09

Kernpunkte:

  • Leitung Arbeitskreis Zertifizierung
  • Prüfkriterienkatalog
  • Eigene Zertifizierung des ULD

9    Zertifizierung und Akkreditierung

Seit Mai 2018 sind die Regelungen der DSGVO zu Akkreditierung und Zertifizierung in Kraft getreten, doch noch fehlt es an Akkreditierungen von Zertifizierungsstellen in Europa. Inzwischen wurden aber die notwendigen Voraussetzungen beim Europäischen Datenschutzausschuss geschaffen, sodass erste Verfahren zur Genehmigung von Kriterienkatalogen als Voraussetzung für Akkreditierungen gestartet wurden. Die notwendigen Prozesse begleiten wir als Leitung des Arbeitskreises Zertifizierung der deutschen Aufsichtsbehörden (Tz. 9.1). Insbesondere wurde ein Prüfkriterienkatalog verabschiedet, der es Antragstellern und Aufsichtsbehörden erlaubt, einheitliche Maßstäbe an Kriterienkataloge bzw. Zertifizierungsprogramme anzulegen (Tz. 9.2). Auch die europäische Ebene (siehe auch Kap. 11) spielt für das einheitliche Verständnis einer Zertifizierung nach der DSGVO eine wesentliche Rolle (Tz. 9.3). All dies berücksichtigen wir für die Möglichkeit, ein eigenes Zertifizierungsverfahren anzubieten (Tz. 9.4).

9.1          Leitung des AK Zertifizierung

Schon seit einigen Jahren leitet das ULD den Arbeitskreis (AK) Zertifizierung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Nachdem im Jahr 2020 die deutschen Akkreditierungskriterien finalisiert und veröffentlicht wurden (39. TB, Tz. 9.3), begannen 2021 die ersten echten Genehmigungsverfahren für Kriterienkataloge als Vorbereitung von Akkreditierungen. Um einen einheitlichen Bewertungsmaßstab in Deutschland zu erreichen, wurde insbesondere ein Prüfkriterienpapier entwickelt (Tz. 9.2).

Auch im Berichtsjahr arbeitete der AK Zertifizierung eng mit der Deutschen Akkreditierungsstelle GmbH (DAkkS) zusammen. Während die Aufsichtsbehörden die Genehmigung von Kriterienkatalogen vornehmen, betreibt die DAkkS das eigentliche Akkreditierungsverfahren in Kooperation mit den Datenschutzaufsichtsbehörden.

Fünf Sitzungen des AK Zertifizierung wurden von uns organisiert, die pandemiebedingt als Videokonferenzen stattfanden. Zu den Schwerpunktthemen gehörten die laufenden Genehmigungsverfahren von Kriterienkatalogen in mehreren Bundesländern.

Was ist zu tun?
Auch 2022 wird das ULD die Leitung des AK Zertifizierung fortsetzen. Neben dem Abgleich mit europäischen Entwicklungen werden die laufenden Genehmigungs- und Akkreditierungsverfahren Hauptthema sein.

9.2          Prüfkriterienkatalog

Im Frühjahr 2021 hat die DSK das Papier „Anforderungen an datenschutzrechtliche Zertifizierungsprogramme – Datenschutzrechtliche Prüfkriterien, Prüfsystematik und Prüfmethoden zur Anpassung und Anwendung der technischen Norm DIN EN ISO/IEC 17067 (Programmtyp 6) verabschiedet, das der Unterarbeitskreis Prüfkriterien des AK Zertifizierung entwickelt hat. Dieses Papier erweitert die europäischen Vorgaben für Zertifizierungsprogramme und war notwendig, um eine einheitliche Bewertung in Deutschland sicherzustellen. Auch potenzielle Zertifizierungsstellen können sich für ihre Anträge an diesem Papier orientieren.

Maßgebliche Quellen für das Papier waren die Vorgaben aus Artikel 43 DSGVO, die Leitlinien des EDSA, die Normen ISO/IEC 17065 und ISO/IEC 17067 und das Ergänzungspapier der DSK gemäß Art. 43 Abs. 3 i. V. m. DIN EN ISO/IEC 17065 für Zertifizierungsstellen, die im Rahmen der Akkreditierung durch die DAkkS im Einvernehmen mit den zuständigen unabhängigen Datenschutzaufsichtsbehörden geprüft werden. Zentraler Teil ist das Kapitel 2, in dem für wichtige Normen der DSGVO die Erwartungen an ein Zertifizierungsprogramm beschrieben werden. Drei Bereiche werden jeweils dargestellt:

  • die gesetzlichen Tatbestandsmerkmale,
  • in den Zertifizierungskriterien die zu behandelnden Prüfthemen und deren Umsetzung durch die Kunden der Zertifizierungsstelle und
  • die Art und Weise der Prüfung der Umsetzung durch die Zertifizierungsstelle.

