Aufsatz : Ko-Regulierung vor einer neuen Blüte – Verhaltensregelungen und Zertifizierungsverfahren nach der Datenschutzgrundverordnung (Teil 1) : aus der RDV 2/2016, Seite 68 bis 74
Was der nationale Gesetzgeber über § 9a und § 38a BDSG über Jahre versuchte in die Wege zu leiten, wird mittels der EU-Datenschutz-Grundverordnung (EU-DS-GVO) europäische Wirklichkeit: Das künftige EU-Recht sieht einen Abschnitt zu Verhaltensregeln und Zertifizierung (Art. 38 – 39a EU-DSGVO[1]) vor. Hierdurch wird unter anderem Datenschutzverbänden die Möglichkeit eingeräumt, Verhaltens regeln auszuarbeiten, zu ändern oder zu erweitern, um Datenschutzanwendungen in verschiedener Hinsicht zu präzisieren. Dies kann besonders praxisrelevante Bereiche, wie eine Pseudonymisierung personenbezogener Daten, betreffen. Diese Verhaltensregeln können von der Kommission für allgemeingültig erklärt werden (Art. 38 Abs. 4 EU-DS-GVO).
Zudem werden über Art. 39 f. EU-DS-GVO Verfahren für Datenschutzzertifizierungen von verantwortlichen Stellen oder Auftragsverarbeitern auf eine gesetzliche Grundlage gestellt. Die neuen Regelungen enthalten nicht nur Vorgaben an Zertifizierungsstellen, sondern auch an die Ausgestaltung des Verfahrens. Die EU-Kommission behält sich die Formulierung zusätzlicher Anforderungen über delegierte Rechtsakte vor. Im Rahmen dieses Beitrages wird zunächst das Zertifizierungsverfahren vorgestellt. In einem Folgebeitrag soll es im Vergleich dazu um Verfahrensregeln und eine Abwägung der jeweiligen Vorzüge und Nachteile der neuen Instrumente der Ko-Regulierung gehen.
I. Einleitung
Nach dem erfolgreichen Abschluss der Trilogverhandlungen für ein einheitliches europäisches Datenschutzrecht über eine EU-DS-GVO zeichnet sich ein Paradigmenwechsel im Rahmen der Zertifizierungs- und Gütesiegelverfahren ab. Per Gesetz sollen entsprechende Verfahren eine Datenverarbeitung im Einklang mit der EU-DS-GVO[2] für Außenstehende sichtbar machen. In diesem Sinne hat der europäische Gesetzgeber eine eigenständige Rechtsgrundlage in Gestalt der Art. 39 und 39a geschaffen. Was zunächst nach einer bloßen Befürwortung von Zertifizierungen mit Datenschutzcharakter anmutet, kann sich zu einem verzahnten Verfahren zwischen staatlicher Kontrolle und privatwirtschaftlicher Selbstregulierung entwickeln.
Art. 39 Abs. 1 fordert die Mitgliedstaaten, nationale Aufsichtsbehörden, den Europäischen Datenschutzausschuss und die Kommission dazu auf, Zertifizierungsverfahren oder Gütesiegel zum Datenschutz zu fördern, um eine Nachweisführung für eine datenschutzkonforme Datenverarbeitung im Sinne der Grundverordnung zu ermöglichen. Hierbei sollen die Belange von klein- und mittelständischen Unternehmen Berücksichtigung finden. Das zieht sich als grundsätzliche Vorgabe durch die Grundverordnung[3], ist im Rahmen der Zertifizierung jedoch (noch) nicht mit konkreten gesetzgeberischen Aktivitäten verbunden. Die Befürwortung von Gütesiegelverfahren, als eine dem initialen Gesetzesentwurf der EU-Kommission entsprechende Formulierung, weist zunächst einen rein deklaratorischen Charakter auf, findet jedoch ihre Konkretisierung im Fortgang der Norm sowie im anschließenden Art. 39a. Gerade mit diesen Konkretisierungen möchte Brüssel Einfluss auf die Ausgestaltung von Zertifizierungsverfahren nehmen. Diese neuen Vorgaben sollen auf Basis einer aktuellen Bestandsaufnahme für Datenschutzzertifizierungen in Deutschland und Europa näher beleuchtet werden.
II. Datenschutz-Zertifizierung in Deutschland
Die Zertifizierungslandschaft in Deutschland in Sachen Datenschutz zeichnet sich durch eine ausgeprägte Heterogenität aus, wobei hoheitlich betriebene Zertifizierungsverfahren sich nur sehr vereinzelt auf Landesebene finden[4]. Daneben reduziert sich das staatliche Engagement des Bundes primär auf Initiativen mit Bezug zum Datenschutz, sei es das vom Bundesministerium für Wirtschaft und Energie (BMWi) getragene Projekt zur Sicherheit von Cloud-Diensten („Trusted Cloud“[5]) oder die Entwicklung von datenschutzspezifischen Bausteinen zum IT-Grundschutz durch das BSI[6]. Denn weder „Trusted Cloud“ noch das Datenschutz-Modul zum IT-Grundschutz vermögen einen „hoheitlichen Segen“ in Anspruch nehmen zu können, sei es aufgrund einer fehlenden Zertifizierungsstelle (Trusted Cloud) oder einer Nichtanwendbarkeit auf den regulären Zertifizierungsprozess (BSI[7]). Hier besteht dringender Handlungsbedarf, um das Vertrauen von Bürgerinnen und Bürgern beim Umgang mit ihren personenbezogenen Daten zu stärken.
