DSGVO-Zertifikate werden kommen, soviel steht fest. Perspektivisch werden sie so selbstverständlich sein wie ISO/IEC 27001-Zertifikate bei Rechenzentren. Sie werden eine wichtige Grundlage für die Datenübermittlung in Drittstaaten sein und sie werden – neben einer Haftungsreduktion – maßgeblich ein Qualitätskriterium für Auftragsverarbeiter darstellen.
Und noch etwas steht heute bereits fest: DSGVO-Zertifikate sind kein rein nationales Thema – im Gegenteil! Sie werden europaweite Gültigkeit, Akzeptanz und Relevanz haben. Mit der Gültigkeit von DSGVO-Zertifikaten befassen wir, die datenschutz cert GmbH, uns in einem Whitepaper, das kostenfrei auf unserer Website zum Download zur Verfügung steht. Die wichtigsten Aspekte über die Gültigkeit von DSGVO-Zertifikaten möchten wir Ihnen in diesem Blogbeitrag erläutern.
Die Frage nach der Gültigkeit scheint auf den ersten Blick komplex …
Mit Einführung der Europäischen Datenschutzgrundverordnung (DSGVO) im April 2018 wurde erstmals ein europaweit einheitlicher gesetzlicher Rahmen für eine Datenschutz-Zertifizierung gesetzt. Dort finden sich entsprechende Regelungen für die Zertifizierung (Art. 42) und die Zertifizierungsstellen (Art. 43).
Nun mehren sich die Zeichen, dass diese DSGVO-Zertifizierungen gemäß Art. 42 DSGVO bald an den Start gehen könnten. Deshalb stellt sich zunehmend die Frage, wo ein solches DSGVO-Zertifikat gültig ist. Kann eine im Mitgliedsland A nach Art. 43 DSGVO akkreditierte Zertifizierungsstelle DSGVO-Zertifikate im Land B ausstellen? Ist ein im Land A ausgestelltes DSGVO-Zertifikat auch im Land C gültig?
Dazu eine Vorbemerkung: Gemäß Art. 42 Abs. 3 DSGVO muss die Zertifizierung freiwillig sein, d. h. es gibt keine gesetzliche Pflicht zur Zertifizierung eines Verarbeitungsvorgangs. Gleichwohl wird an mehreren Stellen in der DSGVO darauf hingewiesen, dass ein solches DSGVO-Zertifikat als „Faktor“ für verschiedene Zwecke herangezogen werden kann. Aus unserer Sicht bietet ein Zertifikat Verantwortlichen und Auftragsverarbeitern eine ganze Reihe von Vorteilen wie eine Haftungsreduzierung, ein Nachweis zur Einhaltung der DSGVO, Imageeffekte, als Unterstützung bei der Rechenschaftspflicht etc.
Zurück zu der Frage, wer ein solches Zertifikat ausstellen kann und wie weitreichend dessen Gültigkeit ist. Der Zulassungsprozess – so viel können wir aus eigener Erfahrung sagen – ist langwierig. Anders als bei anderen Akkreditierungsnormen, hat der Gesetzgeber mit der DSGVO den Akkreditierungsrahmen ISO/IEC 17065 für Produkte und Dienstleistungen vorgegeben. Sowohl das Schema/System, wie geprüft und zertifiziert wird, als auch die Kriterien, deren Einhaltung geprüft und mit dem Zertifikat bestätigt wird, müssen durch einen sog. Programmeigner zunächst entwickelt und abgenommen werden.
Als Programmeigner betätigen sich in diesem Fall Zertifizierungsstellen, wie bspw. die datenschutz cert GmbH, die ein solches Schema mit Kriterien (Kriterienkatalog) entwickeln. Unser DSGVO-Zertifizierungsstandard „information privacy standard“ wurde kürzlich am 02.02.2022 vorläufig angenommen (wir berichteten). Für einen solchen Zertifizierungsstandard können sich dann auch andere Zertifizierungsstellen akkreditieren lassen, die ebenfalls nach diesem Standard prüfen und zertifizieren möchten.
