Zertifizierungsprogramm: Auftragsverarbeiter
Das Zertifizierungsprogramm von EuroPriSe für Auftragsverarbeiter wurde speziell für Auftragsverarbeiter im Sinne von Art. 4(8) GDPR konzipiert. Jedes Unternehmen, das als Auftragsverarbeiter im Sinne der DSGVO tätig ist, kann eine Zertifizierung nach diesem Programm beantragen.
Die nationale Akkreditierungsstelle für Deutschland bzw. die zuständige Aufsichtsbehörde haben das Programm einschließlich der dafür erstellten Zertifizierungskriterien genehmigt. Die Verwaltungsverfahren zur Genehmigung der Kriterien durch den Europäischen Datenschutzausschuss (EDSA) für die gesamte Europäische Union und die Akkreditierung als Zertifizierungsstelle für das Programm laufen bereits und werden voraussichtlich in naher Zukunft abgeschlossen werden.
Eine Zertifizierung nach diesem Programm ist das perfekte Instrument, um Ihren Kunden gegenüber nachzuweisen, dass Sie ausreichende Garantien gemäß Art. 28(1) DSGVO bieten.
Zertifizierungsprogramm: Auftragsverarbeiter
Erfahren Sie mehr über:
Zertifizierungskriterien für Auftragsverarbeiter
- Anforderungen aus rechtlicher Sicht
- Technische und organisatorische Maßnahmen
- Rechte der betroffenen Personen
Das Genehmigungsverfahren für die gesamte EU ist noch nicht abgeschlossen.
Laden Sie die EuroPriSe-Kriterien für Auftragsverarbeiter v3.0 herunter:
Gültig seit 07. Okt. 2022 (Datum der Genehmigung durch die zuständige Aufsichtsbehörde)
Gültig seit 07. Okt. 2022 (Datum der Genehmigung durch die zuständige Aufsichtsbehörde)
Zertifizierungsverfahren
- den Zertifizierungsgegenstand (Target of Evaluation - ToE) spezifizieren und dokumentieren,
- eine datenschutzspezifische Risikoanalyse durchführen und die Ergebnisse dokumentieren sowie
- eine sogenannte Reifegradbewertung durchführen und die Ergebnisse dokumentieren.
Schulungsanbieter, die Interesse daran haben, rechtliche und technische Datenschutzexperten im Hinblick auf die Durchführung einer Reifegradbewertung zu schulen, können sich wegen einer entsprechenden Lizensierung gerne mit uns in Verbindung setzen:
Der Auftragsverarbeiter beantragt formell die Zertifizierung und legt alle relevanten Dokumente vor (einschließlich der Ergebnisse der oben genannten Tätigkeiten). Wenn alle Anforderungen erfüllt sind, genehmigt die Zertifizierungsstelle den Antrag.
Die Zertifizierungsstelle schließt einen Zertifizierungsvertrag mit dem Auftragsverarbeiter ab.
Ein Evaluierungsteam der Zertifizierungsstelle nimmt die rechtliche und technische Evaluation des Zertifizierungsgegenstands vor und dokumentiert die Ergebnisse in einem Evaluationsbericht.
Ein Bewertungsteam der Zertifizierungsstelle bewertet alle Informationen und Ergebnisse im Zusammenhang mit der rechtlichen und technischen Evaluation ("Vier-Augen-Prinzip").
Die Zertifizierungsstelle trifft die Zertifizierungsentscheidung. Die Entscheidung lautet entweder "bestanden" oder "nicht bestanden". Die Entscheidung lautet "bestanden", wenn alle Zertifizierungsanforderungen erfüllt sind.
Wenn die Zertifizierungsentscheidung „bestanden“ lautet, erteilt die Zertifizierungsstelle die Zertifizierung. Sie dokumentiert die Zertifizierung in einem Zertifikat und trägt Informationen über die Zertifizierung in ein Register auf ihrer Website ein (Zertifikatsliste). Die Zertifizierung ist drei Jahre lang gültig. Eine Rezertifizierung ist möglich.
Die Zertifizierungsstelle führt während des Gültigkeitszeitraums einer Zertifizierung Überwachungstätigkeiten durch. Sie führt regelmäßig, einmal pro Kalenderjahr, eine anlasslose Überwachung durch, mit Ausnahme der Jahre, in denen ein Rezertifizierungsverfahren durchgeführt wird. Darüber hinaus führt sie anlassbezogene Überwachungsmaßnahmen durch, wenn Anomalien auftreten, die eine Nichteinhaltung der Zertifizierungsanforderungen befürchten lassen (z. B. wenn sie eine Beschwerde über die zertifizierten Verarbeitungsvorgänge erhält).
Die Details des Verfahrens sind in einem speziellen Dokument (Verfahrensordnung für Verarbeitungsvorgänge von Auftragsverarbeitern) geregelt. Dieses Dokument ist nicht öffentlich zugänglich.
Beschwerden und Einsprüche:
Einspruch ist das Verlangen eines Zertifizierungskunden gegenüber der Zertifizierungsstelle, eine von ihr getroffene Entscheidung bezüglich des Zertifizierungsgegenstands zu überprüfen.
Einsprüche sind durch den Zertifizierungskunden (Einspruchsführer) mittels eines entsprechenden Formulars auf der Website der Zertifizierungsstelle einzureichen (siehe unten). Der Einspruchsführer erhält nach erfolgreicher Einreichung des Einspruchs eine automatisierte Empfangsbestätigung.
