TÜV-Nord-Kriterien für Datenschutz-Zertifizierung genehmigt

Die LDI NRW genehmigt TÜV-Nord-Kriterien für Datenschutz-Zertifizierungen nach Art. 42 DSGVO.

Datenschutz-Zertifizierungen nach der DSGVO sollen Unternehmen ermöglichen, die Einhaltung datenschutzrechtlicher Anforderungen transparent und überprüfbar nachzuweisen. In Deutschland nimmt dieses Instrument nur langsam Gestalt an, weil sowohl Zertifizierungsstellen als auch konkrete Prüfkriterien zunächst von den Aufsichtsbehörden genehmigt werden müssen.

In Nordrhein-Westfalen hat die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI NRW) nun einen weiteren Schritt vollzogen: Sie hat die Zertifizierungskriterien des TÜV Nord für ein DSGVO-Datenschutzzertifikat genehmigt. Die Entscheidung basiert auf Art. 42 und 43 DSGVO sowie auf einer Stellungnahme des Europäischen Datenschutzausschusses (EDPB). Damit können die Kriterien künftig als Grundlage für formale Datenschutz-Zertifizierungen dienen.

Datenschutz-Zertifizierungen nach der DSGVO

Die DSGVO sieht in Art. 42 und 43 ausdrücklich Datenschutz-Zertifizierungen vor. Sie sollen Verantwortlichen und Auftragsverarbeitern ermöglichen, die Einhaltung datenschutzrechtlicher Anforderungen nach außen sichtbar zu machen. Zertifizierungen erfüllen dabei mehrere Funktionen:

Zum einen fungiert ein Zertifikat als Nachweis der DSGVO-Compliance. Es dokumentiert, dass technische und organisatorische Maßnahmen sowie Prozesse datenschutzkonform ausgestaltet sind. Ein anerkanntes Zertifikat signalisiert darüber hinaus, dass Datenschutzstandards systematisch überprüft wurden und schafft Transparenz gegenüber Betroffenen und Geschäftspartnern. Schließlich führen Zertifizierungsverfahren auch regelmäßig zu einer systematischen Prüfung von Datenschutzmanagement, Sicherheitsmaßnahmen und Dokumentationspflichten.

Wichtig ist allerdings, dass ein Zertifikat nicht die datenschutzrechtliche Verantwortung des Unternehmens ersetzt . Auch mit Zertifizierung bleibt der Verantwortliche vollständig für die Einhaltung der DSGVO verantwortlich.

Genehmigung der TÜV-Nord-Kriterien

Die Kriterien für eine Datenschutz-Zertifizierung müssen nach Art. 42 DSGVO von einer zuständigen Datenschutzaufsichtsbehörde genehmigt werden. Wird eine Zertifizierung EU-weit relevant, ist zusätzlich der Europäische Datenschutzausschuss (EDPB) beteiligt.

Im vorliegenden Fall hat der TÜV Nord ein Zertifizierungsprogramm entwickelt, die LDI NRW die Kriterien geprüft und genehmigt und sodann dem europäischen Datenausschuss (EDPB) im Verfahren nach Art. 64 DSGVO eine Stellungnahme abgegeben. Diese Stellungnahme bildet die Grundlage für die nationale Genehmigung geschaffen.

Prüfrahmen der Zertifizierung

Die Zertifizierungskriterien des TÜV Nord orientieren sich an zentralen Anforderungen der DSGVO und strukturieren diese in überprüfbare Prüfbereiche.

Zu den typischen Bewertungsfeldern gehören insbesondere:

  • Rechtsgrundlagen und Rechtmäßigkeit der Verarbeitung. Es wird geprüft, ob Datenverarbeitungen auf eine gültige Rechtsgrundlage gestützt sind und dokumentiert werden.
  • Transparenz- und Informationspflichten – Unternehmen müssen nachvollziehbar darlegen, wie sie Betroffene über Datenverarbeitungen informieren.
  • Die Verfahren zur Wahrnehmung von Auskunfts-, Lösch- oder Berichtigungsansprüchen
  • Technische und organisatorische Maßnahmen (Art. 32 DSGVO), insbesondere der Sicherheitsmaßnahmen zum Schutz personenbezogener Daten
  • das Datenschutzmanagement und Governance. Das umfasst Verantwortlichkeiten im Unternehmen, Prozesse zur Datenschutzorganisation und Dokumentation und interne Kontrollmechanismen.

Die Zertifizierung soll damit nicht nur einzelne Maßnahmen prüfen, sondern die Gesamtstruktur des Datenschutzmanagements bewerten.

Rolle der Zertifizierungsstelle

Neben den Kriterien selbst spielt auch die Zertifizierungsstelle eine wichtige Rolle. Zertifizierungen dürfen nur von akkreditierten Stellen durchgeführt werden, die sowohl von der Datenschutzaufsicht als auch von der nationalen Akkreditierungsstelle zugelassen wurden. Der TÜV Nord kann auf Grundlage der genehmigten Kriterien künftig entsprechende Prüfungen durchführen.

Fazit

Mit der Genehmigung der TÜV-Nord-Kriterien durch die LDI NRW nimmt das Instrument der Datenschutz-Zertifizierung nach Art. 42 DSGVO in Deutschland weiter Gestalt an. Unternehmen erhalten damit eine zusätzliche Möglichkeit, ihre Datenschutz-Compliance strukturiert prüfen und nach außen dokumentieren zu lassen.

Die praktische Bedeutung wird jedoch davon abhängen, wie stark solche Zertifizierungen künftig von Unternehmen, Behörden und Geschäftspartnern nachgefragt werden. Klar ist bereits jetzt, dass Zertifikate Transparenz schaffen können, aber nicht die laufende datenschutzrechtliche Verantwortung der Organisation ersetzen.

Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?

Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können. 

Jetzt unverbindliches Angebot anfordern

Das könnte Sie auch interessieren..

Im Trend

Die LDI NRW genehmigt TÜV-Nord-Kriterien für Datenschutz-Zertifizierungen nach Art. 42 DSGVO.
TÜV-Nord-Kriterien für Datenschutz-Zertifizierung genehmigt
Analysiert KI bald Gerichtsurteile?
Analysiert KI bald Gerichtsurteile?
Europas große Antwort auf digitale Risiken: der Cyber Resilience Act
Europas große Antwort auf digitale Risiken: der Cyber Resilience Act 
Der erste Entwurf des EU-Verhaltenskodex zur Kennzeichnung von Deepfakes und KI-Texten
Der erste Entwurf des EU-Verhaltenskodex zur Kennzeichnung von Deepfakes und KI-Texten