Zum Ende des Jahres steht vielleicht bei so manch einem Verantwortlichen oder Auftragsverarbeiter ein Zertifikat, mit dem er die Einhaltung der DGSVO nachweisen und seiner Rechenschaftspflicht nachkommen kann, ganz oben auf dem Wunschzettel.
Schließlich sollen gemäß Art. 24 Abs. 3 DSGVO und Erwägungsgrund Nr. 81 der DSGVO genehmigte Zertifizierungsverfahren herangezogen werden können, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. In Art. 42 Abs. 1 DSGVO heißt es außerdem, datenschutzspezifische Zertifizierungsverfahren und Datenschutzsiegel sollen auf Unionsebene gefördert werden. Erwägungsgrund 100 der DSGVO besagt: „Um die Transparenz zu erhöhen und die Einhaltung dieser Verordnung zu verbessern, sollte angeregt werden, dass Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen eingeführt werden, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen.“ Wir haben bereits ausführlich darüber berichtet (hier und hier). Dennoch gibt es auch ein halbes Jahr nach Wirksamwerden der DSGVO immer noch keine DSGVO-Zertifikate. Woran liegt das?
Akkreditierung von Zertifizierungsstellen für DSGVO-Zertifizierungen
Zertifizierungsstellen müssen zunächst akkreditiert werden sowie die Befugnis erhalten um Zertifizierungen gemäß DSGVO erteilen zu dürfen. In Deutschland erfolgt dies einerseits durch die Deutsche Akkreditierungsstelle, kurz „DAkkS“. Zur Befugniserteilung müssen die Zertifizierungsstellen gegenüber der zuständigen Aufsichtsbehörde nachweisen, dass sie unabhängig sind, über das Fachwissen verfügen und dass Ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
Die Kriterien, nach denen zertifiziert werden soll, müssen gemäß Artikel 42 Absatz 5 DSGVO entweder von der zuständigen Aufsichtsbehörde oder durch den Europäischen Datenschutz-Ausschuss (EDPB – European Data Protection Board) genehmigt werden. Die Zertifizierungsstellen müssen sich verpflichten, diese Kriterien einzuhalten. Zudem müssen die Zertifizierungsstellen Verfahren für die Erteilung, die regelmäßige Überprüfung und den Widerruf der Datenschutzzertifizierung sowie den Umgang mit Beschwerden und Verletzungen der Kriterien festlegen.
Um die Kriterien genehmigen zu lassen, wird ein sogenanntes Konformitätsbewertungsprogramm bei der DAkkS eingereicht. In einem koordinierten Verfahren erfolgt die Prüfung durch die DAkkS und die zuständige Aufsichtsbehörde. Mit diesem Verfahren sollen vor allem unseriöse Zertifikate vom Markt verdrängt werden. Da eine Prüfung vor dem 25.5.2018 nicht möglich war, ist die logische Schlussfolgerung, dass es zunächst keine Zertifizierung nach DSGVO gab. So bestätigt es auch die DAkkS in ihrer Meldung vom 10.04.2018.
So weit, so gut. Dennoch gibt es zum aktuellen Zeitpunkt noch immer kein offizielles, genehmigtes Zertifizierungsverfahren. Woran liegt das also?
Kriterien zur Prüfung der Kriterien
Der Übergang zum neuen Datenschutzrecht verlief in so mancher Hinsicht nicht ganz so nahtlos wie vielleicht erhofft. Man erinnere sich etwa an die Online-Portale zur Meldung des betrieblichen Datenschutzbeauftragten bei der Aufsichtsbehörde, die nicht in allen Bundesländern bereits 25.5.2018 bereit standen (wir berichteten).
Die Anforderungen an Zertifizierungen und Zertifizierungsstellen setzen sich zusammen aus der ISO/IEC 17065, ergänzt durch zusätzliche Anforderungen der zuständigen Datenschutz-Aufsichtsbehörde. Diese zusätzlichen Anforderungen müssen folglich zunächst festgelegt werden, vorher gibt es kein Verfahren für die Zulassung von Zertifizierungsstellen durch Befugnis erteilende Behörden. Die deutschen Aufsichtsbehörden des Bundes und der Länder haben diese zusätzlichen Anforderungen bereits aufgestellt, diese regeln beispielsweise Anforderungen an die Struktur, die Ressourcen, die Prozesse sowie das Managementsystem der zu akkreditierenden Stelle und sind hier verfügbar. Konkrete zusätzliche Anforderungen der Aufsichtsbehörden sind dann gemäß Art. 64 Abs. 1 lit. c DSGVO zu billigen. Folglich steht eine Stellungnahme des Europäischen Datenschutzausschusses zu dem Papier der deutschen Aufsichtsbehörden und den darin festgelegten zusätzlichen Anforderungen aus. Wann mit dieser zu rechnen ist, ist zum jetzigen Zeitpunkt leider unklar.