Nach dem Erhalt eines Einspruchs entscheidet die Zertifizierungsstelle darüber, ob dieser zulässig ist (d.h. ob er sich auf Zertifizierungstätigkeiten bezieht, für die die Zertifizierungsstelle verantwortlich ist), und folglich inhaltlich geprüft und beschieden werden muss. In der Regel teilt sie dem Einspruchsführer ihre Entscheidung über die Zulässigkeit innerhalb von zehn Werktagen nach Erhalt des Einspruchs mit.
Die Zertifizierungsstelle stellt sicher, dass die Entscheidung, die den (zulässigen) Einspruch klärt, durch Personen erfolgt oder bewertet und genehmigt wird, die nicht in die Zertifizierungstätigkeiten, auf die sich der Einspruch bezieht, einbezogen sind oder waren. Diese Personen müssen die von der Zertifizierungsstelle für die Funktion Einspruch festgelegten Kompetenzkriterien erfüllen.
Um sicherzustellen, dass es keinen Interessenkonflikt gibt, darf Personal der Zertifizierungsstelle, das innerhalb der letzten beiden Jahre für einen Kunden Beratungen geleistet hat oder in einem Arbeitsverhältnis mit dem Kunden stand, nicht durch die Zertifizierungsstelle eingesetzt werden, um die Lösung eines Einspruchs des betreffenden Kunden zu bewerten oder zu genehmigen.
Die Zertifizierungsstelle ist für das Erfassen und Verifizieren aller erforderlichen Informationen (soweit möglich) verantwortlich, um eine Entscheidung über den Einspruch herbeizuführen. Falls erforderlich, kann die Zertifizierungsstelle den Einspruchsführer dazu auffordern, den Gegenstand des Einspruchs zu präzisieren und weitere relevante Informationen zur Verfügung zu stellen. Die Dauer dieser Phase (Ermittlung und Bewertung aller relevanten Informationen) hängt vom Komplexitätsgrad des jeweiligen Einspruchs ab.
Ist der Einspruch begründet, ergreift die Zertifizierungsstelle alle erforderlichen Folgemaßnahmen, um den Einspruch beizulegen.
Die Zertifizierungsstelle informiert den Einspruchsführer formell über das Ergebnis und den Abschluss des Einspruchsverfahrens.
Im Fall begründeter Einsprüche informiert die Zertifizierungsstelle die zuständige Datenschutzaufsichtsbehörde.
Die Zertifizierungsstelle dokumentiert und verfolgt Einsprüche sowie die Maßnahmen, die zu ihrer Lösung ergriffen werden.
Beschwerde ist ein Ausdruck der Unzufriedenheit mit den Tätigkeiten der Zertifizierungsstelle, der eine Antwort erwartet und – anders als ein Einspruch – durch jede Person oder Organisation gegenüber der Zertifizierungsstelle eingelegt werden kann.
Beschwerden sind durch den Beschwerdeführer mittels eines entsprechenden Formulars auf der Website der Zertifizierungsstelle einzureichen (siehe unten). Der Beschwerdeführer erhält nach erfolgreicher Einreichung der Beschwerde eine automatisierte Empfangsbestätigung.
Nach dem Erhalt einer Beschwerde entscheidet die Zertifizierungsstelle darüber, ob diese zulässig ist (d.h. ob sie sich auf Zertifizierungstätigkeiten bezieht, für die die Zertifizierungsstelle verantwortlich ist), und folglich inhaltlich geprüft und beschieden werden muss. In der Regel teilt sie dem Beschwerdeführer ihre Entscheidung über die Zulässigkeit innerhalb von zehn Werktagen nach Erhalt der Beschwerde mit.
Die Zertifizierungsstelle stellt sicher, dass die Entscheidung, die die (zulässige) Beschwerde klärt, durch Personen erfolgt oder bewertet und genehmigt wird, die nicht in die Zertifizierungstätigkeiten, auf die sich die Beschwerde bezieht, einbezogen sind oder waren.
Um sicherzustellen, dass es keinen Interessenkonflikt gibt, darf Personal der Zertifizierungsstelle, das innerhalb der letzten beiden Jahre für einen Kunden Beratungen geleistet hat oder in einem Arbeitsverhältnis mit dem Kunden stand, nicht durch die Zertifizierungsstelle eingesetzt werden, um die Lösung einer Beschwerde des betreffenden Kunden zu bewerten oder zu genehmigen.
Die Zertifizierungsstelle ist für das Erfassen und Verifizieren aller erforderlichen Informationen (soweit möglich) verantwortlich, um eine Entscheidung über die Beschwerde herbeizuführen. Falls erforderlich, kann die Zertifizierungsstelle den Beschwerdeführer dazu auffordern, den Gegenstand der Beschwerde zu präzisieren und weitere relevante Informationen zur Verfügung zu stellen. Die Dauer dieser Phase (Ermittlung und Bewertung aller relevanten Informationen) hängt vom Komplexitätsgrad der jeweiligen Beschwerde ab.
Ist die Beschwerde begründet, ergreift die Zertifizierungsstelle alle erforderlichen Folgemaßnahmen, um die Beschwerde beizulegen.
Wo immer möglich, informiert die Zertifizierungsstelle den Beschwerdeführer formell über das Ergebnis und die Beendigung des Beschwerdeverfahrens.
Im Fall begründeter Beschwerden informiert die Zertifizierungsstelle die zuständige Datenschutzaufsichtsbehörde.
Die Zertifizierungsstelle dokumentiert und verfolgt Beschwerden sowie die Maßnahmen, die zu ihrer Lösung ergriffen werden.
