Artikel 42 EU-DSGVO: Zertifizierung

  1. Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.

  2. Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können auch datenschutzspezifische Zertifizierungsverfahren, Siegel oder Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt worden sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsverarbeiter, die gemäß Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.

  3. Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein.

  4. Eine Zertifizierung gemäß diesem Artikel mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung dieser Verordnung und berührt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, die gemäß Artikel 55 oder 56 zuständig sind.

  5. Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde gemäß Artikel 58 Absatz 3 oder – gemäß Artikel 63 – durch den Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen.

  6. Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach Artikel 43 oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten.

  7. Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden.

  8. Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen in ein Register auf und veröffentlicht sie in geeigneter Weise.

Kommentar zu Art. 42 DSGVO

Art. 42 DSGVO befasst sich mit datenschutzspezifischen Zertifizierungsverfahren und daraufhin zu vergebenden Prüfzeichen und Siegeln. Dadurch soll gleich erkennbar sein, ob ein Unternehmen, Produkt oder eine Dienstleistung den datenschutzrechtlichen Standards der DSGVO entspricht.

Wenn Ihre Kunden beispielsweise in Ihrem Onlineshop einkaufen möchten, mit Ihrem Unternehmen einen Dienstleistungsvertrag abschließen wollen oder wenn Sie mit anderen Firmen in Kontakt treten, ist für Ihr Gegenüber oftmals nicht ersichtlich, ob Sie großen Wert auf Einhaltung der Datenschutzregelungen legen. Aus diesem Grund fördert die EU in der DSGVO die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie die Vergabe von Datenschutzsiegeln und -prüfzeichen durch in Art. 43 DSGVO näher beschriebene, zertifizierte Stellen. Diese Zeichen werden für drei Jahre vergeben und können dann erneuert werden. So ist für jeden nach außen erkennbar, dass Ihr Unternehmen in Übereinstimmung mit der DSGVO bzw. mit anderen nationalen Gesetzen agiert, was zur Gewinnung eines größeren Kundenstamms, einem Wettbewerbsvorteil sowie zu größerem Vertrauen bei Ihren Kunden führen kann.

Zertifizierung – Welche Arten gibt es?


Es existieren weder ein einheitliches Prüfzeichen noch eine zentrale Prüfstelle, die ein Siegel gemäß Art. 42 DSGVO an alle Unternehmen vergibt. Aus diesem Grund ist es etwas kompliziert, den Überblick zu behalten. Eine Übersicht über Siegel, die eine allgemeine datenschutzbezogene Zertifizierung kennzeichnen, erhalten Sie beispielsweise auf der Webseite der „Stiftung Datenschutz“. Gemäß Art. 42 DSGVO sollte auch der Europäische Datenschutzausschuss über eine solche Auflistung verfügen. Derzeit ist ein derartiges Dokument auf der Webseite des Ausschusses jedoch noch nicht vorhanden.

Eine Datenschutzzertifizierung nach Art. 42 DSGVO vergibt beispielsweise der TÜV Rheinland nach einer erfolgreichen Überprüfung der datenschutzrechtlichen Standards in Ihrem Unternehmen (Datenschutzaudit). IT-Produkte und IT-basierte Dienste können zudem mit dem „EuroPriSe“-Siegel ausgezeichnet werden. Für die Überprüfung der Sicherheit von Cloudsystemen eignet sich etwa der „Trusted Cloud“-Standard, welcher vom Bundesministerium für Wirtschaft entwickelt wurde und von der Stiftung Datenschutz verwaltet wird.

Wie kann Ihr Unternehmen ein Datenschutzzertifikat im Sinne von Art. 42 DSGVO erhalten?


Wenn Sie nun darüber nachdenken, dass auch Ihr Unternehmen ein Prüfzeichen gemäß Art. 42 DSGVO erhalten sollte, so stehen wir Ihnen gerne beratend zur Seite. datenschutzexperte.de vergibt im Rahmen der Leistungspakete zudem ebenfalls ein eigenes Datenschutzsiegel, durch welches Sie zeigen, dass Ihr Unternehmen durch uns betreut wird und sich daher professionell und sorgfältig um Datenschutz kümmert. Weitere Informationen finden Sie unter: https://www.datenschutzexperte.de/unsere-leistungen/datenschutzsiegel/.

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr