Eine Zertifizierung dient dazu, nachzuweisen, dass Datenverarbeitungen den Vorgaben der Datenschutzgrundverordnung entsprechen. Sie ist freiwillig, schafft Vertrauen bei Kunden und Behörden, kann Wettbewerbsvorteile bringen und hilft, den Datenschutz intern besser zu organisieren.
Eine Akkreditierung stellt sicher, dass nur fachlich geeignete, unabhängige und verlässliche Stellen Datenschutzzertifizierungen ausstellen dürfen. Sie dient der Qualitätssicherung, schafft Vertrauen in den Zertifizierungsprozess und verhindert Missbrauch oder Interessenkonflikte. Zertifikate dürfen nur durch akkreditierte Stellen vergeben werden.
Um sich als Zertifizierungsstelle gemäß Artikel 43 Datenschutzgrundverordnung akkreditieren zu lassen, muss ein formal strukturierter Prozess durchlaufen werden, der qualitativ und organisatorisch sehr anspruchsvoll ist. In Deutschland werden Zertifizierungsstellen von der Deutsche Akkreditierungsstelle (DAkkS) zusammen mit den unabhängigen Datenschutzaufsichtsbehörden gemäß § 39 Bundesdatenschutzgesetz akkreditiert.
Anträge auf Akkreditierung können direkt bei der DAkkS gestellt werden. Diese ist zuständig für die formale und fachliche Akkreditierung nach internationalen Normen, insbesondere der DIN EN ISO/IEC 17065. Die zuständige Datenschutzaufsichtsbehörde beurteilt, ob die geplanten Zertifizierungskriterien und -verfahren den Anforderungen der Datenschutzgrundverordnung entsprechen.
Die Datenschutzkonferenz hat ergänzende Anforderungen zur Akkreditierung gemäß Artikel 43 Absatz 3 Datenschutzgrundverordnung in Verbindung mit DIN EN ISO/IEC 17065 formuliert. Das Papier Anforderungen an datenschutzrechtliche Zertifizierungsprogramme der Datenschutzkonferenz beschreibt die Mindestanforderungen an die Zertifizierungskriterien.
Der Akkreditierungsprozess gemäß Artikel 42, 43 Datenschutzgrundverordnung ist in sechs Phasen eingeteilt. Die einzelnen Beschreibungen hierzu können der PDF: Akkreditierungsprozess für den Bereich Datenschutz als nicht barrierefreien Grafik (pdf, 421 KB) entnommen werden.
Verzeichnis genehmigter Zertifizierungsstellen bei dem Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen nach Artikel 42 Absatz 5 und Artikel 43 Absatz 6 Datenschutzgrundverordnung: