{"id":6366,"date":"2023-03-20T13:35:02","date_gmt":"2023-03-20T11:35:02","guid":{"rendered":"https:\/\/www.psw-consulting.de\/blog\/?p=6366"},"modified":"2023-03-29T16:39:20","modified_gmt":"2023-03-29T14:39:20","slug":"edsa-verabschiedet-leitlinien-zu-zertifizierung-als-instrument-bei-der-uebermittlung-von-daten","status":"publish","type":"post","link":"https:\/\/www.psw-consulting.de\/blog\/edsa-verabschiedet-leitlinien-zu-zertifizierung-als-instrument-bei-der-uebermittlung-von-daten\/","title":{"rendered":"EDSA verabschiedet Leitlinien zu Zertifizierung als Instrument bei der \u00dcbermittlung von Daten"},"content":{"rendered":"<p>Der <strong>Europ\u00e4ische Datenschutzausschuss (EDSA)<\/strong> hat am 14. Februar 2023 eine <strong>Leitlinie \u00fcber Zertifizierungen als Instrument f\u00fcr \u00dcbermittlungen<\/strong> (<a href=\"https:\/\/edpb.europa.eu\/our-work-tools\/our-documents\/guidelines\/guidelines-072022-certification-tool-transfers_en\">Guidelines 07\/2022 on certification as tool for transfers<\/a>) angenommen und am 24. Februar 2023 ver\u00f6ffentlicht. Die Zertifizierung ist ein Instrument der DSGVO (<a href=\"https:\/\/dsgvo-gesetz.de\/art-42-dsgvo\/\">Art. 42, 43<\/a>), durch das die Einhaltung der Datenschutzbestimmungen zuverl\u00e4ssig nachzuweisen sein soll.<\/p>\n<h2>Guidelines 07\/2022: <strong>Leitlinie \u00fcber Zertifizierungen als Instrument f\u00fcr \u00dcbermittlungen<\/strong><\/h2>\n<p>Ein hinreichender Schutz f\u00fcr die \u00dcbermittlung personenbezogener Daten in Drittstaaten, f\u00fcr die kein Angemessenheitsbeschluss der EU-Kommission besteht, kann <strong>durch eine Zertifizierung nachgewiesen werden<\/strong>. Solche Zertifizierungen w\u00fcrden es Datenexporteuren enorm erleichtern, das Schutzniveau beim Empf\u00e4nger entsprechend der \u201eSCHREMS II\u201c-Vorgaben zu pr\u00fcfen.<\/p>\n<p><strong>Die Leitlinien enthalten in K\u00fcrze: <\/strong><\/p>\n<ul>\n<li>das Verfahren zur <strong>Erlangung einer Zertifizierung<\/strong>,<\/li>\n<li>die <strong>Auslegung der Akkreditierung von Zertifizierungsstellen<\/strong> gem\u00e4\u00df ISO 17065, <a href=\"https:\/\/edpb.europa.eu\/our-work-tools\/our-documents\/guidelines\/guidelines-42018-accreditation-certification-bodies-under_en\">Richtlinien 4\/2018<\/a> und <a href=\"https:\/\/dsgvo-gesetz.de\/art-43-dsgvo\/\"> 43 DSGVO<\/a>,<\/li>\n<li>die in den <a href=\"https:\/\/edpb.europa.eu\/our-work-tools\/our-documents\/guidelines\/guidelines-12018-certification-and-identifying_en\">Leitlinien 1\/2018<\/a> aufgef\u00fchrten <strong>Zertifizierungskriterien<\/strong>, zus\u00e4tzliche spezifische Kriterien f\u00fcr die Bewertung der Rechtsvorschriften von Drittl\u00e4ndern, die allgemeine Verpflichtung von Importeuren und Exporteuren, Vorschriften f\u00fcr Weiterleitungen, Rechtsbehelfe und Durchsetzung, Verfahren und Ma\u00dfnahmen, bei denen die lokalen Gesetze und Praktiken die Einhaltung verhindern,<\/li>\n<li>die <strong>Elemente verbindlicher und durchsetzbarer Verpflichtungen<\/strong>, die f\u00fcr die Verarbeitung Verantwortliche \/ Verarbeiter, die nicht der DSGVO unterliegen, ergreifen sollten, um angemessene Schutzma\u00dfnahmen f\u00fcr die Daten\u00fcbertragung in Drittl\u00e4nder zu gew\u00e4hrleisten.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3><strong>Wer erh\u00e4lt eine Zertifizierung?<\/strong><\/h3>\n<p>Die Zertifizierung erh\u00e4lt nicht der Datenexporteur, sondern der Datenimporteur im Drittland, der diese freiwillig beantragen kann. Zertifiziert wird ein einzelner Verarbeitungsvorgang oder eine Reihe von Verarbeitungsvorg\u00e4ngen. Der Datenexporteur kann sich anschlie\u00dfend auf die Zertifizierung als <strong>ausreichende Garantie zur Absicherung des Drittstaatentransfers<\/strong> verweisen.