Infoveranstaltung der APDL zum Thema "Vertrauen schaffen und Zertifizierung"

Text: Sarah Strichertz, Lisa Mangin

Foto APDL Veranstaltung

Anlässlich des Inkrafttretens des luxemburgischen Datenschutzgesetzes ("Loi du 1er août portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données") am 1. August 2018 hat die APDL ("Association pour la Protection des Données au Luxembourg") in Zusammenarbeit mit der CNPD ("Comission Nationale pour la Protection des Données") und der BDO Tax and Accounting SA eine Informationsveranstaltung zum Thema Zertifizierung organisiert. Die Veranstaltung richtete sich vor allem an luxemburgische Unternehmen und ausländische Unternehmen mit Sitz in Luxemburg, die sich künftig einzelne Datenverarbeitungen zertifizieren lassen möchten. Im Mittelpunkt der Veranstaltung stand demnach die Zertifizierung in Luxemburg und insbesondere das von der CNPD ins Leben gerufene Zertifizierungsprogramm GDPR- CARPA ("General Data Protection Regulation-Certified Assurance Report based Processing Activities").

Ziel der Datenschutzgrundverordnung und somit auch des luxemburgischen Datenschutzgesetzes ist es, mithilfe der Zertifizierung eine Vertrauensbasis zwischen Akteuren auf internationaler Ebene zu schaffen. Artikel 42 der DSGVO handelt von eben jener "Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird". Einfach ausgedrückt ist die Zertifizierung ein schriftlicher Nachweis dafür, dass bestimmte Verarbeitungstätigkeiten im Unternehmen DSGVO-konform erfolgen. Als Ziele der Zertifizierung wurden die Anpassung der Gesetzgebung an nationale Bedürfnisse, ein Nachweis der Anforderungen zur Zertifizierung und eine Anerkennung auf europäischer Ebene genannt.

Das luxemburgische Datenschutzgesetz vom 1. August 2018 verleiht der CNPD in Artikel 15, beruhend auf Art. 43 DSGVO, die Aufgabe, nationale Zertifizierungsstellen zu akkreditieren. Unter Akkreditierung ist die förmliche Anerkennung der technischen und organisatorischen Kompetenz einer Organisation zur Erbringung einer im Rahmen der Akkreditierung konkret definierten Dienstleistung zu verstehen. Somit ist die CNPD nicht selbst für die Zertifizierung der Unternehmen zuständig. Vielmehr akkreditiert sie dritte Unternehmen, die eine derartige Zertifizierung durchführen wollen. Zudem akkreditiert die CNPD Prüfprogramme, anhand derer die DSGVO-konforme Verarbeitung nachgewiesen werden sollen.

Da die DSGVO kein allgemeines oder spezifisches Zertifizierungsschema vorsieht, ist es Aufgabe der CNPD, ein einheitliches Schema für die Zertifizierung zu erarbeiten. Hierfür wurde das Programm "GDPR-CARPA" eingeführt, das den Verarbeitern und Auftragsverarbeitern als Orientierungshilfe dienen soll. Das Zertifizierungsschema CARPA setzt sich aus zwei grundlegenden Dokumenten zusammen:

  1. Die Zertifizierungskriterien für Unternehmen
  2. Die Akkreditierungsanforderungen für Akkreditierungsstellen

Dabei verfolgt die CNPD mit CARPA drei wesentliche Ziele:

  1. Stärkere Gewichtung des Prinzips der Rechenschaftspflicht ("Accountability") für Unternehmen, die sich auf diese Weise auf internationaler Ebene als "datenschutzfreundlich" positionieren können
  2. Gewährleistung der Flexibilität des Schemas, damit es in allen Bereichen Anwendung finden und auch Verarbeitern und Auftragsverarbeitern bei ihrer Tätigkeit zugutekommen kann
  3. Förderung der Einhaltung der Datenschutzrichtlinien und der Selbstverwaltung der Unternehmen

In diesem Zusammenhang gilt es darauf hinzuweisen, dass die CNPD durch das CARPA-Programm vordergründig Datenverarbeitungen zertifiziert. Hierdurch wird dem Unternehmen die Möglichkeit gegeben, selbst alle Datenverarbeitungen aufzulisten, die der Zertifizierungsstelle vorgelegt werden sollen. Als Hilfsmittel stehen den Unternehmen die Berichte der CNPD über den Grundsatz der Zertifizierung und die auf der Website der CNPD aufgeführten Zertifizierungskriterien (https://cnpd.public.lu/fr/actualites/national/2018/05/certification-public-consultation.html) zur Verfügung.

Die CNPD nutzte im Rahmen ihrer Infoveranstaltung zudem die Gelegenheit, ihre Rolle als unabhängige Beratungs- und Akkreditierungsstelle herauszustellen. Als Aufsichtbehörde überwacht sie nicht nur Unternehmen, sondern auch Zertifizierungsstellen bei der Ausführung datenschutzrelevanter Tätigkeiten und gibt Hinweise im Falle von Fragen zur Einhaltung von Datenschutzrichtlinien, zur Zertifizierung und Akkreditierung. Bedeutende von der CNPD genannte Anhaltspunkte betreffen insbesondere die Vermeidung von Labels, die Festlegung der zertifizierten Inhalte, die Fristen zur Zertifizierung sowie die Durchführung der Zertifizierung selbst.