Genehmigung der ersten offiziellen EU-Datenschutz-Zertifizierung
Transparenz durch Datenschutz-Zertifikate
Bereits in der ersten Ausgabe 2022 unseres Newsletters haben wir über die erste Datenschutzzertifizierung im Sinne des Art. 42 DSGVO berichtet. Zertifizierungen können als Nachweis für die Einhaltung datenschutzrechtlicher Anforderungen genutzt werden, u. a. der Erfüllung der Pflichten des Verantwortlichen, der Anforderungen an die Technikgestaltung und datenschutzfreundlicher Voreinstellungen, der Garantien des Auftragsverarbeiters, der Sicherheit der Verarbeitung, der Datenübermittlungen an Drittländer und der Datenschutz-Folgenabschätzung. Somit erlauben Zertifizierungen in einer transparenten und einfachen Form, die Einhaltung des Datenschutzes für ausgewählte Themenbereiche nach außen nachzuweisen.
Genehmigung des ersten europäischen Datenschutzsiegels
Nun hat die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) in einer Pressemitteilung bekannt gegeben, die Genehmigung für das erste europäische Zertifikat, das sogenannte „European Privacy Seal“ (EuroPriSe), erteilt zu haben. Das EuroPriSe-Zertifikat dient zur Zertifizierung von Datenverarbeitungen durch Auftragsverarbeiter und dürfte damit vor allem für Dienstleister, z. B. für Softwareanbieter, Cloudanbieter und Anbieter von Rechenzentren interessant sein. Hierbei betont die LDI NRW, dass Zertifikate ein bewährtes Instrument sind, um den Markteilnehmehmenden eine Orientierung zu datenschutzkonformen Produkten zu verschaffen.
„Zertifikate bedeuten für alle, deren Daten verarbeitet werden, mehr Transparenz. Sie liefern einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen“, erklärt die NRW-Datenschutzbeauftragte in der Pressemitteilung.
Zuvor hatte die luxemburgische Datenschutzbehörde (DPA) dem Europäischen Datenschutzausschuss (EDSA) die eigene Genehmigung der Zertifizierung zur Bewertung vorgelegt. Dazu hat der EDSA inzwischen eine offizielle Stellungnahme veröffentlicht, in der das Zertifikat genehmigt wird. Damit handelt es sich beim EuroPriSe-Zertifikat gleichzeitig um ein sogenanntes „europäisches Datenschutzsiegel“ (vgl. Art. 42 Abs. 5 DSGVO) und gilt damit in allen EU-Mitgliedstaaten.
Ausblick – welche Bedeutung können Datenschutz-Zertifizierungen haben?
Es wird spannend zu sehen, wie die erste Zertifizierung bei Unternehmen angenommen wird. Eine Pflicht zum Abschluss von Zertifizierungen besteht nicht. Allerdings sind Verantwortliche verpflichtet, nur Auftragsverarbeiter einzusetzen, die „hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, die den Anforderungen dieser Verordnung genügen“ (Art. 28 Abs. 1, ErwGr 81 S. 1 DSGVO). Die Einhaltung eines genehmigten Zertifizierungsverfahrens durch den Auftragsverarbeiter kann dabei herangezogen werden.
Zusätzlich könnten Zertifizierungen für die Einhaltung datenschutzrechtlicher Anforderungen in diesem Kontext zukünftig als Wettbewerbsvorteil dienen. Eine Umfrage des Bitkom e.V. zeigte kürzlich, dass mehr als zwei Drittel der befragten Unternehmen die Einhaltung der DSGVO nicht als Wettbewerbsvorteil wahrnehmen, und 30% es sogar als Wettbewerbsnachteil empfinden. Zertifizierungen könnten hierbei neue Dynamik erzeugen, indem Unternehmen diese nutzen, um sich entsprechend im Markt zu positionieren.