Da jedoch gerade die Privatwirtschaft auf das Vertrauen Betroffener hinsichtlich eines adäquaten Schutzes ihrer Daten angewiesen ist, haben sich auf nationaler Ebene verschiedene Zertifizierungsverfahren privater Stellen herausgebildet, um dem Bedürfnis nach Nachweisbarkeit nachzukommen. Zu begrüßen ist dabei das durch den Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern vorgesehene Modell der Ko-Regulierung zwischen staatlicher Aufsicht und privat- oder öffentlich-rechtlichem Zertifizierungsverfahren[8]. Hierbei muss ein entwickeltes Zertifizierungsverfahren den Anforderungen der Aufsicht auf Basis eines Prüfverfahrens genügen, bevor es das „Gütesiegel Datenschutz M-V“ vergeben darf. Eine elementare Voraussetzung ist hierbei, dass die zertifizierten Produkte oder Verfahren zur Nutzung durch öffentliche Stellen des Landes Mecklenburg-Vorpommern geeignet sind. Ein konkreter Kriterienkatalog seitens der Aufsichtsbehörde besteht jedoch nicht, vielmehr muss eine Zertifizierungsstelle den von ihr autark entwickelten Anforderungskatalog an die Aufsichtsbehörde übermitteln, der zumindest technische sowie organisatorische Aspekte beinhaltet und regelmäßig fortgeschrieben wird[9].
Trotz der zu begrüßenden Vorstöße auf nationaler Ebene sind die vorgesehenen Prüfparameter und -grundlagen sehr unterschiedlich ausgestaltet. Dies zeigt der Blick auf eine durch die Stiftung Datenschutz veröffentlichte Übersicht über Zertifizierungsanbieter im Datenschutz und deren Verfahren[10]. Folglich ist das Bedürfnis nach einem einheitlichen gesetzlichen Rahmen nicht von der Hand zu weisen, möchten Datenschutzzertifizierungen an Akzeptanz gewinnen.
III. Datenschutz-Zertifizierungen in Europa
Auch auf europäischer Ebene gibt es Bestrebungen für Zertifizierungs- bzw. Gütesiegelverfahren in Sachen Datenschutz, auch wenn die Datenschutzrichtlinie 95/46/EG das Thema der Gütesiegel nicht explizit thematisiert und lediglich andere selbstregulierende Maßnahmen wie Codes of Conduct im Richtlinientext befürwortet[11]. Entsprechend wurde auf einem nicht-gesetzlichem Weg versucht, eine Gesetzeskonformität mit einem europäischen Geltungscharakter sichtbar zu machen. Ein Beispiel hierzu bildet das European Privacy Seal[12]. Was in 2007 noch als Pilotvorhaben unter der Schirmherrschaft des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) in Kooperation mit der Aufsichtsbehörde für den Datenschutz der Gemeinde Madrid (Agencia de Protección de Datos de la Communidad de Madrid) und der französischen Aufsicht (Commission Nationale de l’Informatique et de Libertés, CNIL) sowie anderen begann, hat sich zu einem eigenständigen, mittlerweile privatrechtlich gesteuerten Verfahren entwickelt, das im Wesentlichen die Anforderungen der Datenschutzrichtlinie zum Gegenstand hat. Aber auch nationale Aufsichtsbehörden versuchen teilweise, entsprechende Verfahren zu entwickeln, so das sich in der Planung befindliche „ICO Privacy Seal“ der Aufsichtsbehörde für den Datenschutz Großbritanniens (Information Commissioner’s Office, ICO) als Modell der Ko-Regulierung[13], wobei erste Prüfkriterien im Rahmen eines Konsultationsprozesses bereits veröffentlicht wurden[14].
Teilweise besteht auch die Möglichkeit eines freiwilligen Audits durch die zuständige Aufsichtsbehörde, das in die Bescheinigung einer datenschutzkonformen Datenverarbeitung bezogen auf das lokale Recht münden kann, jedoch seine Einschränkung durch eine Reduktion auf bestimmte Prüfgebiete findet[15]. Neben Zertifizierungen oder Auditierungen, bei denen Organisationen und deren Datenverarbeitungen im Fokus stehen, habe sich auch Zertifizierungen oder Gütesiegelverfahren auf Personenebene, so insbesondere beim Datenschutzbeauftragten ausgebildet, die jedoch weitestgehend für das jeweilige lokale Datenschutzrecht entwickelt und von privaten Initiativen getragen werden[16].
Die auf europäischer Ebene bestehende uneinheitliche Zertifizierungsstruktur, deren Gründe auch in einer unterschiedlichen Konkretisierung der Richtlinie 95/46/EG durch die Mitgliedstaaten zu suchen sind, hat die EU-Kommission im Rahmen des der EU-DS-GVO vorgeschalteten Konsultationsverfahrens dazu bewogen, den Nutzen von Gütesiegeln zum Datenschutz zu prüfen[17]. Ergebnis dieser Evaluation war ein eigener Vorschlag der Kommission zur Regelung von Zertifizierungen über Art. 39 der EU-DS-GVO, der zumindest derartige Verfahren begünstigen sollte, ohne zunächst konkret auf deren Bedingungen einzugehen[18].
IV. EU-DS-GVO
Die Verabschiedung der EU-DS-GVO kann zumindest ein wesentliches Problem der bisherigen Zertifizierungslandschaft durch Schaffung einer gemeinsamen gesetzlichen Grundlage und der Formulierung einheitlicher Rahmenbedingungen sowie Prüfkriterien lösen. Da dem Gros der materiell-rechtlichen Regelungen der Grundverordnung zumindest für den nicht-öffentlichen Bereich ein Verordnungscharakter zuzumessen ist, stellen die Art. 39 und 39a nunmehr konkrete Anforderungen an privatrechtliche Zertifizierer und deren Verfahren, die in allen Mitgliedstaaten unmittelbar anzuwenden sind. Die Grundverordnung setzt dabei auf das bereits erwähnte Modell der Ko-Regulierung. Hiernach kann eine Zertifizierung durch eine akkreditierte Zertifizierungsstelle gem. Art. 39a (vgl. ausführlich IV. 2.) erteilt werden, wobei Aufgaben und Befugnisse der Aufsichtsbehörden hiervon unberührt sind. Damit konnte sich der seitens des Europäischen Parlaments initiierte Vorstoß nicht durchsetzen, der die Schirmherrschaft über solche Verfahren allein den Aufsichtsbehörden übertragen wollte und nur im Rahmen der eigentlichen Audits die Einschaltung akkreditierter Prüfer vorsah[19].
1. Anforderungen an die nationale Akkreditierungsstelle
Jede Zertifizierungsstelle hat ein Akkreditierungsverfahren zu durchlaufen, um Zertifikate im Sinne der Art. 39 und 39a vergeben zu können. Dieses Verfahren wird entweder durch die nationale Aufsichtsbehörde oder eine nationale Akkreditierungsstelle im Sinne der Verordnung (EG) Nr. 765/2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten[20] gelenkt (Art. 39a Abs. 1). Die Verordnung (EG) Nr. 75/2008 zielt darauf ab, einen EU-weiten Rechtsrahmen für die Akkreditierung vorzusehen und verpflichtet die Mitgliedstaaten zur Etablierung einer einzigen nationalen Akkreditierungsstelle[21]. In Deutschland wurde hierzu die Deutsche Akkreditierungsstelle (DAkkS) gebildet[22]. Als Lenkungsorgan auf europäischer Ebene funkgiert die Europäische Kooperation für Akkreditierung (EA) mit Sitz in Paris[23]. Im Falle der Kompetenzzuweisung an eine nationale Akkreditierungsstelle im Sinne der Verordnung Nr. 75/2008 können „zusätzliche Anforderungen“ der nationalen Datenschutzbehörde an die Akkreditierungsstelle gestellt werden (Art. 39a Abs. 1 Buchst. b). Dies ist nachzuvollziehen, zumal die Sachnähe zum Datenschutz im Falle einer universalen nationalen Akkreditierungsstelle nicht per se angenommen werden kann. Welche „zusätzlichen Anforderungen“ gestellt werden können, wird über die EU-DS-GVO nicht spezifiziert. Hier wären Anforderungen an eine Fachkunde des Personals einer Akkreditierungsstelle ebenso denkbar wie Mindestinformationen von vergebenen Zertifikaten.
Auch die zuständige Aufsichtsbehörde gem. der Art. 52 und 53 kann als Akkreditierungsstelle von Verfahren der Art. 39 und Art. 39a fungieren, wie es bereits im Rahmen des Gütesiegelverfahren von Mecklenburg-Vorpommern auf Landesebene umgesetzt wird (vgl. II.). Hier würde man sich aufgrund der föderalen Struktur der Bundesrepublik einigen müssen, welche Aufsicht diese Aufgaben wahrnehmen soll. So könnte beispielsweise die Bundesbeauftrage für den Datenschutz und die Informationsfreiheit (BfDI) als Akkreditierungsstelle vorgesehen werden, die ihre Aufgaben mit einer ausgewählten Landesbehörde als Vertreterin für die übrigen Aufsichtsbehörden gemeinsam wahrnimmt.
Welches Modell in Deutschland Einzug halten wird, ist noch offen. Unabhängig davon sollte sichergestellt sein, dass die jeweilige Stelle über ausreichend Kenntnisse im Datenschutz verfügt, um Verfahren von Zertifizierern adäquat würdigen zu können.
2. Anforderungen an die Zertifizierungsstelle
Über die Rechtspersönlichkeit einer Zertifizierungsstelle schweigt sich die Grundverordnung aus, so dass solche des Privatrechts wie des öffentlichen Rechts am Verfahren teilnehmen und sich bei der vorgesehenen nationalen Stelle akkreditieren lassen können. Allerdings soll dies nicht jedem Anbieter auf dem Markt vorbehalten sein[24]. Insofern stellt Art. 39a Abs. 2 konkrete Anforderungen an die jeweilige Stelle, damit diese erfolgreich den Akkreditierungsprozess durchlaufen kann. So muss sie zur Zufriedenheit der zuständigen Aufsichtsbehörde nachweisen, dass sie bezüglich des Prüfgegenstandes die nötige Unabhängigkeit und Expertise besitzt – Kriterien, die sich bereits im Beschluss des Düsseldorfer Kreises hinsichtlich Modellen zur Vergabe von Prüfzertifikaten, die im Wege der Selbstregulierung entwickelt und durchgeführt werden, wiederfinden[25]. Ferner verpflichtet sich die Stelle, die zuvor von der zuständigen Aufsichtsbehörde oder gegebenenfalls seitens des Europäischen Datenschutzausschusses akzeptierten Prüfkriterien einzuhalten[26]. Über mögliche Inhalte solcher Prüfkriterien schweigt sich die Grundverordnung im Übrigen aus. Allerdings erkennt der europäische Gesetzgeber an mehreren Stellen, dass die nationalen Aufsichtsbehörden für den Datenschutz am Akkreditierungsverfahren zu beteiligen sind, auch wenn eine nationale Akkreditierungsstelle nach der Verordnung Nr. 75/2008 eingerichtet wurde.
Auch müssen Prozesse zur Vergabe eines Zertifikats, dessen regelmäßiger Überprüfung und Rücknahme vorgesehen werden. Für den Fall, dass Betroffene eine Verletzung von Vorgaben des Zertifizierungsverfahrens durch eine verantwortliche Stelle oder einen Auftragsverarbeiter rügen, müssen auf Seiten des Zertifizierers Verfahren und Strukturen festgelegt sein, mittels derer Beschwerden von Betroffenen nachgegangen wird. Diese Verfahren und Strukturen müssen der Öffentlichkeit bzw. dem Betroffenen transparent gemacht werden. Hier bietet sich die Kommunikation einer zentralen Kontaktstelle, in Verbindung mit einer Information über das Beschwerdeverfahren, auf der Internetpräsenz beispielsweise an. Ebenso ist der Ausschluss möglicher Interessenkollisionen in den Augen des europäischen Gesetzgebers ein wesentlicher Bestandteil des Verfahrens (Art. 39a Abs. 2 Buchst. d). So besteht bereits jetzt bei einer Vielzahl bestehender Verfahren die Vorgabe, dass der beauftragte Prüfer sich beispielsweise in keiner wirtschaftlichen Abhängigkeit zum Zertifizierungssubjekt befinden darf[27]. Um Veränderungen beim Zertifizierer ausreichend Rechnung tragen, soll eine bestehende Akkreditierung alle fünf Jahre unter denselben Bedingungen verlängert werden können, so lange die Zertifizierungsstelle die einschlägigen Voraussetzungen weiterhin erfüllen kann (Art. 39a Abs. 4 S. 2). Sollte eine Zertifizierungsstelle nicht mehr den gestellten Anforderungen an das Verfahren entsprechen, hat die nationale Aufsichtsbehörde bzw. die nationale Akkreditierungsstelle nach Verordnung (EG) 765/2008 die Kompetenz, die Akkreditierung zu widerrufen (Art. 39a Abs. 6a).
3. Anforderungen an das Zertifzierungsverfahren
Die Grundverordnung belässt es jedoch nicht bei einer Regelung der Akkreditierungsstelle, sondern stellt überdies Anforderungen an das jeweilige Zertifizierungsverfahren.
