Das BayLDA möchte Interessierten einen Einblick gewähren, welche Thematiken der EU-Datenschutzgrundverordnung derzeit in den deutschen Aufsichtsbehörden und somit natürlich auch im Bayerischen Landesamt für Datenschutzaufsicht intensiv diskutiert werden. Im zweiten Teil widmet sich die Aufsichtsbehörde dem Thema „Zertifizierung“.

SINN UND ZWECK VON ZERTIFIZIERUNGEN

Zertifizierungen sollen einen schnellen Überblick geben, ob datenschutzrechtliche Vorgaben auch eingehalten werden. Allerdings hat die Vergangenheit gezeigt, dass bei Audits nach § 38 BDSG in keinem einzigen Fall die vorgelegten Zertifizierungen alle Fragen des BayLDA ausreichend beantworten konnten. Aber meist handelt es sich dabei um Zertifizierungsverfahren die nur peripher mit Datenschutz zu tun haben.

ZERTIFIZIERUNGEN NACH DER EU-DSGVO

Man findet in der neuen Datenschutzgrundverordnung in Kapitel IV unter Abschnitt 5 „Verhaltensregeln und Zertifizierungen“ den entscheidenden Art. 42 mit dem schlichten aber unmissverständlichen Namen „Zertifizierungen“. Hierin wird in acht Absätzen geregelt, welche neuen Anforderungen an Datenschutz-Zertifikate gestellt werden und welche Möglichkeiten es hier gibt.

DURCH AUFSICHTSBEHÖRDE GEFÖRDERT

Zu Beginn des Artikels wird man bereits informiert, dass „Aufsichtsbehörden die Einführung von datenschutzspezifischen Zertifizierungsverfahren fördern sollen. Damit könnten Verantwortliche oder Auftragsverarbeiter künftig Nachweise erbringen, dass ihre Datenverarbeitungsvorgänge mit den Vorschriften der DSGVO im Einklang stehen.“ Natürlich müssen diese Vorgaben auch nach erfolgreicher Zertifizierung so gelebt und beibehalten werden. Dies lässt sich aus Art. 42 Abs. 4 entnehmen.

WER ZERTIFIZIERT?

Auch dies wird in der DS-GVO geregelt: Abs. 5 besagt, dass sowohl „(akkreditierte) Zertifizierungsstellen als auch die zuständigen Aufsichtsbehörden eine Datenschutz-Zertifizierung nach DS-GVO erteilen.“

RAHMENBEDINGUNGEN UND VORAUSSETZUNGEN

Wer dies anstrebt sollte dringend die eigenen Verarbeitungsvorgänge und kennen und transparent dokumentiert haben. Denn um eine Zertifizierung erfolgreich durchführen zu können, muss der Verantwortliche – laut Abs. 6 – dem Auditor alle dafür benötigten Informationen zur Verfügung stellen. Abs. 7 schließlich besagt, dass eine Zertifizierung nur zeitlich begrenzt, auf höchstens 3 Jahre, erteilt werden darf. Natürlich kann diese immer wieder verlängert werden. Sollten aber die Rahmenbedingungen nicht mehr erfüllt werden, so kann eine Zertifizierung durch die Aufsichtsbehörde auch wieder widerrufen werden.

DAS BAYLDA EMPFIEHLT…

Bayerns Aufsichtsbehörde „befürwortet deshalb die Entwicklung abgestimmter, länderübergreifend geltender Kriterien, damit auch im Vollzug der Aufsichtsbehörden eine einheitliche Bewertung im Sinne der DS-GVO ermöglicht wird. Ein Wildwuchs zahlreicher unterschiedlicher Zertifizierungsverfahren sollte im Interesse aller Beteiligten vermieden werden.“ Hierfür müssen neue praxisorientierte Zertifizierungen geschaffen werden und bei bestehenden eine entsprechende Überarbeitung in Bezug auf die neuen Regelungen vorgenommen werden.