EDSA verabschiedet Leitlinien zu Zertifizierung als Instrument bei der Übermittlung von Daten
Der Europäische Datenschutzausschuss (EDSA) hat am 14. Februar 2023 eine Leitlinie über Zertifizierungen als Instrument für Übermittlungen (Guidelines 07/2022 on certification as tool for transfers) angenommen und am 24. Februar 2023 veröffentlicht. Die Zertifizierung ist ein Instrument der DSGVO (Art. 42, 43), durch das die Einhaltung der Datenschutzbestimmungen zuverlässig nachzuweisen sein soll.
Guidelines 07/2022: Leitlinie über Zertifizierungen als Instrument für Übermittlungen
Ein hinreichender Schutz für die Übermittlung personenbezogener Daten in Drittstaaten, für die kein Angemessenheitsbeschluss der EU-Kommission besteht, kann durch eine Zertifizierung nachgewiesen werden. Solche Zertifizierungen würden es Datenexporteuren enorm erleichtern, das Schutzniveau beim Empfänger entsprechend der „SCHREMS II“-Vorgaben zu prüfen.
Die Leitlinien enthalten in Kürze:
- das Verfahren zur Erlangung einer Zertifizierung,
- die Auslegung der Akkreditierung von Zertifizierungsstellen gemäß ISO 17065, Richtlinien 4/2018 und 43 DSGVO,
- die in den Leitlinien 1/2018 aufgeführten Zertifizierungskriterien, zusätzliche spezifische Kriterien für die Bewertung der Rechtsvorschriften von Drittländern, die allgemeine Verpflichtung von Importeuren und Exporteuren, Vorschriften für Weiterleitungen, Rechtsbehelfe und Durchsetzung, Verfahren und Maßnahmen, bei denen die lokalen Gesetze und Praktiken die Einhaltung verhindern,
- die Elemente verbindlicher und durchsetzbarer Verpflichtungen, die für die Verarbeitung Verantwortliche / Verarbeiter, die nicht der DSGVO unterliegen, ergreifen sollten, um angemessene Schutzmaßnahmen für die Datenübertragung in Drittländer zu gewährleisten.
Wer erhält eine Zertifizierung?
Die Zertifizierung erhält nicht der Datenexporteur, sondern der Datenimporteur im Drittland, der diese freiwillig beantragen kann. Zertifiziert wird ein einzelner Verarbeitungsvorgang oder eine Reihe von Verarbeitungsvorgängen. Der Datenexporteur kann sich anschließend auf die Zertifizierung als ausreichende Garantie zur Absicherung des Drittstaatentransfers verweisen.
Die Zertifizierung erfolgt je nach Mitgliedstaat entweder durch eine Zertifizierungsstelle (Art. 43 DSGVO) oder die zuständige Aufsichtsbehörde (Art. 42 Abs. 5 DSGVO; zu den verschiedenen Modellen siehe Leitlinie 01/2018, S. 10 ff.). Problematisch ist, dass sich Zertifizierungsstellen hierfür akkreditieren lassen müssen. Dieser Prozess verlief in der Vergangenheit nur sehr schleppend. So sind erst jetzt, knapp fünf Jahre nach Wirksamwerden der DSGVO, erste Zertifizierungsstellen nach Art. 42 Abs. 1 DSGVO am Markt verfügbar.
Zwei Schritte sind notwendig
Der EDSA betont, dass in einem ersten Schritt die Einhaltung der allgemeinen Bestimmungen der Datenschutz-Grundverordnung sichergestellt werden muss und in einem zweiten Schritt die Bestimmungen von Kapitel V der Datenschutz-Grundverordnung eingehalten werden müssen.
Fazit
Bislang blieb der in Art. 42 Abs. 2 i.V.m. Art 46 Abs. 2 lit. f DSGVO vorgesehene Fall, dass Zertifizierungen als geeignete Garantie für die rechtssichere Datenübermittlung in Drittstaaten gelten können, ohne praktische Relevanz, da die genauen Anforderungen unklar waren. Dies könnte sich langfristig durch die Leitlinien des EDSA nun ändern. Kurzfristig ist in Anbetracht der Erfahrungen mit dem schleppenden Prozess der notwendigen Akkreditierung von Zertifizierungsstellen nicht damit zu rechnen, dass Zertifizierungen für Datentransfers in Drittstaaten bald verfügbar sind.