Zertifikate und Datenschutz-Siegel

Neben den oben beschriebenen häufig langen Dokumenten können auch Zertifizierungen und Datenschutzsiegel ein Mittel der Kommunikation sein. Sie erlauben es den Betroffenen auf einen Blick die Übereinstimmung eines Angebotes mit den Kriterien des Siegelanbieters zu prüfen und somit Vertrauen zu erwecken. Hierfür muss der Zertifizierung allerdings ein transparenter und umfangreicher Prüfungsprozess vorausgegangen sein, und die betreffende Zertifizierung bzw. das Siegel muss unter den Betroffenen bekannt sein. Die Stiftung Datenschutz bietet auf ihrer Internetseite aber einen umfangreichen Überblick zu momentan 32 Anbietern von Zertifizierungen und Gütesiegeln an.

Erstmals kommen den Zertifizierungen und Gütesiegeln mit der DSGVO auch rechtliche Wirkungen zu. Die Zertifizierungen sind hierfür nach Art. 42 Abs. 5 DSGVO durch eine Aufsichtsbehörde zu genehmigen. Hieraus wird dann eine europaweite und zu veröffentlichende Liste durch den Europäischen Datenschutzausschuss zu erstellen sein (Art. 42 Abs. 8 DSGVO).

Verfahren

Neu sind zahlreiche formelle Vorgaben für die Zertifizierung. Diese muss für das Eintreten rechtlicher Wirkungen nicht nur in oben beschriebener Weise staatlich anerkannt sein, sondern auch spätestens alle drei Jahre wiederholt werden (Art. 42 Abs. 7 DSGVO). Art. 42 Abs. 6 DSGVO stellt klar, dass eine umfangreiche Mitwirkung des zu zertifizierenden Verantwortlichen erforderlich ist. Praktisch ist die Durchführung eines Zertifizierungsverfahrens anders auch gar nicht denkbar. Auch der Zeitraum dürfte die obiger Übersicht zu entnehmenden etablierten Anbieter vor keine größeren Umsetzungsprobleme stellen.

Inhaltliche Anforderungen

Die unter der DSGVO genehmigten Zertifikate belegen aus inhaltlicher Sicht gem. Art. 42 Abs. 1 S. 1 DSGVO die Einhaltung der Vorgaben des europäischen Datenschutzrechts. Eine darüber hinaus gehende Prüfung höherer Datenschutzstandards wird in diesem Verfahren bisher nicht für möglich gehalten. Letzten Endes belegt ein genehmigtes Zertifikat somit nur die Einhaltung der ohnehin zu beachtenden rechtlichen Mindestfristen. Die Zukunft der oben genannten Zertifikate bleibt dabei abzuwarten. Freilich ist es auch nicht undenkbar, dass über die unter der DSGVO vorgeschriebene Zertifizierung hinaus andere Zertifikate am Markt so etabliert werden, dass auch ohne eine Genehmigung Wettbewerbseffekte und gestärktes Vertrauen entstehen können.

Verwendung in der Datenschutzkommunikation

Die Zertifizierung kann wie auch andere Formen der unabhängigen Bewertung von Datenschutz Teil der Kommunikationsstrategie sein. Dem Betroffenen können diese als Anhaltspunkt für ihr Nutzungsverhalten und ihren datenschutzbezogenen Selbstschutz dienen. Sie geben schnell und auf einen Blick Orientierung und eignen sich damit aus Sicht der Verantwortlichen Stelle als Werbewerkzeug und können Nachfrage und damit Wettbewerbsvorteile generieren. Abhängig von den konkreten Anforderungen an die Verantwortliche Stelle käme auch immer eine Kombination mit den weiteren vorgestellten Instrumenten in Betracht.