09

Kernpunkte:

  • Themen der AK Zertifizierung in Deutschland
  • Themen auf europäischer Ebene in der Expert Subgroup
  • Überarbeitung des Prüfkriterienpapiers

 

9    Zertifizierung und Akkreditierung

Bis 2018 hat das ULD selbst Datenschutz-Auditierungen und Zertifizierungen vorgenommen. Diese Expertise haben wir daraufhin auch in unsere Arbeit als Leiter des Arbeitskreises Zertifizierung der deutschen Datenschutzaufsichtsbehörden eingebracht und begleiten seitdem die Verfahren zu Akkreditierungen und Zertifizierungen im Datenschutzbereich in Deutschland und Europa.

 

9.1      Stand der Akkreditierung und Zertifizierung in Deutschland und der EU

Der in den vorherigen Berichtszeiträumen zu beobachtende Trend einer Häufung von Anträgen auf Genehmigung von Zertifizierungskriterien und Akkreditierungen von Zertifizierungsstellen in einzelnen Mitgliedstaaten, wie beispielsweise Deutschland, Luxemburg oder den Niederlanden, bzw. in einzelnen Bundesländern (Nordrhein-Westfalen, Bremen, Berlin) hat sich im abgelaufenen Berichtszeitraum weiter bestätigt.

Die Qualität der durch die zukünftigen Zertifizierungsstellen oder Programmeigner erstellten und eingereichten Zertifizierungsprogramme hat sich im abgelaufenen Berichtszeitraum zum Teil nochmals verbessert. Dennoch bleiben die Herausforderungen für alle Beteiligten aufgrund der anspruchsvollen Thematik und der Mehrstufigkeit des zu durchlaufenden Verfahrens sehr komplex und zeitintensiv. Hierbei prüfen die Deutsche Akkreditierungsstelle (DAkkS) und die jeweils zuständige Datenschutzaufsichtsbehörde die eingereichten Kriterienkataloge als Teil der Zertifizierungsprogramme zunächst auf ihre Anwendbarkeit und Eignung. Daraufhin genehmigt die jeweils zuständige Aufsichtsbehörde die Kriterienkataloge, vorbehaltlich einer positiven Stellungnahme durch den Europäischen Datenschutzausschuss (EDSA). Aufgrund der engen Verzahnung unterschiedlicher Stellen – sowohl im deutschen als auch im europäischen Kontext – und einer Vielzahl ganz verschiedener Detailfragen, die sich in jedem Verfahren ergeben, ist eine enge Abstimmung aller Beteiligten notwendig.

Im abgelaufenen Berichtszeitraum konnten abermals deutschlandweit und auch in anderen EU-Staaten weitere Anträge auf Genehmigung nationaler und europäischer Zertifizierungskriterien erfolgreich abgeschlossen werden.

Was ist zu tun?
Auch weiterhin ist die Sicherstellung einer einheitlichen Bewertung von Kriterienkatalogen und Zertifizierungsprogrammen ein zentraler Aspekt im entsprechenden Verfahren. Um dies sicherzustellen und um das Instrument der Zertifizierung langfristig auf einem fachlich hohen Niveau zu verankern, ist es notwendig, die bestehenden Papiere zur Akkreditierung und Zertifizierung auch weiterhin zu überarbeiten und an neueste Entwicklungen anzupassen.

 

9.2      Themen des AK Zertifizierung in Deutschland

Die Koordinierung von Angelegenheiten der Zertifizierung und Akkreditierung erfolgt unter den deutschen Datenschutzaufsichtsbehörden im Arbeitskreis Zertifizierung der Datenschutzkonferenz (AK Zertifizierung), den das ULD auch im abgelaufenen Berichtszeitraum geleitet hat. Wie bereits in der Vergangenheit haben wir hierfür zunächst monatliche (im weiteren Jahresverlauf zweimonatliche) virtuelle Treffen abgehalten, auf denen wir uns über Themen und Entwicklungen auf deutscher, aber auch auf europäischer Ebene im Zusammenhang mit der Akkreditierung und Zertifizierung ausgetauscht haben.

Teil dieses Austausches ist, wie in der Vergangenheit auch, die Deutsche Akkreditierungsstelle (DAkkS), die in enger Zusammenarbeit mit den nationalen Datenschutzaufsichtsbehörden die Akkreditierung von Zertifizierungsstellen vornimmt. Die Arbeit des AK Zertifizierung wurde auch im abgelaufenen Berichtszeitraum durch den Unterarbeitskreis Prüfkriterien, der von Nordrhein-Westfalen geleitet wird, unterstützt (zu dessen Arbeit siehe Tz. 9.4).

Der AK Zertifizierung ist ein wichtiges Instrument, um alle Aufsichtsbehörden in Deutschland auf dem aktuellen Stand im Bereich Akkreditierung und Zertifizierung zu halten. Neben möglichen Anträgen durch örtliche potenzielle Zertifizierungsstellen können auch europaweite Zertifizierungen Aufgabenbereiche nationaler Aufsichtsbehörden betreffen. Daher nahm der Austausch über aktuelle Entwicklungen einen großen Raum in den Sitzungen ein. Für eine mögliche Unterstützung anderer Dienststellen wurde im Rahmen der bestehenden Kooperationsvereinbarung eine Liste potenziell möglicher Gutachter erstellt und gepflegt.

Auch war Deutschland 2025 Ausrichter eines europaweiten CEH-Workshops in Berlin, in dessen Planung und Koordinierung der AK Zertifizierung maßgeblich eingebunden war (Tz. 9.3).

Und schließlich wurde erneut der jährliche Austausch der Gutachter der Datenschutzaufsichtsbehörden mit der DAkkS koordiniert.

 

9.3      Themen auf europäischer Ebene in der Expert Subgroup

Auf europäischer Ebene konnten im abgelaufenen Berichtszeitraum weitere Genehmigungsverfahren für Zertifizierungsprogramme aus Deutschland und Europa erfolgreich abgeschlossen werden. Bei der Bewertung und Prüfung dieser Programme konnten wir unsere umfangreiche Erfahrung abermals im Rahmen der für Fragen der Akkreditierung und Zertifizierung zuständigen Compliance, e-Government und Health Expert Subgroup (CEH Expert Subgroup) einbringen.

Die Arbeit der CEH Expert Subgroup erstreckte sich dabei – neben der eigentlichen Prüfung und Genehmigung konkreter Kriterienkataloge – weiterhin vor allem auf grundlegende Fragestellungen zur Akkreditierung und Zertifizierung. So waren erneut u. a. die innereuropäische Zusammenarbeit unter den Aufsichtsbehörden sowie Fragestellungen zum Drittstaatentransfer personenbezogener Daten gemäß Artikel 46 DSGVO zentrale Themen der CEH Expert Subgroup im Kontext datenschutzrechtlicher Zertifizierungen. Auch dieses Mal gelang es unter der Einbindung weiterer Expert Subgroups wie der International Transfer Subgroup (ITS) sowie der Key Provision Subgroup (KEYP), Lösungen für diese zum Teil sehr komplexen Problemstellungen zu erarbeiten.

Im Jahr 2025 fand in Berlin ein dreitägiger Workshop der CEH Expert Subgroup statt. Ausrichter waren die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen und wir. Eingeladen waren neben Vertretern der Aufsichtsbehörden aus ganz Europa auch die International Transfer Subgroup (ITS) und Zertifizierungsstellen. Die Vertreter der Zertifizierungsstellen konnten am ersten Tag des Workshops durch ihre Vorträge einen praxisnahen Einblick in die aktuelle Situation am Markt geben und auf diese Weise die Grundlage für eine intensive Befassung mit den unterschiedlichen Aspekten und Herausforderungen im Bereich der Akkreditierung und Zertifizierung für den zweiten und dritten Tag legen.

Was ist zu tun?
Die Zusammenarbeit unter den Datenschutzaufsichtsbehörden in Europa im Sinne einer Zertifizierung, die in der Praxis ohne große Hürden einsetzbar ist und zu einem Mehr an nachgewiesenem Datenschutz führt, ist fortzusetzen.

