Datenschutzzertifizierung

Von 2013 bis 2016 war die Stiftung Datenschutz an der Entwicklung des "Trusted Cloud Datenschutz-Profil für Cloud-Dienste" (TCDP) beteiligt. Es war der erste und einzige Prüfstandard, der die Anforderungen des alten Bundesdatenschutzgesetzes an die Auftragsdatenverarbeitung vollständig abbildete. Mit einer TCDP-Zertifizierung konnte nachgewiesen werden, dass ein Dienst die gesetzlichen Datenschutzanforderungen erfüllt. Anbieter von Prüfungen und Zertifizierungen konnten sich akkreditieren lassen und dann Dienste nach den Regeln der Verfahrensordnung prüfen und zertifizieren.

In dem Projekt Auditor wird seit Ende 2017 das Trusted Cloud Datenschutzprofil an die aktuellen europäischen Vorgaben angepasst. Dabei wird eine Anerkennung durch den Europäischen Datenschutz-Ausschuss nach Art. 42 Abs. 5 DSGVO angestrebt. Die Stiftung Datenschutz berät das den Standard ausarbeitende Konsortium.

Der neu zu erarbeitende Zertifizierungsstandard wird eine Überleitung von TCDP-Zertifikaten aufgrund einer Übergangszertifizierung zulassen, so dass erteilte TCDP-Zertifikate nach erfolgreichem Durchlaufen des entsprechenden Prüfverfahrens im Rahmen ihrer ordentlichen Gültigkeitsdauer weitergelten. Sobald die Übergangszertifizierung geschaffen ist, erlöschen die nach TCDP 0.9 und TCDP 1.0 erteilten Zertifikate, wenn ihre Inhaber nicht ein Zertifizierungsverfahren nach dem DSGVO-konformen Standard beantragen.

Da sowohl die TCDP-Kriterien als auch deren Fortschreibung im Auditor-Projekt auf die datenschutzbezogene Zertifizierung von Cloud-Dienstleistungen fokussiert sind, wäre eine Ausweitung hin zu einem sektorübergreifenden allgemeinen Datenschutzzertifizierungsschema denkbar. Im Ergebnis sollte jedenfalls ein marktfähiger Standard entstehen, der in der zertifizierungs-bereiten Wirtschaft auf konkretes Interesse stößt. Dies ist insofern unabdingbare Voraussetzung für den Erfolg, als dass Anforderungen, die an Erwartungen und Bereitschaft der Praxis vorbeigehen, nicht genug nachgefragt würden.

Nach der seit dem 25. Mai 2018 anzuwendenden EU-Datenschutzgrundverordnung (DSGVO) gelten für Zertifizierungsstellen im Datenschutz neue Anforderungen. Für Zertifizierungen im Datenschutzrecht zur Bestätigung der Konformität eines Datenverarbeitungsvorganges mit der DSGVO bedarf es einer Akkreditierung der Deutschen Zertifizierungsstelle (DAkkS). Die Kriterien dafür werden von der zuständigen Landesdatenschutzbehörde oder von dem Europäischer Datenschutzausschuss gemäß Art. 63/64 DSGVO genehmigt. Da die DAkkS bislang (Stand: März 2021) noch keine privaten Zertifizierungsstellen akkreditiert hat, gibt es aktuell am Markt noch keine Konformitätsbewertungsaussagen/Zertifikate, die eine Konformität mit den Anforderungen der DSGVO bestätigen.

Aus der DSGVO wachsen den Aufsichtsbehörden verschiedene Aufgaben zu. So muss jede Behörde in ihrem Bundesland

• die Einführung von Datenschutzzertifizierungsmechanismen / Datenschutzsiegeln / Datenschutzprüfzeichen anregen (Art. 57 Abs. 1 lit. n)
• die Einführung von datenschutzspezifischen Zertifizierungsverfahren fördern (Art. 42 Abs. 1)
• ggf. Zertifizierungskriterien von privaten Zertifizierungsstellen billigen (Art. 57 Abs. 1 lit. n)
• Kriterien für die Akkreditierung privater Zertifizierungsstellen aufstellen (Art. 57 Abs. 1 lit. p)
• ggf. Befugnis erteilen, als private Zertifizierungsstellen tätig werden zu dürfen (Art. 57 Abs. 1 lit. p) DSGVO i.V.m. § 39 S. 1 BDSG-neu)

Grundlage der Befugniserteilung durch die Aufsicht an Zertifizierungsstellen ist deren Akkreditierung durch die Deutsche Akkreditierungsstelle (DAkkS) nach § 39 S. 1 BDSG-neu i.V.m. § 2 Abs. 3 S. 2, § 4 Abs. 3, § 10 Abs. 1 S. 1 Nr. 3 AkkStelleG.

Weiterhin kann jede Behörde in ihrem Bundesland

• Zertifizierungen selbst vornehmen (Art. 42 Abs. 5) und
• eigene oder fremde Zertifikate widerrufen (Art. 42 Abs. 7).

Der Europäische Datenschutzausschuss nimmt von sich aus oder auf Ersuchen der EU-Kommission insbesondere in der Zertifizierung folgende Tätigkeiten wahr:

• Förderung der Einrichtung von datenschutzspezifischen Zertifizierungsverfahren sowie Datenschutzsiegeln und -prüfzeichen (Art. 70 Abs. 1 lit. n)
• Genehmigung der Zertifizierungskriterien [alternativ zur nationaler Aufsicht] (Art. 70 Abs. 1 lit. o)
• Genehmigung Anforderungen im Hinblick auf die Akkreditierung von Zertifizierungsstellen [alternativ zur nationaler Aufsicht] (Art. 70 Abs. 1 lit. o)
• Führung eines öffentlichen Registers aller formellen Zertifizierungsverfahren / Datenschutzsiegel / Datenschutzprüfzeichen / in Drittländern niedergelassenen zertifizierten Verantwortlichen oder Auftragsverarbeiter (Art. 70 Abs. 1 lit. o) i.V.m. Art. 42 Abs. 8).