Zertifikate können Auskunft darüber geben, ob IT-Produkte und -Dienstleistungen den Anforderungen der Datenschutzgrundverordnung genügen. Die DSGVO stellt dabei die Grundlagen für ein einheitliches europäisches Akkreditierungs- und Zertifizierungsverfahren zur Verfügung. Aber auch fünf Jahre nach Verabschiedung der DSGVO im Europäischen Parlament gibt es noch keine einzige akkreditierte Zertifizierungsstelle, die ein echtes DSGVO-Zertifikat ausstellen könnte. Zwar behaupten viele Unternehmen, "DSGVO-compliant" zu sein, doch ein rechtssicherer Nachweis kann nur über eine Zertifizierung erfolgen, die die Prüfung nach den Kriterien der DSGVO vornimmt. Auch gibt es Siegel und Zertifizierungen, die sicherstellen wollen, dass Mindeststandards eingehalten werden.

In Deutschland werden die Zertifizierungsstellen nun von der Deutschen Akkreditierungsstelle GmbH (DAkkS) zusammen mit den unabhängigen Datenschutzaufsichtsbehörden gemäß § 39 Bundesdatenschutzgesetz akkreditiert. 2022 sollen die ersten Stellen den gesamten Prozess durchlaufen haben.

Lange Prüfungsphase für Zertifizierungsprogramm

Sebastian Meissner, Geschäftsführer des Bonner Datenschutzzertifizierers Europrise erklärt gegenüber heise online, dass die Zertifizierung nach DSGVO bereits 2016 Top-Priorität auf europäischer Ebene gewesen, etwa beim Europäischen Datenschutzausschuss (EDSA). Vor allem die Prüfungsphase für das Zertifizierungsprogramm habe sich aber "wider Erwarten so lange hingezogen", sagt Meissner.

Der Grund für die Verzögerung liegt darin, dass erstmals festgelegt werden musste, welche Anforderungen eine Zertifizierungsstelle erfüllten muss. Normen der Internationalen Standardisierungsorganisation ISO reichten dafür nämlich nicht aus. Bis 2019 lief der Abstimmprozess zwischen der DAkkS und den Datenschutzaufsichtsbehörden von Bund und Ländern. Als sie gemeinsam die Anforderungen definierten, fing der Akkreditierungsprozess erst an:

Unter anderem prüft die DAkkS die Einhaltung von ISO 17065, den Standard für Zertifizierungsstellen, und ISO 1767, den Standard für Produktzertifizierung. Die zuständige Datenschutz-Behörde prüft dann zusätzlich noch datenschutzspezifische Belange.

Derzeit gilt deutschlandweit die nordrhein-westfälische-Landesdatenschutzaufsicht als federführend. Denn gleich eine Handvoll Unternehmen mit Sitz in NRW haben bei ihr ihre Zertifizierungsprogramme für den Akkreditierungsprozess eingereicht. Ein Sprecher der Behörde sagte heise online: "Wir hoffen, dass im ersten Halbjahr 2022 die ersten Zertifizierungsstellen am Markt akkreditiert sind und Zertifizierungen bei ihren Kunden durchführen können."

Erste Hürde genommen

Europrise hat bei der nordrhein-westfälischen Datenschutzaufsicht den Entwurf eines Kriterienkatalogs eingereicht, der sich auf die Auftragsdatenverarbeitung konzentriert. "Wir waren im September die Ersten in Deutschland, die von der zuständigen Aufsichtsbehörde ein positives Feedback zu ihrem Kriterienkatalog erhalten haben", freut sich Meissner.

Für Europrise hat die Aufsicht grundsätzlich bereits grünes Licht gegeben. "Bei uns haben seit jeher die Betroffenenrechte und ganz generell die Perspektive der Betroffenen einen hohen Stellenwert eingenommen", sagt Meissner. Das werde auch in der Zukunft so bleiben. Gleichzeitig werde der Datenschutz durch Technikgestaltung und -voreinstellungen an Gewicht gewinnen.

