Nach Art. 43 DSGVO können datenschutzspezifische Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen eingeführt werden (Zertifizierungen). Adressat einer solchen Zertifizierung ist immer ein Verantwortlicher oder ein Auftragsverarbeiter. Diese können eine Zertifizierung bei einer von der Datenschutzbehörde hierfür akkreditierten Zertifizierungsstelle beantragen.

Datenschutzrechtliche Zertifizierungen sind ein Compliance-Instrument gem. Art. 43 DSGVO. Gemäß Erwägungsgrund 100 der DSGVO sollen Zertifizierungen die Transparenz im Zusammenhang mit der Verarbeitung personenbezogener Daten erhöhen und die Einhaltung der DSGVO verbessern. Insbesondere können Zertifizierungen gemäß Art. 43 DSGVO

• zum Nachweis der Erfüllung der Pflichten des Verantwortlichen herangezogen werden (Art. 24 Abs. 3 DSGVO);
• als Faktor für den Nachweis der Einhaltung der nach Art. 32 Abs. 1 DSGVO zu treffenden technischen und organisatorischen Maßnahmen herangezogen werden (Art. 32 Abs. 3 DSGVO);
• unter den Voraussetzungen der Art. 43 Abs. 2 und 46 Abs. 2 lit. f DSGVO „geeignete Garantien“ für die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation sein;
• bei der Entscheidung über die Verhängung einer Geldbuße und deren Höhe im Einzelfall gebührend berücksichtigt werden (Art. 83 Abs. 2 lit. j DSGVO).

Gemäß Art. 43 Abs. 3 DSGVO muss die Zertifizierung freiwillig sein, d.h. es besteht keine rechtliche Verpflichtung zur Zertifizierung eines Verarbeitungsvorgangs. Gleichwohl wird an mehreren Stellen der DSGVO darauf hingewiesen, dass ein solches DSGVO-Zertifikat als „Faktor“ für verschiedene Zwecke herangezogen werden kann. Aus unserer Sicht bietet ein Zertifikat eine Reihe von Vorteilen für Verantwortliche und Auftragsverarbeiter, wie z.B. Haftungsreduzierung, Nachweis der DSGVO-Konformität, Imageeffekte, Unterstützung bei der Rechenschaftslegung etc.

Es gibt zwar keine gesetzliche Verpflichtung, ein DSGVO-Zertifikat vorzulegen, kann es dennoch in einem sehr relevanten Bereich eine Art Verpflichtung darstellen: Nämlich im Rahmen der Übermittlung in Drittstaaten.

Das Zertifikat hat eine formale Gültigkeit von maximal 3 Jahren. Eine Re-Zertifizierung kann schon früher notwendig werden, wenn sich Geschäftsprozesse sowie datenschutzrechtliche Anforderungen ändern. Dies vor allem bei jenen Zertifizierungsgegenständen der Fall, bei denen neue Technologien eingesetzt werden.

Daten-Verarbeitung ist jeder „Umgang“ mit personenbezogenen Daten, z.B. das Erfassen, Ordnen, Speichern, Übermitteln, Ablegen, Vernichten usw., unabhängig davon, ob dies mit Hilfe eines Computers oder in Papierform geschieht. Auch die systematische Ablage in einem Ordner oder einer Handakte stellt somit eine Datenbearbeitung dar.

Der „Verantwortliche“ ist derjenige, der über die Verarbeitung personenbezogener Daten entscheidet, z.B. der Geschäftsführer eines Unternehmens, das die Daten erhoben hat. Dieser ist auch für die Umsetzung der Vorgaben der DSGVO verantwortlich. Jeder Unternehmer wird innerhalb des eigenen Unternehmens Verantwortlicher sein. 

„Auftragsverarbeiter“ ist derjenige, der schwerpunktmäßig personenbezogene Daten im Auftrag und auf Weisung des/der Verantwortlichen verarbeitet, wie z.B. EDV-Betreuern.

Beispiel: 

Der für die Verarbeitung X Verantwortliche speichert personenbezogene Daten beim Cloud-Anbieter Y. Der Cloud-Anbieter Y ist als Auftragsverarbeiter anzusehen, da er die Daten nur im Auftrag des Verantwortlichen verarbeitet (in der Regel nur speichert).