Die Zertifizierungsstelle ist als Herrin des Verfahrens für die „angemessene Bewertung“ einer Zertifikatsvergabe bzw. dessen Entzug (Art. 39a Abs. 4 S. 1) verantwortlich, wobei die Grundverordnung keine weiteren Anhaltspunkte für die Ordnungsmäßigkeit liefert. Insofern dürften die Sachlichkeit und Richtigkeit der Prüfung in Verbindung mit ausgeschlossenen Interessenkonflikten des Prüfers im Vordergrund stehen. Gründe für die Vergabe oder den Entzug einer Zertifizierung sind der zuständigen Aufsichtsbehörde zu kommunizieren (Art. 39a Abs. 5). Hier würde sich wiederum die Übermittlung der Vertragsbedingungen der Zertifizierungsstelle mit den Voraussetzungen für eine Vergabe oder den Entzug anbieten. Ebenso ist die zuständige Aufsichtsbehörde über eine tatsächlich erfolgte Zertifikatsvergabe sowie dessen Entzug zu informieren (Art. 39a Abs. 1). Hintergrund dieser Regelung sind die nunmehr ihr explizit zugewiesenen Korrekturbefugnisse im Bereich der Zertifizierungsverfahren gem. Art. 53 Abs. 1b Buchst. fa. Hiernach kann die Behörde das von einer akkreditierten Zertifizierungsstelle erteilte Zertifikat selbst widerrufen oder der Stelle einen solchen Widerruf auferlegen bzw. eine Zertifikatsvergabe gar unterbinden, sollten die Voraussetzungen einer Zertifizierung nicht oder nicht mehr gegeben sein. Da im letzteren Fall in die Kompetenz der jeweiligen Zertifizierungsstelle eingegriffen werden würde, empfehlen sich enge Kommunikationsprozesse mit dem Anbieter.
Hinsichtlich des Zertifizierungsgegenstands hält sich die Grundverordnung mit konkreten Anforderungen weitestgehend zurück. Entsprechende Verfahren sollten jedoch dazu dienen nachzuweisen, dass die Verordnung bei Verarbeitungsvorgängen, die vom für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter durchgeführt werden, ein gehalten wird (vgl. Art. 39 Abs. 1 S. 1) Zertifizierungsgegenstand können daher verschiedenste Verarbeitungsvorgänge sein, so beispielsweise eine auf dem Markt angebotene Leistung eines Auftragsverarbeiters oder die Personaldatenverarbeitung einer verantwortlichen Stelle. Interessant an dieser Stelle sind vorhandene Verzahnungen zwischen Data protection by default/by design (Art. 23), der Datensicherheit (Art. 30) und der Zertifizierung. Denn auch ein Zertifizierungsverfahren soll geeignete Maßnahmen nach Art. 23 und Art. 30 sichtbar machen können (vgl. Art. 23 Abs. 2a bzw. Art. 30 Abs. 2a). Was sich bei der Sicherheit der Datenverarbeitung aus einem Prüfkatalog eines Zertifizierers in der Regel ergeben sollte, müsste bei Maßnahmen zu „datenschutzfreundlichen Voreinstellungen“ explizit in eine entsprechende Auditierung mit einbezogen werden, um als Faktor für eine Umsetzung des Art. 23 angesehen werden zu können.
Nicht zertifizierbar ausweislich des Wortlauts des Art. 39 ist eine persönliche Fachkunde bzw. Qualifikation, wie das beispielsweise bei der Ausbildung von Datenschutzbeauftragten vorgesehen ist. Dies muss jedoch nicht bedeuten, dass der Datenschutzbeauftragte im Rahmen von Zertifizierungen keine Rolle spielen muss. Vielmehr kann er im Prüfverfahren selbst eine Schlüsselrolle einnehmen[28]. Ein Novum hinsichtlich des Zertifizierungsgegenstands offenbart die Grundverordnung über Art. 39 Abs. 1a, wonach sich eine Zertifizierung auch auf geeignete Garantien für einen Transfer personenbezogener Daten in Drittländer ohne angemessenes Datenschutzniveau erstrecken kann – eine Forderung, die sich in der Datenschutzliteratur schon länger finden lässt[29].
Bei der weiteren Ausgestaltung eines Zertifizierungsverfahrens stellt sich auch die Frage, ob man die Einhaltung geltender gesetzlicher Vorgaben bescheinigen möchte, so wie es Art. 39 Abs. 1 S. 1 vorsieht, oder ob man gar weitergehende Prüfkriterien aufstellt, die das gesetzliche Maß überschreiten. Auch wenn der Wortlaut nicht eindeutig ist, sollten Verfahren, die die Anforderungen der Grundverordnung beinhalten, jedoch weitergehende Kriterien aufweisen, möglich sein. So bestehen auf europäischer Ebene teilweise bereits Zertifizierungsvorhaben, die ausdrücklich über die bloße Gesetzeskonformität hinausgehen möchten[30]. Allen Verfahren ist im Übrigen nach Art. 39 Abs. 3 gemein, dass Subjekte einer Zertifizierung sowohl der Zertifizierungsstelle als auch gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung zu stellen und einen erforderlichen Zugang zu den Verarbeitungstätigkeiten zu gewähren haben. Ob damit allen Verfahren eine zwingende Vor-Ort-Kontrolle beim Datenverarbeiter immanent ist, lässt sich aus der Grundverordnung nicht unmittelbar ableiten, würde aber für eine notwendige Prüftiefe sorgen. Um mit technischen Entwicklungen Schritt zu halten, soll eine Zertifizierung für höchstens drei Jahre erteilt werden, wobei, wie bereits bei dem Akkreditierungsprozess, eine Verlängerung möglich sein soll. Für die Publizität erteilter Siegel sorgt ein beim Europäischen Datenschutzausschuss verankertes und zu veröffentlichendes Register (Art. 39 Abs. 5).
