Die Zuständigkeit für Zertifizierungsverfahren gemäß Art. 42 DSGVO obliegt Zertifizierungsstellen, die speziell dafür von den nationalen Datenschutzbehörden akkreditiert werden. Um hierbei ein einheitliches Vorgehen innerhalb der EU zu gewährleisten, werden die entsprechenden nationalen Regelungen für eine solche Akkreditierung auf europarechtlicher Ebene freigegeben. In Österreich wird dieses Akkreditierungsverfahren durch die Zertifizierungsstellen-Akkreditierungs-Verordnung („ZeStAkk-V“) geregelt, welche am 17.2.2021 kundgemacht wurde. Eine bereits akkreditierte Zertifizierungsstelle gibt es innerhalb der EU noch nicht, allerdings gibt es, so auch in Österreich, die ersten Anträge auf Akkreditierung.
Durch eine Zertifizierung gemäß Art 42 DSGVO wird bestätigt, dass einzelne Verarbeitungsvorgänge in Bezug auf personenbezogene Daten den Bestimmungen der DSGVO entsprechen und somit ein angemessenes Datenschutzniveau gewährleistet ist. Was genau zertifiziert werden kann, hängt vom jeweiligen Zertifizierungsgegenstand ab, für den sich die Zertifizierungsstelle hat akkreditieren lassen. Dies kann zB das Dokumentenmanagement in einem Betrieb sein.
Haben Sie ein Zertifizierungsverfahren positiv durchlaufen, sind Sie berechtigt, ein sogenanntes „Datenschutzsiegel bzw. –prüfzeichen“ zu führen, welches auf die vorhandene Zertifizierung hinweist.
Inwiefern ist ein solches Zertifikat sinnvoll und welchen Mehrwert hat es für mein Unternehmen?
Eine Zertifizierung gemäß Art. 42 DSGVO stellt für Unternehmen ein Compliance-Instrument bzw. auch ein gewisses Qualitätskriterium dar. Durch Führung des Datenschutzsiegels ist für Dritte ohne weitere Rückfragen ersichtlich, dass Ihr Unternehmen die datenschutzrechtlichen Vorgaben entsprechend umgesetzt hat. Die Zertifizierung ist somit ein Zeichen dafür, dass in Ihrem Unternehmen das Thema „Datenschutz“ ernst genommen wird und Ihre Verarbeitungsvorgänge auch einer externen Überprüfung durch eine akkreditierte Zertifizierungsstelle standhalten. Es stellt somit einen gewissen Qualitätsnachweis dar. Dies stärkt das Vertrauen Ihrer Mitarbeiter und Kunden und schafft somit auch einen gewissen Wettbewerbsvorteil gegenüber nicht zertifizierten Unternehmen.
Durch einen solchen Nachweis kann auch gegenüber anderen Unternehmen oder auch der Behörde dargelegt werden, dass die notwendigen Garantien bzw. datenschutzrechtlichen Anforderungen im Unternehmen erfüllt werden. Dies ist daher auch für sogenannte Auftragsverarbeiter sinnvoll, um gegenüber dem Verantwortlichen nachzuweisen, dass die entsprechenden datenschutzrechtlichen Bestimmungen eingehalten werden. Dies kann in weiterer Folge auch zu einer Haftungsreduzierung führen.
Wie bereits erwähnt, ist eine Zertifizierung derzeit noch nicht möglich, allerdings befinden sich bereits einige Zertifizierungsstellen in Akkreditierung. Sobald Österreich über eine akkreditierte Zertifizierungsstelle verfügt, wird diese auf der Website der Datenschutzbehörde veröffentlicht.
Mag. Karina Beyer
Mag. Barbara Spanberger