genehmigtes Zertifizierungsverfahren. Woran liegt das also?

Kriterien zur Prüfung der Kriterien

Der Übergang zum neuen Datenschutzrecht verlief in so mancher Hinsicht nicht ganz so nahtlos wie vielleicht erhofft. Man erinnere sich etwa an die Online-Portale zur Meldung des betrieblichen Datenschutzbeauftragten bei der Aufsichtsbehörde, die nicht in allen Bundesländern bereits 25.5.2018 bereit standen (wir berichteten).

Die Anforderungen an Zertifizierungen und Zertifizierungsstellen setzen sich zusammen aus der ISO/IEC 17065, ergänzt durch zusätzliche Anforderungen der zuständigen Datenschutz-Aufsichtsbehörde. Diese zusätzlichen Anforderungen müssen folglich zunächst festgelegt werden, vorher gibt es kein Verfahren für die Zulassung von Zertifizierungsstellen durch Befugnis erteilende Behörden. Die deutschen Aufsichtsbehörden des Bundes und der Länder haben diese zusätzlichen Anforderungen bereits aufgestellt, diese regeln beispielsweise Anforderungen an die Struktur, die Ressourcen, die Prozesse sowie das Managementsystem der zu akkreditierenden Stelle und sind hier verfügbar. Konkrete zusätzliche Anforderungen der Aufsichtsbehörden sind dann gemäß Art. 64 Abs. 1 lit. c DSGVO zu billigen. Folglich steht eine Stellungnahme des Europäischen Datenschutzausschusses zu dem Papier der deutschen Aufsichtsbehörden und den darin festgelegten zusätzlichen Anforderungen aus. Wann mit dieser zu rechnen ist, ist zum jetzigen Zeitpunkt leider unklar.

Zertifizierung von vernetzten Produkten

Neuigkeiten gibt es allerdings für die Cybersicherheitszertifizierung. In diesem Zusammenhang haben sich das Europäische Parlament, der Rat und die Europäische Kommission laut einer Meldung der Kommission nun über den Rechtsakt zur Cybersicherheit geeinigt. Der Rechtsakt stärkt nicht nur das Mandat der EU-Cybersicherheitsagentur (ENISA), welche Mitgliedstaaten bei der Bewältigung von Bedrohungen und Angriffen im Bereich der Cybersicherheit besser unterstützen können soll. Er schafft auch einen einheitlichen EU-weit geltenden europäischen Zertifizierungsrahmen für die Cybersicherheitszertifizierung von Produkten, Verfahren und Diensten. Damit soll die Sicherheit von vernetzten Produkten und kritischen Infrastrukturen erhöht werden und schon bei der Entwicklung berücksichtigt werden. Dies geht einher mit dem „Privacy by Design“-Gedanken der DSGVO.

Fazit

Da die Anforderungen zur Akkreditierung von Zertifizierungsstellen und Anerkennung von Kriterien noch nicht abschließend festgelegt sind, werden dieses Jahr keine Zertifizierungen nach DSGVO unter dem Weihnachtsbaum zu finden sein. Die ersten Akkreditierungen werden voraussichtlich im nächsten Jahr durch die DAkkS erteilt werden und erst anschließend können die ersten Zertifizierungen durchgeführt werden. Offizielle DSGVO Zertifikate können Sie an dem Hinweis der Akkreditierung bei der DAkkS erkennen.