4. (Rechts)Folgen einer Zertifizierung
Hinsichtlich der rechtlichen Folgen einer Zertifizierung lässt die Grundverordnung keinen Zweifel: Ein Gütesiegel oder Zertifikat mindert nicht die Verantwortung des für die Verarbeitung Verantwortlichen für die Einhaltung der Grundverordnung. Ebenso bleiben Aufgaben und Befugnisse der nach Art. 51 und 51a zuständigen Aufsichtsbehörde unangetastet (Art. 39 Abs. 2). Dies ist eine wichtige und richtige Klarstellung, die zwar die Euphorie eines zertifizierungswilligen Datenverarbeiters bremsen könnte, aber mit Blick auf eine Unabhängigkeit der Datenschutz-Aufsicht elementar ist. Folglich können auch zertifizierte Unternehmen jederzeit Kontrollen einer Behörde treffen. Allerdings dürfte nicht von der Hand zu weisen sein, dass sich eine Zertifizierung positiv auf einen risikoorientierten Prüfansatz einer Behörde auswirken dürfte, die mit einer Vielzahl von zu kontrollierenden Stellen konfrontiert ist. Wie bereits beim Betroffenen selbst kann das Siegel hier zumindest ein Indiz für datenschutzkonformes Handeln liefern. Die Grundverordnung möchte es bei diesem Anreiz für das Durchlaufen eines datenschutzrechtlichen Zertifizierungsverfahrens jedoch nicht belassen, sondern erwähnt solche Verfahren ausdrücklich im Rahmen der allgemeinen Bedingungen für die Verhängung einer Geldbuße. Gem. Art. 79 Abs. 2a Buchst. j soll bei Entscheidungen einer Aufsichtsbehörde über die Verhängung einer Geldbuße die Einhaltung eines genehmigten Zertifizierungsverfahrens nach Art. 39 gebührend berücksichtigt werden. Hierdurch wird erstmals ein finanzieller Anreiz für zertifizierungswillige Stellen geschaffen und dürfte gerade mit Blick auf den im Vergleich zum BDSG drastisch gestiegenen Bußgeldrahmen zu einer Teilnahme an entsprechenden Siegelverfahren verleiten.
5. Konkretisierungen durch die Kommission
Nach zähen Verhandlungen mit Europäischem Parlament und Rat sind letzte Änderungs- bzw. Ergänzungsmöglichkeiten der Kommission für bestimmte Vorschriften der Grundverordnung im Wege delegierter Rechtsakte bzw. Durchführungsrechtsakte verblieben. Nach Art. 290 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) kann der Kommission eine solche Befugnis übertragen werden, vorausgesetzt der „nachgeschobene“ Rechtsakt hat allgemeine Geltung, was eine Einzelfallregelung ausschließt. Ferner dürfen „nur“ nicht wesentliche Vorschriften des betreffenden Gesetzgebungsrechtsakts – hier der Grundverordnung – vom Rechtsakt betroffen sein. Die Bedingungen, unter denen eine solche Kompetenzzuweisung zugunsten der Kommission erfolgt, werden im jeweiligen Gesetzgebungsakt selbst festgelegt. Entsprechend wird der Kommission gem. Art. 39a Abs. 7 die Befugnis zum Erlass delegierter Rechtsakte übertragen, um Anforderungen für datenschutzspezifische Zertifizierungsverfahren nach Art. 39 festzulegen. Diese Befugnis soll jedoch nach den Spielregeln des Art. 86 ablaufen, was im Wesentlichen die Einbeziehung von Europäischem Parlament und Rat durch eine vorherige Information über Inhalte des Rechtsakts sowie die Möglichkeit eines Einwandes innerhalb einer Dreimonatsfrist nach Übermittlung des Rechtsakts beinhaltet. Im Gegensatz dazu ist eine solche Einbindung der Kommission bei Verfahrensregeln nach Art. 38 f. nicht vorgesehen.
Ob die Kommission Änderungen oder Ergänzungen an Art. 39 vornehmen wird, ist unklar. Aufgrund des notwendigen allgemeinen Geltungscharakters eines delegierten Rechtsakts werden sich besagte Anforderungen nicht auf ein konkretes Zertifizierungs- oder Siegelverfahren beziehen können. Vielmehr wären Konkretisierungen der bestehenden Rahmenbedingungen zu erwarten. Die Ungewissheit hinsichtlich nachgelagerter Aktivitäten der Kommission sollte als Anreiz verstanden werden, Zertifizierungsverfahren auf Ebene der Mitgliedstaaten zu initiieren, um diesen dann nach erfolgter Genehmigung eine „europäische Weihe“ zu geben, auch wenn das Risiko späterer divergierender Vorgaben der Kommission besteht. Denn es darf nicht aus den Augen verloren werden, dass die Kommission über eine Vielzahl nichtgesetzlicher Befugnisse innerhalb der EU-DS-GVO verfügt, deren Ausgestaltung Jahre in Anspruch nehmen dürfte. In der Zwischenzeit sind Datenverarbeiter jedoch auf Siegel- und Zertifizierungsverfahren angewiesen.