<\/p>\n<p>Die Zertifizierung erfolgt je nach Mitgliedstaat entweder durch eine <strong>Zertifizierungsstelle<\/strong> (Art. 43 DSGVO) oder die <strong>zust\u00e4ndige Aufsichtsbeh\u00f6rde<\/strong> (Art. 42 Abs. 5 DSGVO; zu den verschiedenen Modellen siehe <a href=\"https:\/\/edpb.europa.eu\/our-work-tools\/our-documents\/guidelines\/guidelines-12018-certification-and-identifying_en\">Leitlinie 01\/2018, S. 10 ff.)<\/a>. Problematisch ist, dass sich Zertifizierungsstellen hierf\u00fcr <strong>akkreditieren<\/strong> lassen m\u00fcssen. Dieser Prozess verlief in der Vergangenheit nur sehr schleppend. So sind erst jetzt, knapp f\u00fcnf Jahre nach Wirksamwerden der DSGVO, erste Zertifizierungsstellen nach Art. 42 Abs. 1 DSGVO am Markt verf\u00fcgbar.<\/p>\n<h3><strong>Zwei Schritte sind notwendig<\/strong><\/h3>\n<p>Der EDSA betont, dass in einem <strong>ersten Schritt<\/strong> die Einhaltung der allgemeinen Bestimmungen der Datenschutz-Grundverordnung sichergestellt werden muss und in einem <strong>zweiten Schritt<\/strong> die Bestimmungen von Kapitel V der Datenschutz-Grundverordnung eingehalten werden m\u00fcssen.<\/p>\n<p>&nbsp;<\/p>\n<h2><strong>Fazit<\/strong><\/h2>\n<p>Bislang blieb der in Art. 42 Abs. 2 i.V.m. Art 46 Abs. 2 lit. f DSGVO vorgesehene Fall, dass Zertifizierungen als geeignete Garantie f\u00fcr die rechtssichere Daten\u00fcbermittlung in Drittstaaten gelten k\u00f6nnen, <strong>ohne praktische Relevanz<\/strong>, da die genauen Anforderungen <strong>unklar<\/strong> waren. Dies k\u00f6nnte sich langfristig durch die Leitlinien des EDSA nun \u00e4ndern. Kurzfristig ist in Anbetracht der Erfahrungen mit dem schleppenden Prozess der notwendigen Akkreditierung von Zertifizierungsstellen nicht damit zu rechnen, dass Zertifizierungen f\u00fcr Datentransfers in Drittstaaten bald verf\u00fcgbar sind.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Europ\u00e4ische Datenschutzausschuss (EDSA) hat am 14. Februar 2023 eine Leitlinie \u00fcber Zertifizierungen als Instrument f\u00fcr \u00dcbermittlungen (Guidelines 07\/2022 on certification as tool for transfers) angenommen und am 24. Februar 2023 ver\u00f6ffentlicht. Die Zertifizierung ist ein Instrument der DSGVO (Art. 42, 43), durch das die Einhaltung der Datenschutzbestimmungen zuverl\u00e4ssig nachzuweisen sein soll. Guidelines 07\/2022: Leitlinie &hellip; <\/p>\n<p class=\"read-more\"><a class=\"btn btn-default\" href=\"https:\/\/www.psw-consulting.de\/blog\/edsa-verabschiedet-leitlinien-zu-zertifizierung-als-instrument-bei-der-uebermittlung-von-daten\/\"> Mehr Lesen<span class=\"screen-reader-text\">  Mehr Lesen<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":6369,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[111],"tags":[177],"class_list":["post-6366","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","tag-drittlandtransfer"],"_links":{"self":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6366","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/comments?post=6366"}],"version-history":[{"count":1,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6366\/revisions"}],"predecessor-version":[{"id":6367,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6366\/revisions\/6367"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media\/6369"}],"wp:attachment":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media?parent=6366"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/categories?post=6366"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/tags?post=6366"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}