Wir berichteten vielfach über „DSGVO-Zertifikate“ gemäß Art. 42 DSGVO. Heute möchten wir über den Weg zum „Europäischen Datenschutzsiegel“ gemäß Art. 42 in Verbindung mit Art. 64 Abs. 2 DSGVO berichten. Der Einfachheit geschuldet, verwenden wir im Folgenden schlicht „DSGVO-Zertifikat“ und „Europäisches Datenschutzsiegel“.
Das „Europäische Datenschutzsiegel“
Doch zunächst einmal, was ist überhaupt der Unterschied zwischen einem „DSGVO-Zertifikat“ und einem „Europäischen Datenschutzsiegel“? Und was ist überhaupt der Sinn und Zweck, speziell eines „Europäischen Gütesiegels“.
Die DSGVO sieht in Art. 42 Abs. 1 die Einführung von datenschutzspezifischen Zertifizierungsverfahren vor. Diese dienen als ein Faktor für den Nachweis der Erfüllung der Pflichten zur Umsetzung/Ergreifen (1) geeigneter technischer und organisatorischer Maßnahmen gem. Art. 24 Abs. 1,3; Art. 25; Art. 32 Abs 1,3 DSGVO sowie (2) hinreichender Garantien i. S. d. Art. 28 Abs. 1,4 DSGVO, vgl. Rn. 12. (hier). Im Grunde handelt es sich bei beiden Zertifikaten um einen Faktor, mit dem belegt werden kann, dass die zertifizierten IT-Verarbeitungsvorgänge den Anforderungen der DSGVO entsprechen.
Der Unterschied der Gütesiegel ergibt sich aus der rechtlichen Wirkung. Ein nationales „DSGVO-Zertifikat“ wird von nationalen Behörden, in dessen Land die Akkreditierung des DSGVO-Zertifikates erfolgte, anerkannt. Die Behörden anderer EU-Mitgliedstaaten können so ein Zertifikat anerkennen – müssen sie jedoch nicht. Ein „Europäisches Datenschutzsiegel“ hat hingegen das Potenzial, im gesamten europäischen Raum seine Wirksamkeit zu entfalten.
Ein aktuelles Problem ist die Übermittlung personenbezogener Daten in Drittstaaten, bei denen kein Angemessenheitsbeschluss vorliegt. Insbesondere aufgrund der „Schrems II-Rechtsprechung“ des EuGH herrscht bei vielen Unternehmen Rechtsunsicherheit. „DSGVO-Zertifikate“ und „Europäische Datenschutzsiegel“ haben das Potenzial das Vorliegen geeigneter Garantien bei der Übermittlung personenbezogener Daten in Drittstaaten nachzuweisen, vgl. Art. 42 Abs. 2 in Verbindung mit Art. 46 Abs. 2 lit. f DSGVO. Auch die Enquete-Kommission Künstliche Intelligenz des Bundestag weist in ihrem vorläufigen Abschlussbericht vom 28.10.2020 (hier) auf den Nutzen von Zertifizierungen bei bestehender Rechtsunsicherheit hin, vgl. Rn. 5.7..
Erfolgt z. B. der Nachweis geeigneter Garantien durch ein „Europäisches Datenschutzsiegel“, sind diese aufgrund der Wirksamkeit des Siegels in allen Mitgliedstaaten der EU wirksam. Näheres zur Verfahrensbeteiligung der Mitgliedstaaten im Verfahrensschritt der Zulässigkeit (s. u.).