Die Zertifizierung erfolgt nur dann, wenn der Zertifizierungsgegenstand hinreichend klar dargestellt wird. Es muss ersichtlich sein, welche Verarbeitungsvorgänge Gegenstand der Zertifizierung sind und welche Komponenten dabei bewertet werden. Diese Bewertung erfolgt auf Grundlage der ge-nehmigten Zertifizierungskriterien.

Bei der Ausarbeitung von Zertifizierungskriterien muss eine Bewertung beispielsweise folgender Aspekte ermöglicht werden:

• die Verarbeitung personenbezogener Daten erfolgt nach den Grundsätzen des Kapitels II der DSGVO;
• die Verarbeitung personenbezogener Daten erfolgt unter Beachtung der Rechte der betroffenen Personen nach den Bestimmungen der Art. 12 bis 23 DSGVO;
• die Verarbeitung personenbezogener Daten erfolgt unter Berücksichtigung der Vorgaben des Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen);
• die Implementierung geeigneter technischer und organisatorischer Maßnahmen, die dafür ausgelegt sind, ein angemessenes Schutzniveau nach den Vorgaben des Art. 32 Abs. 1 DSGVO herzustellen (Sicherheit der Verarbeitung);
• die Implementierung von Abhilfemaßnahmen gemäß Art. 35 Abs. 7 lit. d DSGVO im Rahmen der Durchführung einer Datenschutz-Folgenabschätzung.

Gemäß Art. 43 DSGVO werden Stellen, die im Datenschutzbereich zertifizieren möchten, durch die Österreichische Datenschutzbehörde akkreditiert. Interessierte Stellen müssen sowohl Anforderungen aus EN-ISO/IEC 17065/2012 erfüllen, als auch hierzu ergänzende ZeStAkk-V.

Grundsätzlich kann jedermann die DSGVO-Konformität eines Unternehmens überprüfen. Bei positivem Ergebnis wird ein DSGVO-Zertifikat ausgestellt, das die Konformität bestätigt. Ein solches Zertifikat ist ein sogenanntes Hauszertifikat. Es ist nicht gleichzusetzen mit einem "offiziellen" Zertifikat einer akkreditierten Zertifizierungsstelle. Letzteres wird von den Aufsichtsbehörden anerkannt und bei Bußgeldern mindernd berücksichtigt.

Um einen möglichst hohen Qualitätsstandard für die Zertifizierungsverfahren zu gewährleisten, sieht die DSGVO in Artikel 43 vor, dass nur solche Stellen Zertifizierungen nach Artikel 43 ausstellen dürfen, die zuvor auf ihre Eignung zur Durchführung von Zertifizierungsverfahren überprüft und anschließend förmlich akkreditiert worden sind. Für Österreich ist dies die Datenschutzbehörde.

Die DSGVO-zt GmbH wurde mit Bescheid D163.001  2024-0.585.594 vom 27.August 2024 akkreditiert.

Für den Bereich der Akkreditierung hat die EDSA Richtlinien herausgegeben, die einen Rahmen für die Durchführung von Akkreditierungsverfahren beschreiben. Zusätzlich gilt in Österreich die Zertifizierungsstellen-Akkreditierungs-Verordnung (ZeStAkk-V), die auf der ISO 17065 basiert.

Neben dem Zertifizierungsprogramm (Richtlinie für den Zertifizierungsprozess) sind die Zertifizierungskriterien (Kriterien, nach denen die DSGVO-Konformität geprüft wird) zentraler Bestandteil eines Akkreditierungsantrags.

Akkreditierung und Zertifizierung sind zwei verwandte, aber unterschiedliche Begriffe, die häufig im Zusammenhang mit Qualitätsmanagement, Standards und Normen verwendet werden. Obwohl beide Konzepte darauf abzielen, die Qualität und Zuverlässigkeit von Produkten, Dienstleistungen und Organisationen zu gewährleisten, unterscheiden sie sich in ihrer Bedeutung, ihrem Anwendungsbereich und ihren Verfahren. In diesem Artikel werden wir die Unterschiede zwischen Akkreditierung und Zertifizierung näher erläutern und ihre jeweiligen Rollen und Bedeutungen im Qualitätsmanagement verdeutlichen.