Ähnlich wie bei den delegierten Rechtsakten erfolgt auch bei den Durchführungsrechtsakten eine Kompetenzzuweisung an die Kommission, wobei hier ein Rechtsakt (hier die Grundverordnung) durch Erlass eines Durchführungsrechtsakts zur Schaffung einheitlicher Durchführungsbedingungen unterstützt werden soll. Dies bezieht sich nach Art. 39 Abs. 8 auf technische Standards für Zertifizierungsverfahren und Datenschutzsiegel sowie Mechanismen zur Förderung und Anerkennung solcher Verfahren[31]. Einer Festlegung besonderer „Spielregeln“ bedarf es hier nicht, da der europäische Gesetzgeber aufgrund seines Auftrags in Art. 291 Abs. Abs. 3 AEUV bereits allgemein gültige Regeln und Grundsätze zum Erlass von Durchführungsrechtsakten in einer eigenständigen Verordnung[32] zusammengefasst hat und deren Verfahrensregeln durch die Kommission einzuhalten sind. Bezüglich der Schaffung einheitlicher Durchführungsrechtsakte ist noch offen, ob die Kommission eigene technische Standards entwickeln wird. Denkbar, und durch die EU-DSGVO ausdrücklich gefordert, wäre auch die Anerkennung bestehender Standards, beispielsweise aus dem Bereich Informationssicherheitsmanagement oder im Rahmen der Kommunikation von erhobenen Nutzerdaten durch Webseitenanbieter[33]. Gerade bei den technischen Standards und deren Anerkennung wartet die Kommission gerade darauf, geeignete Initiativen aufzugreifen, was als entsprechender Anreiz verstanden werden sollte.
V. Zusammenfassung und Ausblick
Art. 39 und 39a der EU-DS-GVO sorgen zweifelsohne für eine Harmonierung von Datenschutzzertifizierungen auf Ebene der EU und enthalten Ansätze für verbindliche Vorgaben an nationale Akkreditierungsstellen sowie Zertifizierer und deren entwickelte Gütesiegelverfahren. Nichtsdestotrotz bleiben einige Fragen nach derzeitigem Stand unbeantwortet, die mithilfe delegierter Rechtsakte oder nationalstaatlicher Vorstöße noch auszufüllen sind. Kritiker sehen im angedachten Modell der Ko-Regulierung mittels eigener Verfahren in den Mitgliedstaaten eine Verwässerung des Datenschutzniveaus innerhalb der EU. Die Aufsichtsbehörden sowie der Europäische Datenschutzausschuss haben dafür zu sorgen, dass diese Sorgen nicht eintreten. Zum einen sollten Zertifizierungen in einem Mitgliedstaat über das Kohärenzverfahren auch Geltung in den übrigen Staaten haben, zumal auf Basis derselben rechtlichen Vorgaben geprüft wird. Ferner besteht für lokale Initiativen die Möglichkeit, die „europäische Weihe“ des European Privacy Seals zu erhalten. Dieser Prozess wird jedoch noch einige Zeit in Anspruch nehmen, zumal die Aufsichtsbehörden nach Inkraft treten der EU-DS-GVO erst einmal die Grundsätze ihrer Zusammenarbeit zu eruieren haben, bevor es zu der eigentlichen Konkretisierung bzw. Interpretation der Grundverordnung, kommt. Bis dahin werden weiterhin isolierte Verfahren in den Mitgliedstaaten vorhanden sein, die die erste nationale Hürde einer Akkreditierung zu meistern haben. Dieser Prozess sollte jedoch als Chance verstanden werden, indem der Markt sich über Mindeststandards für Datenschutz im Klaren wird und die zuständige Aufsichtsbehörde mit einbezieht. Gerade durch das neue Gesetzeswerk sind verantwortliche Stellen wie Betroffene mehr denn je darauf angewiesen, Sicherheit für einen gesetzeskonformen Umgang mit personenbezogenen Daten zu erhalten. Zertifizierungen sind eine ideale Möglichkeit hierfür.
Prof. Dr. Rolf Schwartmann Leiter der Kölner Forschungsstelle für Medienrecht an der Fachhochschule Köln, Mitherausgeber der Fachzeitschrift RDV sowie Vorstandsvorsitzender der GDD e.V., Bonn. Er ist Mitglied der Plattform „Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft“ im Rahmen des nationalen IT-Gipfels der Bundesregierung und leitet dort die Fokusgruppe Datenschutz.