Verfahrensschritte zum „Europäischen Datenschutzsiegel“
Für ein „Europäisches Datenschutzsiegel“ ist es erforderlich, dass im letzten Schritt der Akkreditierung des Zertifizierungsprogramms, der Europäische Datenschutz-Ausschuss (EDSA) die EU-weiten Zertifizierungskriterien mit einer positiven Stellungnahme nach Artikel 64 Absatz 2 DSGVO annimmt, vgl. Art. 42 Abs. 5 DSGVO. Die dafür im Vorfeld notwendigen Verfahrensabläufe, insbesondere zur Zusammenarbeit mit anderen Behörden (gemeinsames Verfahren), hat der EDSA im EDSA-Dokument über das zu einer gemeinsamen Zertifizierung („Europäisches Datenschutzsiegel“) führende Verfahren zur Genehmigung von Zertifizierungskriterien durch den EDSA vom 28.01.2020 veröffentlicht. Die Veröffentlichung liegt zwar schon etwas zurück – es lohnt sich allerdings dieses Papier etwas genauer zu betrachten. Das Verfahren ist in mehrere Phasen eingeteilt: Vorlage, Zulässigkeit und im letzten Schritt die entscheidende Annahme durch den EDSA.
Vorlage
Zur Vorlage sind vom Programmeigner die EU-weiten Zertifizierungskriterien zunächst bei der für den Sitz des Programmeigners zuständigen Aufsichtsbehörde einzureichen, unter Vorbehalt spezialgesetzlicher Regelungen ist das in Deutschland in der Regel die jeweilige Landesaufsichtsbehörde. Im zweiten Schritt werden die EU-weiten Zertifizierungskriterien bei der Aufsichtsbehörde, die für den Sitz einer das Zertifizierungsverfahren durchführenden Zertifizierungsstelle zuständig ist, in Deutschland die Deutsche Akkreditierungsstelle (DAkkS), eingereicht.
Die Aufsichtsbehörden der Mitgliedstaaten können unter bestimmten Voraussetzungen auch Programmeigner sein, die eigene EU-weite Zertifizierungskriterien erarbeiten.
Zulässigkeit
Vor der direkten Einbeziehung des EDSA überprüft die für den Sitz des Programmeigners zuständige Aufsichtsbehörde, ob die eingereichten Zertifizierungskriterien den in der DSGVO festgelegten Anforderungen an EU-weite Zertifizierungskriterien entsprechen. Die Prüfung erfolgt anhand einer vom EDSA veröffentlichten Vorlage für die Bewertung von Zertifizierungskriterien, sowohl für den nationalen als auch für den europäischen Teil. Sind nach Auffassung der zuständigen Aufsichtsbehörde die Anforderungen erfüllt, beginnt die nächste Verfahrensphase: Ein informelles, gemeinsames Verfahren zur Bewertung der Kriterien.
Die für den Sitz des Programmeigners zuständige Aufsichtsbehörde muss bei der inhaltlichen Bewertung der Kriterien freiwillige Unterstützung erhalten. Diese erfolgt durch maximal zwei Co-Reviewer, die beim EDSA angefragt werden. Diese werden wiederum durch Sachverständige unterstützt. Dabei stehen die technischen Anforderungen der Zertifizierungskriterien im Vordergrund. Im Anschluss leitet die zuständige Aufsichtsbehörde die vorgeschlagenen Kriterien an die Aufsichtsbehörden der anderen Mitgliedstaaten weiter, die sich innerhalb von 30 Tagen dazu äußern müssen. Das Sekretariat des EDSA kann bei der Kommunikation unterstützend tätig werden. Es wird hauptsächlich überprüft, ob die Kriterien mit den nationalen Rechtsvorschriften vereinbar sind.
Wichtige oder strittige Fragen können einer zuständigen Untergruppe des EDSA, eine Expertengruppe, die den EDSA bei der Erfüllung seiner Aufgaben unterstützt, zur Diskussion vorgelegt werden.
Bei Untätigbleiben der Aufsichtsbehörden der anderen Mitgliedstaaten wird bzgl. der Kriterien die nächste Verfahrensphase eingeleitet. Der Programmeigner hat sich an dem Verfahren zu beteiligen und bekommt die Gelegenheit, sich zu äußern und seine Kriterien entsprechend nachzubessern. Nun kann die für den Sitz des Programmeigner zuständige Aufsichtsbehörde in Absprache mit dem Programmeigner entscheiden, ob die ggf. nachgebesserten Zertifizierungskriterien dem EDSA gemäß Art. 63 DSGVO zur Annahme mittels einer förmlichen Vorlage, vorgelegt werden. Entscheidet sich die Aufsichtsbehörde dagegen, ist das Verfahren beendet.