Das Papier ist unter dem folgenden Link abrufbar:

https://www.datenschutzkonferenz-online.de/media/ah/DSK_Anwendungshinweis_Zertifizierungskriterien.pdf [Extern]
Kurzlink: https://uldsh.de/tb40-9-2

Was ist zu tun?
Bis zur ersten DSK-Sitzung im Frühjahr 2022 soll eine Evaluation des Papiers erfolgen. Diese wird vom Unterarbeitskreis Prüfkriterien vorbereitet. Zusätzlich werden auch weitere Normen der DSGVO in das Kapitel 2 nach dem vorgestellten Muster aufgenommen.

 

9.3          Akkreditierung und Zertifizierung in der europäischen Expert Subgroup

Auf europäischer Ebene werden Akkreditierung und Zertifizierung in der „Compliance, eGovernment und Health Expert Subgroup“ (CEH Expert Subgroup) behandelt, in der wir mitwirken. Hierbei handelt es sich quasi um eine parallele Arbeitsgruppe zu unserem nationalen AK Zertifizierung, die zahlreiche Dokumente, Grundsatzentscheidungen und insbesondere Stellunnahmen zu Kriterien vorbereitet. Unter anderem wurde im Berichtszeitraum die Leitlinie „Guidance on certification criteria assessment (Addendum to Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation)“ entwickelt, die wiederum Einfluss auf das Prüfkriterienpapier in Deutschland hatte (siehe Tz. 9.2). Auch konnten wir uns in die Bewertung von ersten Zertifizierungskriterien anderer Mitgliedstaaten einbringen und darüber wichtige Erkenntnisse für die Verfahren der Antragsteller in Deutschland gewinnen.

Die Leitlinien 1/2018 für die Zertifizierung und Ermittlung von Zertifizierungskriterien nach den Artikeln 42 und 43 der Verordnung (EU) 2016/679 können über folgenden Link abgerufen werden:

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying_de
Kurzlink: https://uldsh.de/tb40-9-3a

Die Leitlinie „Guidance on certification criteria assessment“ steht hier zur Verfügung:

https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidance-certification-criteria-assessment_de
Kurzlink: https://uldsh.de/tb40-9-3b

Was ist zu tun?
Das Engagement in Europa für den Austausch zu Akkreditierungs- und Zertifizierungsvorgaben und kritischen Stellungnahmen ist fortzusetzen.

 

9.4          Planung eigener Zertifizierungen des ULD

Auch im Jahr 2021 haben uns einige Anfragen erreicht, ob in Zukunft Zertifizierungen, vergleichbar mit dem früheren Datenschutz-Gütesiegel Schleswig-Holstein des ULD, vorgenommen werden können. Erste Vorbereitungen für einen eigenen Zertifizierungskatalog basierend auf unseren Kriterien bis 2018 hatten wir zurückgestellt, da sich abzeichnete, dass noch Vorgaben von europäischer Seite fehlten und zunächst hierauf beruhende nationale Akkreditierungskriterien und Vorgaben für Prüfkriterien verabschiedet werden mussten. Diese Schritte sind nun abgeschlossen, sodass wir unsere ursprüngliche Planung wieder aufnehmen wollen.

Parallel beobachten wir die Stellungnahmeverfahren des Europäischen Datenschutzausschusses zu Kriterienkatalogen privater Anbieter. Wichtig ist uns, nicht in Konkurrenz zu privaten akkreditierten Anbietern zu treten, sondern aus unseren eigenen Kompetenzen ein ergänzendes Angebot für öffentliche Stellen in Schleswig-Holstein zu erarbeiten. Im Rahmen unserer gesetzlich geregelten Aufgaben in der DSGVO und dem LDSG müssen wir auch die Verhältnismäßigkeit und Effektivität des zu entwickelnden Angebots im Blick behalten. Private Antragsteller (auch von außerhalb von Schleswig-Holstein), die noch bis Mai 2018 das Datenschutz-Gütesiegel Schleswig-Holstein verliehen bekommen konnten, müssen wir dann an akkreditierte private Zertifizierungsstellen verweisen.

Was ist zu tun?
Für ein Zertifizierungsangebot muss ein Kriterienkatalog entwickelt werden, der den Vorgaben für einen deutschen Prüfkriterienkatalog sowie den europäischen Vorgaben entspricht. Dazu ist ein Zertifizierungsprogramm zu erstellen, das u. a. das Prüfungsverfahren beschreibt. Dabei sind die Entwicklungen in Deutschland und Europa zu beobachten und in diesem Zusammenhang kritisch zu hinterfragen, welches Zertifizierungsangebot tatsächlich mit den zur Verfügung stehenden Ressourcen realisierbar ist.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel