DSGVO Gesetzestexte
Artikel 43 EU-DSGVO: Zertifizierungsstellen

Artikel 43 EU-DSGVO: Zertifizierungsstellen

  1. Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58 erteilen oder verlängern Zertifizierungsstellen, die über das geeignete Fachwissen hinsichtlich des Datenschutzes verfügen, nach Unterrichtung der Aufsichtsbehörde – damit diese erforderlichenfalls von ihren Befugnissen gemäß Artikel 58 Absatz 2 Buchstabe h Gebrauch machen kann – die Zertifizierung. Die Mitgliedstaaten stellen sicher, dass diese Zertifizierungsstellen von einer oder beiden der folgenden Stellen akkreditiert werden:
    1. der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde;
    2. der nationalen Akkreditierungsstelle, die gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates im Einklang mit EN-ISO/IEC 17065/2012 und mit den zusätzlichen von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde festgelegten Anforderungen benannt wurde.
  2. Zertifizierungsstellen nach Absatz 1 dürfen nur dann gemäß Absatz 1 akkreditiert werden, wenn sie
    1. ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Zertifizierung zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben;
    2. sich verpflichtet haben, die Kriterien nach Artikel 42 Absatz 5, die von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde oder – gemäß Artikel 63 – von dem Ausschuss genehmigt wurden, einzuhalten;
    3. Verfahren für die Erteilung, die regelmäßige Überprüfung und den Widerruf der Datenschutzzertifizierung sowie der Datenschutzsiegel und -prüfzeichen festgelegt haben;
    4. Verfahren und Strukturen festgelegt haben, mit denen sie Beschwerden über Verletzungen der Zertifizierung oder die Art und Weise, in der die Zertifizierung von dem Verantwortlichen oder dem Auftragsverarbeiter umgesetzt wird oder wurde, nachgehen und diese Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit transparent machen, und
    5. zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
  3. Die Akkreditierung von Zertifizierungsstellen nach den Absätzen 1 und 2 erfolgt anhand der Kriterien, die von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde oder – gemäß Artikel 63 – von dem Ausschuss genehmigt wurden. Im Fall einer Akkreditierung nach Absatz 1 Buchstabe b des vorliegenden Artikels ergänzen diese Anforderungen diejenigen, die in der Verordnung (EG) Nr. 765/2008 und in den technischen Vorschriften, in denen die Methoden und Verfahren der Zertifizierungsstellen beschrieben werden, vorgesehen sind.
  4. 1Die Zertifizierungsstellen nach Absatz 1 sind unbeschadet der Verantwortung, die der Verantwortliche oder der Auftragsverarbeiter für die Einhaltung dieser Verordnung hat, für die angemessene Bewertung, die der Zertifizierung oder dem Widerruf einer Zertifizierung zugrunde liegt, verantwortlich. 2Die Akkreditierung wird für eine Höchstdauer von fünf Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die Zertifizierungsstelle die Anforderungen dieses Artikels erfüllt.
  5. Die Zertifizierungsstellen nach Absatz 1 teilen den zuständigen Aufsichtsbehörden die Gründe für die Erteilung oder den Widerruf der beantragten Zertifizierung mit.
  6. Die Anforderungen nach Absatz 3 des vorliegenden Artikels und die Kriterien nach Artikel 42 Absatz 5 werden von der Aufsichtsbehörde in leicht zugänglicher Form veröffentlicht. Die Aufsichtsbehörden übermitteln diese Anforderungen und Kriterien auch dem Ausschuss. Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel in ein Register auf und veröffentlicht sie in geeigneter Weise.
  7. Unbeschadet des Kapitels VIII widerruft die zuständige Aufsichtsbehörde oder die nationale Akkreditierungsstelle die Akkreditierung einer Zertifizierungsstelle nach Absatz 1, wenn die Voraussetzungen für die Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn eine Zertifizierungsstelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind.
  8. Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zu erlassen, um die Anforderungen festzulegen, die für die in Artikel 42 Absatz 1 genannten datenschutzspezifischen Zertifizierungsverfahren zu berücksichtigen sind.
  9. Die Kommission kann Durchführungsrechtsakte erlassen, mit denen technische Standards für Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen sowie Mechanismen zur Förderung und Anerkennung dieser Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen festgelegt werden. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen.
Zum Inhaltsverzeichnis
Zur Kapitelübersicht
Vorheriger Artikel
Nächstes Kapitel
Nächster Artikel
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung

Kommentar zu
Artikel 43 EU-DSGVO: Zertifizierungsstellen

Kommentar zu Art. 51 DSGVO

Art. 51 DSGVO stellt den Einstieg des 6. Kapitels der Datenschutzverordnung dar, welches sich mit den Aufsichtsbehörden befasst. Diese spielen eine besonders wichtige Rolle, da sie die Einhaltung der Datenschutzbestimmungen überwachen und somit für die korrekte Umsetzung der jeweiligen Regelungen sorgen.

Wer ist „die Aufsichtsbehörde“ in Deutschland?

Art. 51 DSGVO Absatz 1 bestimmt zunächst, dass die Mitgliedsstaaten selbst eine oder mehrere Aufsichtsbehörden einrichten müssen. Für Deutschland ist in diesem Zusammenhang das Bundesdatenschutzgesetz gültig, welches in § 8 von der Errichtung einer obersten Bundesbehörde als Aufsichtsbehörde spricht. Der „Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)“ sitzt in Bonn und ist für sowohl Fragen als auch Beschwerden bezüglich der ihm unterstellten Behörden und Zuständigkeitsbereiche empfänglich. Darunter fallen neben öffentlichen Stellen des Bundes auch Jobcenter und Telekommunikationsunternehmen.

Zusätzlich verfügen auch die einzelnen Bundesländer über Aufsichtsbehörden bzw. Datenschutzbeauftragte, beispielsweise der „Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg“ mit Sitz in Stuttgart. Dieser kontrolliert die Einhaltung der DSGVO und anderer datenschutzrechtlicher Gesetze in Baden-Württemberg. Er nimmt Beschwerden über öffentliche Einrichtungen sowie Unternehmen mit Sitz in diesem Bundesland entgegen. Wenn Sie also befürchten, dass Ihr Arbeitgeber in Karlsruhe Ihre persönlichen Daten unzureichend absichert oder das Finanzamt in Freiburg solche Daten unerlaubt weitergibt, so können Sie dies dem Landesdatenschutzbeauftragten für Baden-Württemberg melden. Entsprechendes gilt für alle anderen Bundesländer.

In welcher Beziehung steht die Aufsichtsbehörde nach Art. 51 DSGVO zu Ihrem Unternehmen?

Die Aufsichtsbehörde muss zunächst eingeschaltet werden, wenn sich in Ihrem Unternehmen ein nicht unerheblicher Verstoß gegen datenschutzrechtliche Richtlinien ereignet hat. Zudem darf sie auf vermeintliche Verstöße hinweisen und Verwarnungen aussprechen. Außerdem ist es den Aufsichtsbehörden gestattet, gegebenenfalls Datenschutzüberprüfungen in Ihrem Betrieb durchzuführen, wonach sie Einblicke in datenschutzbezogene Firmeninformationen erhalten. Die Aufsichtsbehörde im Sinne von Art. 51 DSGVO berät zudem alle internen und externen Datenschutzbeauftragten und erläutert ihnen Fragen im Bereich Datenschutz.