Zertifizierung von vernetzten Produkten
Neuigkeiten gibt es allerdings für die Cybersicherheitszertifizierung. In diesem Zusammenhang haben sich das Europäische Parlament, der Rat und die Europäische Kommission laut einer Meldung der Kommission nun über den Rechtsakt zur Cybersicherheit geeinigt. Der Rechtsakt stärkt nicht nur das Mandat der EU-Cybersicherheitsagentur (ENISA), welche Mitgliedstaaten bei der Bewältigung von Bedrohungen und Angriffen im Bereich der Cybersicherheit besser unterstützen können soll. Er schafft auch einen einheitlichen EU-weit geltenden europäischen Zertifizierungsrahmen für die Cybersicherheitszertifizierung von Produkten, Verfahren und Diensten. Damit soll die Sicherheit von vernetzten Produkten und kritischen Infrastrukturen erhöht werden und schon bei der Entwicklung berücksichtigt werden. Dies geht einher mit dem „Privacy by Design“-Gedanken der DSGVO.
Fazit
Da die Anforderungen zur Akkreditierung von Zertifizierungsstellen und Anerkennung von Kriterien noch nicht abschließend festgelegt sind, werden dieses Jahr keine Zertifizierungen nach DSGVO unter dem Weihnachtsbaum zu finden sein. Die ersten Akkreditierungen werden voraussichtlich im nächsten Jahr durch die DAkkS erteilt werden und erst anschließend können die ersten Zertifizierungen durchgeführt werden. Offizielle DSGVO Zertifikate können Sie an dem Hinweis der Akkreditierung bei der DAkkS erkennen.
Kai Hofmann
19. Dezember 2018 @ 6:44
Wie ist die Zertifizierung nach ISO27001 in diesem Kontext zu bewerten?
Alisha Gühr
20. Dezember 2018 @ 15:46
Bei der ISO27001 handelt es sich um einen international anerkannten Standard für Informationssicherheit. Bei einer Zertifizierung gemäß einem ISO Standard handelt es sich nicht um eine Zertifizierung gemäß DSGVO und es wird keine Konformitätsaussage zur Einhaltung der DSGVO getroffen. Dennoch können sich Inhalte der Prüfung im Rahmen einer ISO Zertifizierung mit einer DSGVO Prüfung überschneiden, etwa die Überprüfung der getroffenen technischen und organisatorischen Maßnahmen. Auch zur Erteilung von ISO27001 Zertifikaten ist eine Akkreditierung der Zertifizierungsstelle durch die DAkkS erforderlich. Es handelt sich dabei aber nicht um das gemeinsame Verfahren zwischen der DAkkS und den Datenschutzaufsichtsbehörden, das in diesem Artikel beschrieben wird.
Kai Hofmann
21. Dezember 2018 @ 11:17
Hallo Frau Gühr vielen Dank führ die Ausführung, ich hatte aber wohl meine Frage zu unpräzise formuliert. Die ISO27001 behandelt ja die Sicherheitsaspekte und ich würde diese somit als eine Technische-Untermenge der DSGVO sehen (nicht ganze korrekt, aber ich denke Sie wissen wodrauf ich hinaus will). Meine Frage ist nun ob man die ISO27001 machen sollte um dann eine vereinfachte DSGVO Zertifizierung zu bekommen, oder aber lieber noch warten auf die DSGVO Zertifizierung, die dann quasi die ISO27001 mit einschliesst (möglicherweise)? Oder anders gefragt, wird die DSGVO Zertifizierung die ISO27001 verdrängen?
Alisha Gühr
21. Dezember 2018 @ 11:46
Eine DSGVO-Zertifizierung wird die ISO27001 nicht verdrängen. Die Prüfinhalte der beiden Zertifizierungen können sich zwar teilweise überschneiden, jedoch wird keine der beiden Zertifizierungen alle Inhalte der anderen abdecken oder sie ersetzen können. Dies ergibt sich auch aus dem unterschiedlichen Zertifizierungsgegenstand (die ISO zertifiziert ein ISMS, DSGVO-Zertifizierungen zertifzieren Verarbeitungsvorgänge). Inwieweit eine teilweise Anerkennung anderer Zertifikate im Rahmen einer DSGVO-Zertifizierung möglich ist, wird in den jeweiligen Konformitätsbewertungsprogrammen geregelt werden.
Kai Osterhage
27. Dezember 2018 @ 23:18
Die Frage, in welchem Zusammenhang eine ISO/IEC 27001-Zertifizierung zur DSGVO steht und ob und welche Vorteile sie im Zusammenhang mit der Rechenschaftspflicht nach Art. 5 DSGVO bringen kann, wird etwas konkreter in einem der nächsten Blog-Artikel besprochen werden.
Anonymous
18. Dezember 2018 @ 19:00
Sehr guter Beitrag. Eigentlich täten die LfDIs gut daran, sich schneller mit dem EDSA zu einigen, da Zertifizierungen ja auch deren Arbeit erleichtern könnten. Leidtragende der Uneinigkeit sind neben den CAs die Wirtschaft und die Verbraucher.
Anonymous
18. Dezember 2018 @ 11:35
Danke für den Einblick, schade dass es ausgerechnet an einer so wichtigen Stelle so lange hakt.