Die Jahresmitte ist nicht mehr fern und auch der erste Geburtstag der DSGVO-Geltung nicht. Manch einer mag sich fragen wo das nun bereits seit fast einem Jahr heiß begehrte DSGVO Zertifikat bleibt.
1.1. Nach wie vor keine Zertifikate
Zuerst die schlechte Nachricht: Es gibt noch immer keine DSGVO-Zertifikate. Woran das liegt haben wir bereits in einem anderen Artikel geklärt. Doch bevor dieses durchaus wichtige Thema in Vergessenheit gerät möchten wir gerne ein Update geben zum aktuellen Stand der Möglichkeit sich Konformität zur DSGVO auszeichnen zu lassen.
Seit Anfang des Jahres ist es für Zertifizierungsstellen möglich, eine Akkreditierung bei der Deutschen Akkreditierungsstelle, kurz „DAkkS“ zu beantragen. Zur Erinnerung: Die DAkkS ist in Deutschland dafür zuständig Zertifizierungsstellen, die Zertifizierungen gemäß DSGVO erteilen möchten zu akkreditieren. Zusätzlich müssen die Zertifizierungsstellen gegenüber der zuständigen Aufsichtsbehörde nachweisen, dass sie unabhängig sind, über das Fachwissen verfügen und dass Ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
Die gute Nachricht ist, dass sich die beteiligten deutschen Akteure durchaus bemühen den aktuellen Stand zu kommunizieren und das nicht unkomplizierte Verfahren verständlich zu machen.
Zum Akkreditierungsverfahren hat die DAkkS eine Informationsseite unter https://www.dakks.de/content/projekt-datenschutz veröffentlicht. Auch die Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat eine Infografik veröffentlicht, die den Ablauf des Akkreditierungsverfahrens für Datenschutz-Zertifizierungen verbildlicht. Nun hat zudem der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg den Prozess noch einmal zusammengefasst und in einer Pressemeldung beschrieben.
Informationen über den Stand und den Ablauf sind folglich an vielen Stellen vorhanden. Auch prüft die DAkkS bereits Anträge auf Akkreditierung.
1.2. Wo hakt es also?
Noch immer steht eine Stellungnahme des Europäischen Datenschutzausschusses zu dem Papier der deutschen Aufsichtsbehörden und den darin festgelegten zusätzlichen Anforderungen an Zertifizierungen und Zertifizierungsstellen aus. Diese regeln beispielsweise Anforderungen an die Struktur, die Ressourcen, die Prozesse sowie das Managementsystem der zu akkreditierenden Stelle.
Ohne diese Stellungnahme stehen die Anforderungen an Zertifizierungen und Zertifizierungsstellen nicht fest und es gibt kein Verfahren für die Zulassung von Zertifizierungsstellen durch Befugnis erteilende Behörden.
Derzeit widmet sich der Europäischen Datenschutzausschuss wohl aber noch anderen Themen wie dem Brexit. Es ist daher noch immer nicht absehbar wann Akkreditierungen erfolgen und endlich die ersten DSGVO Zertifizierungen erteilt werden können.
23. Mai 2019 @ 10:39
Wäre es für uns Mittelständler nicht so ärgerlich wäre es ja noch lustig mit anzusehen wie die EU über ihre eigene Bürokratie stolpert. Für uns ist es Zeit- und Geldverschwendung, und gegenüber (potentiellen) Kunden die nicht nachfragen u.U. gar imageschädigend, immer wieder erklären zu müssen warum es keine Zertifikate mehr gibt. Mit großem Tamtam und angeblich ach so langer Vorlaufzeit wurde die DSGVO endgültig „scharfgeschaltet“, so dass sich ja eigentlich niemand beschweren dürfe, aber fertig ist trotzdem nichts so richtig.