Dabei ist zu beachten, dass Schema und Kriterien (nur) für das jeweilige Land zugelassen werden. Hat ein Programmeigner in Land A ein Schema und Kriterien erstellt, erfolgt die Abnahme durch die Aufsichtsbehörde in Land A. Anschließend sind folgende Szenarien für die Gültigkeit und Akzeptanz denkbar:
- Szenario A: Eine Zertifizierungsstelle in Land A lässt sich nach diesem Schema mit Kriterien akkreditieren und kann Verarbeitungsvorgänge von Verantwortlichen und Auftragsverarbeitern in Land A zertifizieren; es liegt sodann eine volle Akzeptanz und Gültigkeit vor. Die Wirkung des Zertifikates als „Faktor“ wäre hier maximal.
- Szenario B: Eine Zertifizierungsstelle in Land A zertifiziert mit dem gleichen Schema und den dazugehörigen Kriterien einen Verarbeitungsvorgang in Land B. Da die Kriterien für Land B nicht abgenommen sind, fällt hier die Wirkung des Zertifikates als „Faktor“ vermutlich geringer aus.
Nun könnte der Programmeigner sich das Schema und die Kriterien auch für weitere Länder abnehmen lassen. Dann können sich wiederum Zertifizierungsstellen im jeweiligen Land akkreditieren lassen und das Zertifikat hätte auch dort seine volle Gültigkeit. Das klingt aufwendig, aber…
Erleichterung durch ein Europäisches Datenschutzsiegel
Damit nicht alle Programmeigner ihr Schema mit Kriterien in allen EU-Staaten abnehmen lassen müssen, sieht die DSGVO das Europäische Datenschutzsiegel („European Data Protection Seal“) vor (vgl. Art. 42 Abs. 5 DSGVO). Dahinter steckt die Idee, dass Schema und Kriterien vom Europäischen Datenschutz-Ausschuss (EDSA) unter Einbeziehung aller Aufsichtsbehörden der EU geprüft und abgenommen und auf einer Website gelistet werden. Derzeit ist diese Website noch ohne Einträge. Ein Europäisches Datenschutzsiegel wäre länderübergreifend im gesamten EU-Wirtschaftsraum gültig und akzeptiert (mehr zum Europäischen Datenschutzsiegel lesen Sie hier).
Programmeigner haben somit die Möglichkeit, die Gültigkeit ihres Schemas sowie der Kriterien auf alle Länder der EU auszudehnen. Der Prozess für diese Genehmigung ist definiert (vgl. EDSA-Dokument) und sieht eine umfangreiche Stellungnahme der Aufsichtsbehörden der EU-Staaten vor. Dabei nimmt auch die für den Programmeigner „zuständige Aufsichtsbehörde“ eine zentrale Rolle ein.
Wer ist die „zuständige Aufsichtsbehörde“?
Der Begriff „zuständige Aufsichtsbehörde“ bzw. „zuständige Datenschutzaufsichtsbehörde“ taucht an mehreren Stellen in der DSGVO auf, allerdings mit verschiedenen Bedeutungen. Im Kontext der Zertifizierung sind die Regelungen in Art. 43 Abs. 1 lit. a und b jeweils i. V. m. Art. 55 oder 56 sowie Art. 43 Abs. 3 DSGVO maßgebend. Eine ausführliche Auseinandersetzung mit den rechtlichen Grundlagen finden Sie in unserem Whitepaper. Zusammenfassend lässt sich festhalten:
- Eine Aufsichtsbehörde ist stets für ihr jeweiliges Territorium zuständig.
- Eine Zertifizierungsstelle hat vor Erteilung der Zertifizierung diejenige Aufsichtsbehörde zu informieren, die für den Verantwortlichen oder Auftragsverarbeiter zuständig ist, der ein DSGVO-Zertifikat anstrebt.