Akkreditierung

Akkreditierung ist der Prozess, bei dem eine unabhängige, autoritative Organisation – in der Regel eine nationale oder internationale Akkreditierungsbehörde – die Kompetenz, Unparteilichkeit und Leistungsfähigkeit einer Prüf- oder Zertifizierungsstelle, eines Labors oder einer Inspektionsstelle bewertet und bestätigt. Die Akkreditierung stellt sicher, dass diese Stellen den Anforderungen und Richtlinien entsprechen, die in den relevanten Normen, Gesetzen oder technischen Spezifikationen festgelegt sind. Akkreditierte Stellen sind in der Lage, qualitativ hochwertige Dienstleistungen im Bereich der Prüfung, Zertifizierung oder Inspektion anzubieten und das Vertrauen der Kunden und anderer Interessengruppen in ihre Ergebnisse und Urteile zu stärken.

Der Akkreditierungsprozess umfasst eine gründliche Bewertung der Verfahren, Abläufe, Ressourcen, Kompetenzen und Unparteilichkeit der Stelle durch die Akkreditierungsbehörde. Dies kann sowohl die Überprüfung von Dokumenten und Unterlagen als auch Vor-Ort-Inspektionen und -Audits umfassen. Nach erfolgreichem Abschluss des Akkreditierungsprozesses erhält die Stelle eine Akkreditierungsurkunde, die ihre Kompetenz und Unparteilichkeit bestätigt. Die Akkreditierung ist in der Regel für einen bestimmten Zeitraum gültig, und während dieser Zeit wird die Stelle von der Akkreditierungsbehörde regelmäßig überwacht, um die kontinuierliche Einhaltung der Anforderungen und Richtlinien zu gewährleisten.

Zertifizierung

Zertifizierung hingegen ist der Prozess, bei dem eine unabhängige, akkreditierte Zertifizierungsstelle die Konformität eines Produkts, einer Dienstleistung, eines Systems oder einer Organisation mit den Anforderungen einer bestimmten Norm, eines Standards oder einer technischen Spezifikation bewertet und bestätigt. Die Zertifizierung bietet eine unabhängige Bestätigung, dass das zertifizierte Objekt die festgelegten Anforderungen und Kriterien erfüllt und gibt Kunden, Lieferanten, Regulierungsbehörden und anderen Interessengruppen Vertrauen in dessen Qualität und Zuverlässigkeit.

Der Zertifizierungsprozess umfasst eine Bewertung der Dokumentation, Prozesse und Abläufe des zertifizierten Objekts durch die Zertifizierungsstelle. Dies kann auch Vor-Ort-Audits und Inspektionen beinhalten, um sicherzustellen, dass das Objekt die Anforderungen der Norm oder Spezifikation tatsächlich erfüllt. 

Nach erfolgreichem Abschluss des Zertifizierungsprozesses stellt die Zertifizierungsstelle ein Zertifikat aus, das die Konformität des Objekts mit den festgelegten Anforderungen bestätigt. Die Zertifizierung ist in der Regel für einen bestimmten Zeitraum gültig, und während dieser Zeit kann die Zertifizierungsstelle regelmäßige Überwachungsaudits durchführen, um die kontinuierliche Einhaltung der Anforderungen zu gewährleisten.

Zusammenfassung:

• Ein Zertifikat ist ein Nachweis, dass man bei einer Weiterbildung anwesend war.
• Eine Zertifizierung ist eine besondere Form der Qualitätssicherung und weist die Erfüllung bestimmter Standards und Normen für Produkte oder
         Dienstleistungen nach.

Artikel 43 der Datenschutz-Grundverordnung (DSGVO) befasst sich mit datenschutzspezifischen Zertifizierungsverfahren und den dabei zu vergebenden Prüfzeichen und Siegeln. Ein DSGVO-Zertifikat ist ein offizielles Gütesiegel, das bescheinigt, dass ein Verarbeitungsvorgang den Anforderungen der DSGVO entspricht. Die DSGVO sieht in Artikel 43 Zertifizierungsverfahren für Verarbeitungsvorgänge vor. Der Gesetzestext lautet:

(1) 

Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.

(2) 

Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können auch datenschutzspezifische Zertifizierungsverfahren, Siegel oder Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt worden sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsverarbeiter, die gemäß Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.

(3) 

Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein.

(4) 

Eine Zertifizierung gemäß diesem Artikel mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung dieser Verordnung und berührt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, die gemäß Artikel 55 oder 56 zuständig sind.

(5) 

Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde gemäß Artikel 58 Absatz 3 oder — gemäß Artikel 63 — durch den Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen.

(6) 

Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach Artikel 43 oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten.

(7) 

Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden.

(8) 

Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen in ein Register auf und veröffentlicht sie in geeigneter Weise.