1.1 Art. 42 DSGVO (Zertifizierung)
Rz. 4
Nach Art. 42 Abs. 1 DSGVO wird "die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird", gefördert.
Ein genehmigtes Zertifizierungsverfahren gemäß Art. 42 DSGVO kann z. B. nach Art. 24 Abs. 3, Art. 25 Abs. 3 oder Art. 32 Abs. 3 DSGVO als Faktor herangezogen werden, um die Erfüllung der in diesen Artikeln genannten Anforderungen nachzuweisen (vgl. Komm. zu § 35 SGB I).
1.2 Art. 43 DSGVO (Zertifizierungsstellen)
Rz. 5
Die Zertifizierung wird durch die Zertifizierungsstellen (Art. 43 DSGVO) oder durch die zuständige Aufsichtsbehörde erteilt.
Diese Zertifizierungsstellen werden gemäß Art. 43 DSGVO akkreditiert von
- der zuständigen Aufsichtsbehörde gemäß Art. 55 oder Art. 56 DSGVO oder
- der nationalen Akkreditierungsstelle, die gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates v. 9.7.2008 über die Anforderungen an Akkreditierung und Marktüberwachung bei der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 (ABl. L 218 v. 13.8.2008) und für Akkreditierungen nach Artikel 3 der Verordnung (EG) Nr. 765/2008 im Einklang mit EN-ISO/IEC 17065/2012 und mit den zusätzlichen von der gemäß Art. 55 oder 56 zuständigen Aufsichtsbehörde festgelegten Anforderungen benannt wurde.
Rz. 6
§ 39 BDSG sieht in Ausübung des durch Art. 43 Abs. 1 Satz 2 DSGVO eröffneten mitgliedstaatlichen Gestaltungsspielraums eine Akkreditierung der Zertifizierungsstellen auf der Grundlage des Akkreditierungsgesetzes vor (BT-Drs. 18/11325). Nach § 39 BDSG wird die Befugnis, als Zertifizierungsstelle gemäß Art. 43 Abs. 1 Satz 1 DSGVO tätig zu werden, "durch die für die datenschutzrechtliche Aufsicht über die Zertifizierungsstelle zuständige Aufsichtsbehörde des Bundes oder der Länder auf der Grundlage einer Akkreditierung durch die Deutsche Akkreditierungsstelle" erteilt.
Nach § 39 BDSG finden § 2 Absatz 3 Satz 2, § 4 Absatz 3 und § 10 Absatz 1 Satz 1 Nummer 3 des Akkreditierungsstellengesetzes (AkkStelleG) mit der Maßgabe Anwendung, "dass der Datenschutz als ein dem Anwendungsbereich des § 1 Absatz 2 Satz 2 unterfallender Bereich gilt".
Nationale Akkreditierungsstelle im Sinne der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates ist die Akkreditierungsstelle (DAkkS) nach § 1 Abs. 1 AkkStelleG.
Die Akkreditierung durch die DAkkS ist sachgerecht, weil die DAkkS über hohe Kompetenz und Erfahrung bei der Akkreditierung und über eine etablierte und erprobte Akkreditierungsinfrastruktur verfügt. Die Regelung stellt ein bundeseinheitliches Akkreditierungsverfahren sicher, dass eine europaweite und im Rahmen von Gegenseitigkeitsabkommen auch internationale Anerkennung der Akkreditierungen sicherstellt (BT-Drs. 18/11325).