Im Zusammenhang mit der Benachrichtigung der zuständigen Aufsichtsbehörde gibt es noch einen weiteren Aspekt, der im DSK-Papier „Anforderungen zur Akkreditierung gem. Art. 43 Abs. 3 DS-GVO i. V. m. DIN EN ISO/IEC 17065“ angesprochen wird: „Die zuständige Aufsichtsbehörde ist zu benachrichtigen, bevor eine Zertifizierungsstelle in einem neuen Mitgliedstaat von einem Satellitenbüro aus ein zugelassenes Europäisches Datenschutzgütesiegel in Betrieb nimmt.“ (DSK-Papier, Version 1.4 vom 08.10.2020, S. 11).
Der Begriff „Satellitenbüro“ wird im DSK-Papier nicht näher definiert, gemeint ist aber wohl eine Stelle, die keine zertifizierungskritischen Aktivitäten („non-critical“) durchführt. Beispiel: Eine Zertifizierungsstelle ist akkreditiert in Land A und hat ein Satellitenbüro in Land B, so stammen die Zertifikate nach wie vor von der Zertifizierungsstelle in Land A. Sollen nun auch vom Büro in Land B aus zertifizierungsrelevante Aktivitäten („critical“) ausgeführt werden, so müsste sich die Zertifizierungsstelle auch in Land B akkreditieren lassen und die Befugnis erteilt bekommen (vgl. Art. 43 Abs. 1 lit. b DSGVO). Allerdings: Eine erneute Akkreditierung müsste gleichwohl über die EU-Richtlinie 765/2008 zur Akkreditierungslandschaft nicht erforderlich sein, da sich sonst EU-Richtlinie und -Verordnung entgegenstehen würden. Hier zeigt sich, dass die gesetzlichen Vorgaben und Interpretationen der Börden, nicht nur anspruchsvoll sind, sondern in Teilen auch widersprüchlich oder missverständlich formuliert. Die Frage, welches die „zuständige Aufsichtsbehörde“ für das Satellitenbüro ist, stellt sich womöglich nur in Deutschland mit seinem föderalen System und entsprechenden Landesbeauftragten für den Datenschatz und weniger in anderen Ländern der EU.
Bei einem Europäischen Datenschutzsiegel wäre übrigens die zuständige Aufsichtsbehörde der Europäische Datenschutzausschuss (vgl. Art. 70 Abs. 1 lit. o DSGVO).
Übermittlung personenbezogener Daten in Drittstaaten
Die Übermittlung von personenbezogenen Daten in Drittstaaten stellt Unternehmen immer wieder vor Probleme. Hier müssen geeignete Garantieren vorgelegt werden, die bspw. in einem genehmigten Zertifizierungsmechanismus liegen können (siehe Art. 46 Abs. 2 lit. f DSGVO).
Welche Gültigkeit hätte ein DSGVO-Zertifikat in einem Drittland?
Ein Beispiel: Ein Unternehmen in Land C (Drittland) lässt einen Verarbeitungsvorgang von einer Zertifizierungsstelle in Land A (EU-Mitglied) zertifizieren, deren nationale Kriterien nur für Land A zugelassen sind. Dann beschränkte sich die volle Gültigkeit auf Land A. Falls die Kriterien des Europäischen Datenschutzsiegels angewendet werden, wäre es sogar in der EU vollständig gültig.
Fazit
Ein DSGVO-Zertifikat wird in Zukunft ein wichtiger Faktor sein, sowohl für Auftragsverarbeiter als auch für Verantwortliche. Die Frage, in welchem Land ein solches Zertifikat gültig ist und wer es ausstellen kann, ist dabei natürlich zentral und stellt sich nicht nur innerhalb der EU, sondern auch bei der Datenübermittlung in Drittländer.
Für Programmeigner eines DSGVO-Zertifikates ist es, wie auch in unserem Fall, ein langer Weg bzw. Prozess, den es zu bewältigen gilt. Wir sind jedoch von den Vorteilen überzeugt, insbesondere von der Weiterentwicklung hin zu einem Europäischen Datenschutzsiegel. Über die Fortschritte halten wir Sie hier und in unserem Blog datenschutz notizen auf dem Laufenden.
Autor: Dr. Sönke Maseberg