Das grüne Licht der nordrhein-westfälischen Datenschutzaufsicht gibt es aber erst einmal nur für einen Teilschritt des Akkreditierungsverfahrens. Denn es muss dann noch die erforderliche Stellungnahme des Europäischen Datenschutzausschusses (EDSA) im Rahmen des sogenannten Kohärenzverfahrens eingeholt werden. Derzeit befasst sich eine Arbeitsgruppe des EDSA damit. Eine Stellungnahme des EDSA-Plenums erwartet Meissner im März 2022.

Im Anschluss daran erfolgt die eigentliche Akkreditierung der Zertifizierungsstelle durch die DAkkS und die Datenschutzaufsichtsbehörde. Erst dann also kann der Katalog für eine DSGVO-Zertifizierung in Deutschland freigegeben werden. Für eine europaweite Freigabe ist noch einmal eine separate Entscheidung notwendig.

Parallel kann jetzt bereits das eigentliche Akkreditierungsverfahren bei der DAkkS laufen, das sich prinzipiell an jeden Auftragsverarbeiter und auch an jeden Verantwortlichen wendet. Kerneigenschaft eines jeden genehmigten Zertifizierungsverfahrens ist der Nachweis der Einhaltung der DSGVO.

Europrise plant DSGVO-Zertifizierung für Auftragsdatenverarbeitung

Im Mittelpunkt der juristischen Anforderungen bei Europrise steht das Verhältnis des Auftragsverarbeiters zu den Verantwortlichen sowie zu weiteren Auftragsverarbeitern. Hier wird zunächst eine Vertragsprüfung vorgenommen. Für die Zertifizierung schauen sich die Zertifizierer aber auch an, wie die Vertragspflichten umgesetzt wurden und verlangen dazu einen Nachweis darüber, welche technisch-organisatorischen Maßnahmen ergriffen wurden. Das Thema Übermittlung von personenbezogenen Daten in Drittstaaten sowie besondere Geheimhaltungspflichten, etwa für Ärzte, können ebenfalls eine Rolle spielen.

Grundlage der DSGVO-Zertifizierung bei Europrise wird in erster Linie die DSGVO sein, ergänzt um relevantes nationales Datenschutzrecht. Im Hinblick auf die Auslegung der einschlägigen Vorschriften spielen die Rechtsprechung des Europäischen Gerichtshofs EuGH, die Richtlinien des EDSA sowie die Veröffentlichungen der Datenschutzkonferenz eine zentrale Rolle.

Auch an das Standarddatenschutzmodell (SDM) der Aufsichtsbehörden dockt Europrise an, wie auch an Zertifizierungen und Vorgehensweisen aus dem Bereich der IT-Sicherheit wie beispielsweise ISO/IEC 27001 und der BSI-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI). Im Hinblick auf den Stand der Technik orientiert sich Europrise an der einschlägigen Handreichung von ENISA und TeleTrusT.

TÜViT will Zertifizierung für alle IT-Services anbieten

Die Essener TÜV Informationstechnik GmbH (TÜViT) steht ebenfalls bereits in den Startlöchern. Bei ihren Kunden wirbt sie damit, dass "ein Zertifikat vor allem im Hinblick auf die Gewinnung neuer Kunden ein Wettbewerbsvorteil sein" kann. Sie strebt an, eine DSGVO-Zertifizierung für die Datenverarbeitung durch informationsverarbeitende Services anbieten zu können. Das heißt, sie plant nicht, sich auf Geltungsbereiche mit rechtlichen Detailfragen oder bestimmten Systeme zu spezialisieren.

Die Kriterien orientierten sich an den Vorgaben der Datenschutzkonferenz von Bund und Ländern zur DSGVO und entsprechenden ISO-Normen. Auch wird die Frage behandelt, ob und wie Daten in Drittländer übertragen werden können. Die TÜViT will sich zunächst auf den deutschen Markt konzentrieren. 2020 wurde das Zertifizierungsprogramm und der Kriterienkatalog bei der DAkkS eingereicht, die im Sommer 2021 dafür grünes Licht gab. Anfang Dezember will die NRW-Landesdatenschutzaufsicht zum etwaigen Umfang des geplanten Zertifizierungsprogramms und seinen Prüfkriterien ein erstes Feedback geben.

