Kernpunkte:
- Akkreditierungsregeln und Zusammenarbeit im AK Zertifizierung
- Stand der Zertifizierung beim ULD
9 Zertifizierung: Audit und Gütesiegel
9.1 Akkreditierungsregeln
und Zusammenarbeit im AK Zertifizierung
Das ULD hat auf Wunsch der Datenschutzkonferenz weiterhin den Arbeitskreis Zertifizierung (AK Zertifizierung) der Datenschutzaufsichtsbehörden in Deutschland geleitet. Kernaufgabe 2019 war es, zusammen mit der Deutschen Akkreditierungsstelle GmbH (DAkkS) das Akkreditierungswesen nach Artikel 42 und Artikel 43 DSGVO aufzubauen und in Betrieb zu nehmen. Hierzu hatte der AK Zertifizierung schon 2018 Akkreditierungskriterien erarbeitet, die von der Datenschutzkonferenz auch im August 2018 angenommen worden waren (37. TB, Tz. 9.1.2). Diese müssen nach Art. 64 Abs. 1 Buchst. c DSGVO dem Europäischen Datenschutzausschuss zur Stellungnahme übermittelt werden.
Leider waren unsere Bemühungen 2019 diesbezüglich nicht erfolgreich: Aufgrund noch fehlender Grundlagenpapiere auf europäischer Ebene wurden wir mehrfach vom Sekretariat des Ausschusses gebeten, diesen Antrag zurückzunehmen bzw. ruhen zu lassen. Als dann im Herbst 2019 die vollständigen grundlegenden Unterlagen des Ausschusses vorlagen, ergab sich ein kleiner Änderungsbedarf an unseren Akkreditierungskriterien. Die Datenschutzkonferenz gab daher dem AK Zertifizierung den Auftrag, diese Änderungen vorzunehmen. Es ist geplant, Anfang 2020 die neuen Akkreditierungskriterien beim Ausschuss einzureichen, sodass in der Folge Akkreditierungen vorgenommen werden können.
Weiterhin unklar ist in diesem Zusammenhang, wie viele Anträge auf Akkreditierung nach Art. 43 DSGVO in Verbindung mit § 39 BDSG (37. TB, Tz. 9.1.3) und auf Genehmigung von Kriterienkatalogen auf das ULD zukommen werden. Dieses Problem haben auch die anderen Bundesländer, sodass der AK Zertifizierung eine Kooperationsvereinbarung zwischen allen Aufsichtsbehörden und auch der DAkkS entworfen hat, die eine gegenseitige Unterstützung ermöglichen soll. Auch beinhaltet diese Vereinbarung Verfahrensabstimmungen zwischen den Datenschutzaufsichtsbehörden und der DAkkS. Diese Vereinbarung soll ebenfalls Anfang 2020 den Datenschutzaufsichtsbehörden zur Verabschiedung vorgelegt werden.
Was
ist zu tun?
Sobald die endgültigen Kriterien für
Akkreditierungen vorliegen, wird das ULD entsprechende Anträge aus Schleswig-Holstein
zusammen mit der DAkkS bearbeiten.
9.2 Stand der Zertifizierung beim ULD
Das ULD kann nach Art. 42 Abs. 5 Satz 1 DSGVO selbst Zertifizierungen vornehmen. Nach den Erfahrungen der vergangenen Jahre mit Datenschutzaudit und Datenschutz-Gütesiegel planen wir weiterhin von diesem Recht Gebrauch zu machen. Die Erarbeitung eines entsprechenden Kriterienkatalogs wurde zunächst unterbrochen, bis vonseiten des Europäischen Datenschutzausschusses die nötigen Informationen vorliegen. Auch beschäftigte sich 2019 ein Unterarbeitskreis „Prüfkriterien“ des AK Zertifizierung, in dem wir mitwirken, mit der Zusammenstellung von Vorgaben für entsprechende Zertifizierungsprogramme und Kriterien. Dessen Ergebnisse werden wir aufgreifen. Geplant ist dann, dass wir die Prüfungen und Zertifizierungen selbst vornehmen und nicht mehr, wie es noch beim Datenschutz-Gütesiegel bis 2018 der Fall war (37. TB, Tz. 9.2.2 und 9.2.3), die Prüfung von Gutachtern in eigener Verantwortung durchgeführt wird. Die Zertifizierung des ULD kann insbesondere ein Angebot für Antragsteller aus der öffentlichen Verwaltung in Schleswig-Holstein sein, die ihre Verarbeitungen nachweisbar konform zu den datenschutzrechtlichen Regelungen umgesetzt haben.
Was
ist zu tun?
Das ULD wird ein
Zertifizierungsprogramm erarbeiten und Kriterien für die Zertifizierung
aufstellen.
| Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |
