Akkreditierung nach DIN EN ISO/IEC 17065

Keine gültige Zertifizierung nach der EU-DSGVO vor dem 25. Mai 2018 möglich

Keine gültige Zertifizierung nach der EU-DSGVO vor dem 25. Mai 2018 möglich
Fachmeldung,

Bereits im Jahr 2016 trat die neue europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Ab dem 25. Mai 2018 müssen die in der Verordnung enthaltenen Bestimmungen zum Datenschutz verbindlich in den Mitgliedstaaten angewendet werden. Die DSGVO sieht auch Regelungen zu datenschutzspezifischen Zertifizierungsverfahren vor. Die Deutsche Akkreditierungsstelle (DAkkS) weist auf folgende zentrale Aussagen dieser Verordnung zum Thema Zertifizierung und Akkreditierung hin.

Die Aufnahme der Tätigkeit als Zertifizierungsstelle im Sinne von § 39 Bundesdatenschutzgesetz (BDSG) in der ab dem 25. Mai 2018 geltenden Fassung i.V.m. Art. 42 und Art. 43 Absatz 1 Satz 1 der Verordnung (EU) 2016/679 (EU-DSGVO) sowie Art. 41 EU-DSGVO setzt die Erteilung einer Befugnis durch die jeweils zuständige Bundes- oder Landesdatenschutzbehörde voraus.

Diese Befugnis kann privaten Konformitätsbewertungsstellen in Deutschland nur auf Grundlage einer Akkreditierung nach derVerordnung (EG) Nr. 765/2008 durch die Deutsche Akkreditierungsstelle (DAkkS) erteilt werden.

Gemäß Art. 43 Abs. 3 EU-DSGVO erfolgt die Akkreditierung von Zertifizierungsstellen nach der Verordnung (EG) Nr. 765/2008 anhand der Kriterien, die von der zuständigen Bundes- oder Landesdatenschutzbehörde oder von dem Europäischer Datenschutzausschuss gemäß Art. 63 EU-DSGVO genehmigt worden sind.

Diese datenschutzspezifischen Kriterien (Anforderungen des sektoralen Akkreditierungssystems) ergänzen diejenigen Anforderungen, Methoden und Verfahren, die in der Verordnung (EG) Nr. 765/2008, dem Beschluss 768/2008, Anhang 1, R17 und den entsprechend harmonisierten und im Amtsblatt der Europäischen Kommission veröffentlichten (Abl. C 92/101 vom 9.3.2018) oder von diesen Normen in Bezug genommen technischen Normen vorgesehen sind.

Diese zusätzlichen sektoralen Akkreditierungsanforderungen werden zwischen den Datenschutzaufsichtsbehörden in Bund und Ländern und der DAkkS abgestimmt. Diese Abstimmung ist noch nicht abgeschlossen und die sektoralen Akkreditierungsanforderungen können frühestens zum 25. Mai 2018 bereitgestellt werden.

Eine Zertifizierung nach der EU-DSGVO durch eine akkreditierte Konformitätsbewertungsstelle setzt gemäß Art. 42 Abs. 5 EU-DSGVO weiterhin voraus, dass die zuständigen Bundes- oder Landesdatenschutzbehörden oder der Europäische Datenschutzausschuss gemäß Art. 63 EU-DSGVO die Kriterien für die Zertifizierung - also das Zertifizierungsprogramm im Sinne der ISO/IEC 17065 i.V.m. ISO/IEC 17067 - genehmigt haben.

Die DAkkS überprüft Konformitätsbewertungsprogramme auf Akkreditierungsfähigkeit nach dem in der DAkkS-Regel 71 SD 0 016 („Regel zur Prüfung der Feststellung der Akkreditierungsfähigkeit neuer privater Konformitätsbewertungsprogramme“) beschriebenen Verfahren. Nachdem die DAkkS die Akkreditierungsfähigkeit eines Konformitätsbewertungsprogrammes erfolgreich festgestellt hat, wird das Genehmigungsverfahren der zuständigen Bundes- oder Landesdatenschutzbehörden durchgeführt.

Die Abstimmungen zwischen den Datenschutzaufsichtsbehörden in Bund und Ländern und der DAkkS für die dazu notwendigen Verfahren sind noch nicht abgeschlossen. Das Verfahren kann frühestens zum 25. Mai 2018 bereitgestellt werden. Auch eine Befassung des Europäischen Datenschutzausschusses gemäß Art. 43 Abs. 6 Satz 3 EU-DSGVO i.V.m. Art. 64 Abs. 1 lit.c) EU-DSGVO i.V.m. Art.70 Abs. 1 lit. o) EU-DSGVO ist nicht vor dem 25. Mai 2018 möglich.

Interessenbekundungen über beabsichtigte Anträge auf Programmprüfung und Akkreditierung können ab sofort formlos per E-Mail an schemevalidation@dakks.de erfolgen.

Die Meldung von Interessenbekundungen unterstützt die DAkkS und die zuständigen Bundes- oder Landesdatenschutzbehörden bei der Kapazitätsplanung.

Deshalb gilt im Hinblick auf Datenschutzzertifikate:

  1. Unbeschadet der gesetzlichen Befugnisse von Bediensteten der Bundes- oder Landesdatenschutzbehörden können in Deutschland Konformitätsbewertungsaussagen (Zertifikate), die eine Konformität mit den Anforderungen der EU-DSGVO bestätigen, vor dem 25. Mai 2018 weder wirksam ausgestellt noch erworben werden.
  2. Unbeschadet der gesetzlichen Befugnisse von Bediensteten der Bundes- oder Landesdatenschutzbehörden können in Deutschland Zertifikate, die eine Übereinstimmung (Konformität) mit den Anforderungen der EU-DSGVO bestätigen, nur auf Grundlage genehmigter Kriterien und von akkreditierten privaten Zertifizierungsstellen ausgestellt werden. Zertifikate, die diesen Anforderungen genügen, tragen das Akkreditierungssymbol der DAkkS.

Weitere Informationen

Verordnung (EU) 2016/679 (EU-DSGVO)

Externer Link

Verordnung (EG) Nr. 765/2008

Externer Link

Beschluss 768/2008

Externer Link

Amtsblatt der Europäischen Kommission C 92/101 vom 9.3.2018

Externer Link

Regel zur Prüfung der Feststellung der Akkreditierungsfähigkeit neuer privater Konformitätsbewertungsprogramme gemäß Tz. 4.6.3 EN ISO/IEC 17011

Link zum Dokument

Ing. Prof. Dr. iur. Raoul Kirmes

Leiter Stabsbereich Akkreditierungsgovernance, Forschung und Innovation

E-Mail schreiben

Zurück

© 2024 Deutsche Akkreditierungsstelle
Nach oben