In eigener Sache: Lange haben wir auf diesen Moment im Genehmigungsprozess zur DSGVO-Zertifizierungsstelle hingearbeitet. Und nun liegt sie vor: Die Opinion 26 des Europäischen Datenschutz-Ausschusses (EDSA) zum Zertifizierungsstandard „DSGVO – information privacy standard“ der datenschutz cert GmbH.
Die Opinion im vollen Wortlaut: „Opinion 26/2024 on the draft decision of the DE Bremen Supervisory Authority regarding the „Catalogue of Criteria for the Certification of IT-supported processing of Personal Data pursuant to art 42 GDPR (‘GDPR – information privacy standard’)“ presented by datenschutz cert GmbH, Adopted on 2 December 2024“. Die Opinion ist auf den Seiten des EDSA (European Data Protection Board – EDPB) verfügbar.
Worum geht es?
Die Europäische Datenschutzgrundverordnung (DSGVO) sieht in Art. 42 Abs. 1 die Einführung von datenschutzspezifischen Zertifizierungsverfahren vor, „die dazu dienen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.“ Die allgemeinen Pflichten an Verantwortliche und Auftragsverarbeiter werden ferner in Art. 24 bzw. Art 28 DSGVO definiert; in diesen Artikeln wird auch ausgeführt, dass ein „genehmigtes Zertifizierungsverfahren gem. Artikel 42“ als „Gesichtspunkt herangezogen werden [kann], um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen“ bzw. „als Faktor herangezogen werden [kann], um hinreichende Garantien“ des Auftragsverarbeiters nachzuweisen.
Kurzum, solche Zertifizierungsverfahren sollen das Leben leichter machen. Doch wie funktioniert das?
Der „Fahrplan“, was zu tun ist, geht aus Art. 42 und 43 DSGVO hervor: eine Zertifizierung erfolgt nach Kriterien, die von der zuständigen Datenschutz-Aufsichtsbehörde und dem Europäischen Datenschutz-Ausschuss genehmigt werden. Und Zertifizierungsstellen werden durch eine Akkreditierungsstelle akkreditiert sowie durch die zuständige Datenschutz-Aufsichtsbehörde befugt.
Deshalb haben wir – die datenschutz cert GmbH – ein Konformitätsbewertungsprogramm zur Zertifizierung von Datenverarbeitungsvorgängen sowie einen Kriterienkatalog erstellt. Dieser Kriterienkatalog muss von den zuständigen Datenschutz-Aufsichtsbehörden genehmigt werden – und das sind in Europa einige …
Fast am Ziel
Auf jeden Fall hat dieser Genehmigungsprozess mit der Opinion 26/2024 seinen vorläufigen Höhepunkt erreicht. Im nächsten Schritt werden die Empfehlungen des Ausschusses noch umgesetzt, damit die für uns zuständige Aufsichtsbehörde dann die Kriterien abschließend genehmigen kann. Damit steht unser Zertifizierungsstandard „DSGVO – information privacy standard“ kurz vor der Genehmigung.
Freuen Sie sich schon jetzt auf eine neue Ära der Datenschutz-Zertifizierung. Mit dem Zertifizierungsstandard „DSGVO – information privacy standard“ können Datenverarbeitungsvorgängen bei Verantwortlichen als auch Auftragsverarbeitern gem. DSGVO zertifiziert werden – in verschiedenen Branchen, Bereichen oder Sektoren, wie beispielsweise:
- Banken und Versicherungen
- Energie- und Wasserversorgung
- Gesundheits- und Sozialwesen
- Industrie und Handel
- Marketing und Werbung
- EDV, Informationstechnologie und Telekommunikation
- Institute und Verbände
- Kultureinrichtungen
- Öffentliche Stellen und öffentliche Verwaltung
- Transport, Verkehr und Logistik
- Schule, Bildung und Wissenschaft
- Ernährung
Typische Vorteile für ein DSGVO-Zertifikat sind dabei:
- Nachweis zur Einhaltung der DSGVO
- Unterstützung bei der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO
- besserer Datenschutz
- Voraussetzung bei Ausschreibungen
- besseres Image/ Marketingeffekt
- Marktzutrittsvoraussetzung
- Haftungsreduzierung
- Reduktion/ Rückstellung von Geldbußen
- Vorlage bei Aufsichtsbehörden
- Wettbewerbsvorteile durch guten Datenschutz
Den Kriterienkatalog zu „DSGVO – information privacy standard“ werden wir kostenlos zur Verfügung stellen.
Stay tuned.