Die genehmigte Zertifizierung ist ein optionales Instrument zum formalen Nachweis der Einhaltung der DSGVO (z.B. der Umsetzung technischer und organisatorischer Maßnahmen). Die Zertifizierung kann auch die Rechtsgrundlage für Verantwortliche außerhalb des EWR schaffen, die Daten international übermitteln.
Genehmigung der Zertifizierung
Eine Zertifizierung wird von den Zertifizierungsstellen, den Aufsichtsbehörden oder dem Europäischen Datenschutzausschuss ausgestellt (Art. 63 DSGVO). Wenn der Ausschuss die Kriterien genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen.
Die Beantragung einer Zertifizierung erfordert, dass der Verantwortliche/Verarbeiter der Zertifizierungsstelle alle Informationen und den Zugang zu seinen Verarbeitungstätigkeiten vorlegt, die für die Durchführung des Zertifizierungsverfahrens erforderlich sind. Eine Zertifizierung schmälert nicht die Verantwortung des Verantwortlichen/Verarbeiters für die Einhaltung der DSGVO und berührt nicht die Aufgaben und Befugnisse der zuständigen Aufsichtsbehörden.
Eine Zertifizierung ist maximal drei Jahre gültig und kann verlängert werden, wenn die entsprechenden Anforderungen weiterhin erfüllt sind. Der Vorstand muss ein Register erstellen und veröffentlichen, das alle Zertifizierungsmechanismen, Datenschutzsiegel und Marken umfasst.
Weitere Informationen finden Sie in den Leitlinien für die Zertifizierung und die Festlegung von Zertifizierungskriterien, die vom Europäischen Datenschutzausschuss herausgegeben wurden: https://edpb.europa.eu/our-work-tools/public-consultations/2018/guidelines-12018-certification-and-identifying_en