Steffen Weiß, LL.M. Repräsentant Internationales bei der GDD und aktives Mitarbeiter des europäischen Datenschutz-Dachverbands CEDPO. Er ist Mitglied der Plattform „Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft“ im Rahmen des Nationalen IT-Gipfels und engagiert sich dort u.a. in der Fokusgruppe Datenschutz. Er studierte Rechtswissenschaften an der Universität Heidelberg und erlangte den akademischen Grad des Master of Laws über seine Teilnahme am European Legal Informatics Study Programme mit Stationen in Hannover und Buenos Aires. Vor seiner Tätigkeit bei der GDD war er Berater in Sachen Datenschutz für öffentliche und nicht-öffentliche Stellen. Er hält regelmäßig Vorträge zu datenschutzrechtlichen Themen auf nationalem und internationalem Terrain. Ferner ist er seit 2015 Lehrbeauftragter für Datenschutz an der FH Wedel.
[1] Der Aufsatz orientiert sich am vorläufigen Ergebnistext der Trilogverhandlungen vom 15.12.2015.
[2]http://europa.eu/rapid/press-release_IP-15-6321_de.htm.
[3] Erwägungsgrund 11 der EU-DS-GVO.
[4] So z.B. das Datenschutz-Gütesiegel des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) oder das „Gütesiegel Datenschutz M-V“ des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern.
[5]Http://www.trusted-cloud.de/
[6] Vgl. Modul B 1.5 Datenschutz der IT-Grundschutz-Kataloge
[7] „Da dieser Baustein auf der deutschen Gesetzgebung basiert, kann er in dieser Form außerhalb Deutschlands nur sinngemäß umgesetzt werden. Er kann nicht als Bestandteil einer formalen IT-GrundschutzZertifizierung angesehen werden“, vgl. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b01/b01005.html.
[8]Https://www.datenschutz-mv.de/datenschutz/guetesiegel/guetesiegel.html.
[9] Vgl. https://www.datenschutz-mv.de/datenschutz/guetesiegel/FAQ.html
[10]Https://stiftungdatenschutz.org/wp-content/uploads/2016/01/SDSZertifizierungsu%CC%88bersicht-Januar_2016.pdf.
[11] Art. 27 Abs. 1 der Richtlinie 95/46/EG.
[12]Https://www.european-privacy-seal.eu.
[13]Https://ico.org.uk/for-organisations/improve-your-practices/privacyseals/.
[14]Https://ico.org.uk/media/about-the-ico/consultations/2030/framework-criteria-for-an-ico-endorsed-privacy-seal-scheme.pdf.
[15] CNIL: http://www.cnil.fr/linstitution/labels-cnil/procedures-daudit/; ICO: https://ico.org.uk/for-organisations/improve-your-practices/self-assessments/.
[16] So beispielsweise die Zertifizierung „DPO“ der Asociación Profesional Española de Privacidad (APEP) oder das „ICS Data Protection Practitioner Certificate“ der Irish Computer Society.
[17]Http://europa.eu/rapid/press-release_MEMO-10-542_en.htm
[18] KOM(2012) 11 endg.; ausführlich zu den Zertifizierungsansätzen von Kommission, Parlament und Rat vgl. Krings/Mammen, RDV 2015, 231.
[19] Vgl. Art. 39 Abs. 1a u. 1d des Parlamentsentwurfs für eine EU-DSGVO.
[20] Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates.
[21] Art. 4 Abs. 1 der Verordnung (EG) Nr. 765/2008.
[23]Http://www.european-accreditation.org/.
[24] Dazu die BfDI im Interview in der RDV 5/2015; Krings/Mammen RDV 2015, 231.
[25] Beschluss des Düsseldorfer Kreises vom 25./26. Februar 2014
[26] Durch den Europäischen Datenschutzausschuss genehmigte Prüfkriterien können nach Art. 39 Abs. 2a zu einer gemeinsamen Zertifizierung in Gestalt des „European Privacy Shield“ führen.
[27] Vgl. Vertragsbestimmungen der DSZ Datenschutzzertifizierungsgesellschaft v. 28.08.2014, Ziff. 3, http://www.dsz-audit.de/wp-content/uploads/vertragsbestimmungen_auditoren.pdf.
[28] Vgl. Positionspapier von CEDPO, Improve the protection of (our/ your) data: 6 incentives for appointment of DPOs, abrufbar unter www.cedpo.eu/publications.
[29] Vgl. Lachaud, Certifying compliance of cross-border flows, abrufbar unter http://ec.europa.eu/justice/news/consulting_public/0006/contributions/citizens/lachaud_eric_en.pdf.
[30] So das sich im Entwurfsstadium befindlich ICO Privacy Seal, vgl. https://iconewsblog.wordpress.com/2015/01/28/what-you-need-toknow-about-ico-privacy-seals.
[31] Zum Zusammenspiel zwischen Grundverordnung und technischer Standards vgl. ausführlich Kosta/Stuurmann, Technical standards and the draft General Data Protection Regulation, abrufbar unter http:// ssrn.com/abstract=2642331.
[32] Verordnung Nr. 182/2011/EU zur „Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren“ vom 16.2.2011.
[33] Vgl. https://www.w3.org/P3P/.