 

9.4      Überarbeitung des Prüfkriterienpapiers

Das Papier „Anforderungen an datenschutzrechtliche Zertifizierungsprogramme – Datenschutzrechtliche Prüfkriterien, Prüfsystematik und Prüfmethoden zur Anpassung und Anwendung der technischen Norm DIN EN ISO/IEC 17067 (Programmtyp 6)“ wurde durch den Unterarbeitskreis Prüfkriterien des AK Zertifizierung unter Mitwirkung des ULD auch im abgelaufenen Berichtszeitraum überarbeitet und weiterentwickelt. Hierbei wurden unter Beibehaltung der grundlegenden Struktur des Dokuments einige Abschnitte überarbeitet und erweitert.

Das Prüfkriterienpapier dient als Grundlage zur Bewertung von Kriterienkatalogen, die bei den Aufsichtsbehörden zur Genehmigung eingereicht werden. Es kann auch als Orientierungshilfe für zukünftige Zertifizierungsstellen dienen, um sie bei der Erstellung von Zertifizierungsprogrammen und insbesondere von Zertifizierungskriterien zu unterstützen.

Die umfangreichen Überarbeitungen der Ausführungen zu Artikel 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) sowie zu Artikel 28 DSGVO (Auftragsverarbeiter) sind abgeschlossen. Hierbei wurde insbesondere auf immer wieder aufkommende Diskussionen zu technisch-organisatorischen Maßnahmen in Zertifizierungsprogrammen und die zunehmende Anzahl von Zertifizierungsprogrammen für Auftragsverarbeitung Rücksicht genommen. Zu Artikel 25 DSGVO erfolgte eine konkretisierte Einarbeitung der EDSA-Leitlinie 4/2019 zu Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Bei Artikel 28 DSGVO erfolgte eine Strukturanpassung mit besserer Abgrenzung der beiden möglichen Konstellationen „Zertifizierung eines Auftragsverarbeiters“ und „Zertifizierung eines Verantwortlichen, der Auftragsverarbeiter einbindet“. Beachtet wurde auch die EDSA-Leitlinie 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, insbesondere bezüglich der fortlaufenden Kontrolle von Auftragsverarbeitern durch den Verantwortlichen. Die EDSA-Stellungnahme 22/2024 zu bestimmten Verpflichtungen, die sich aus der Inanspruchnahme von Auftragsverarbeitern und Unterauftragsverarbeitern ergeben, wurde eingepflegt. Aufgezeigt werden nunmehr Umsetzungsmöglichkeiten, z. B. Monitoring/Alerting, Festlegen von Indikatoren und Schwellenwerten, Vereinbarung von Vertragsstrafen usw. im Zusammenspiel mit Konzeptdokumenten.

Weiterhin werden in übersichtlicher Form als Tabelle nicht nur die gesetzlichen Tatbestandsmerkmale aufgeführt, sondern auch die Prüfthemen mit ihrer Umsetzung dargestellt.

Das entsprechende Papier konnte auch im abgelaufenen Berichtszeitraum in einigen Akkreditierungsverfahren Anwendung finden. Durch die vorgenommenen Ergänzungen erhöht sich die Praxistauglichkeit des Papiers nochmals, sodass es den Verwender auch bei zukünftigen Akkreditierungsverfahren sinnvoll unterstützen kann. Weitere konkrete Erfahrungen bei der Anwendung des Papiers, Entwicklungen im Bereich der Akkreditierung sowie Vorgaben auf europäischer Ebene werden auch in zukünftige Überarbeitungen einfließen, um das Papier noch praxisnäher zu gestalten.

Das Papier wurde in seiner neuesten Version von der DSK Ende 2025 angenommen. Das Papier ist unter dem folgenden Link abrufbar:

https://www.datenschutzkonferenz-online.de/media/ah/DSK_Zertifizierungskriterien_Version_3_0.pdf[Extern]
Kurzlink: https://uldsh.de/tb44-9-4a

Was ist zu tun?
Für eine weiter gehende praxisnahe Überarbeitung und Anpassung des Papiers wird der Unterarbeitskreis auch weiterhin die Entwicklungen auf deutscher und europäischer Ebene intensiv beobachten.


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel
```