Annahme
Im letzten Schritt erfolgt die Annahme einer Stellungnahme nach Artikel 64 Absatz 2 DSGVO. Dafür überprüft das Sekretariat des EDSA, ob alle erforderlichen Dokumente von der zuständigen Aufsichtsbehörde vorgelegt wurden. Die Dokumente werden über die IMI-Plattform (Binnenmarkt-Informationssystem), ein mehrsprachiges Online-Tool der EU, das zum Informationsaustausch der Behörden untereinander dient, eingereicht.
Grundsätzlich sind die Dokumente in der Landessprache der zuständigen Aufsichtsbehörde und in Englisch vorzulegen. Anschließend leitet das Sekretariat des EDSA die Akte an die Mitglieder des EDSA weiter. Das Sekretariat des EDSA erarbeitet nun die dem EDSA zur Abstimmung vorzulegenden Stellungnahmen-Entwürfe. Zur Unterstützung können ggf. Berichterstatter und Mitglieder der Fachgruppen oder andere Untergruppen des EDSA sowie Sachverständige hinzugezogen werden. Das Sekretariat prüft die Kriterien sowie die eingereichten Dokumente und erstellt ggf. mit Unterstützung eines Entwurfsteams den Stellungnahmen-Entwurf. Bei der Prüfung werden insbesondere thematisch relevante Feststellungen, die in vorherigen Stellungsnahmen des EDSA getroffen wurden, berücksichtigt.
Für die Erteilung eines „Europäischen Datenschutzsiegel“ muss die für den Sitz des Programmeigners zuständige Aufsichtsbehörde gemäß Art. 64 Abs. 2 DSGVO die Stellungnahme zu einer Angelegenheit mit Auswirkungen in mehr als einem Mitgliedstaat beantragen. Die Annahme einer Stellungnahme richtet sich nach Art. 10 der Geschäftsordnung des EDSA. Mit der Ablehnung bzw. Annahme des eingereichten Antrags zur Genehmigung der Zertifizierungskriterien durch den EDSA endet das Genehmigungsverfahren. Genehmigt der EDSA die zum „Europäischen Datenschutzsiegel“ führenden Zertifizierungskriterien, so müssen diese gemäß Art. 42 Abs. 8 DSGVO in geeigneter Weise veröffentlicht und in einem öffentlichen Register (vermutlich hier) aufgenommen werden.
Fazit
Die Vorteile eines „Europäischen Datenschutzsiegels“ liegen auf der Hand: Transparenz und Vertrauen für Verbraucher und Unternehmen in die DSGVO-Konformität des zertifizierten Datenverarbeitungsvorgangs – und das europaweit. Das bedeutet Wettbewerbsvorteile, Rechtssicherheit und ein besseres Image, insbesondere für Unternehmen – europaweit.
Das aufgezeigte gemeinsam abgestimmte Genehmigungsverfahren zwischen der für den Sitz des Programmeigners zuständigen Aufsichtsbehörde, den Aufsichtsbehörden der anderen Mitgliedstaaten und dem EDSA verlangsamt den gesamten Genehmigungsprozess, sodass es bis zur Genehmigung eines „Europäischen Datenschutzsiegels“ vermutlich noch einige Zeit dauert. Durch die Zusammenarbeit wird jedoch eine gewisse Rechtssicherheit, Bestand und Gültigkeit eines solchen Zertifikates gewährleistet, und darauf kommt es schließlich bei Zertifikaten an. Das bedeutet für die Zertifikatsinhaber, die Aufsichtsbehörden sowie die Zertifizierungsstellen einen echten Mehrwert im Sinne des Datenschutzes.
Weitere Informationen zum DSGVO-Zertifikat finden Sie hier.
Autorin: Stefanie Bedürftig