Zertifizierungsprogramm: Auftragsverarbeiter
Das Zertifizierungsprogramm von EuroPriSe für Auftragsverarbeiter wurde speziell für Auftragsverarbeiter im Sinne von Art. 4(8) GDPR konzipiert. Jedes Unternehmen, das als Auftragsverarbeiter im Sinne der DSGVO tätig ist, kann eine Zertifizierung nach diesem Programm beantragen.
Die nationale Akkreditierungsstelle für Deutschland bzw. die zuständige Aufsichtsbehörde haben das Programm einschließlich der dafür erstellten Zertifizierungskriterien genehmigt. Die Verwaltungsverfahren zur Genehmigung der Kriterien durch den Europäischen Datenschutzausschuss (EDSA) für die gesamte Europäische Union und die Akkreditierung als Zertifizierungsstelle für das Programm laufen bereits und werden voraussichtlich in naher Zukunft abgeschlossen werden.
Eine Zertifizierung nach diesem Programm ist das perfekte Instrument, um Ihren Kunden gegenüber nachzuweisen, dass Sie ausreichende Garantien gemäß Art. 28(1) DSGVO bieten.
Zertifizierungsprogramm: Auftragsverarbeiter
Erfahren Sie mehr über:
Zertifizierungskriterien für Auftragsverarbeiter
- Anforderungen aus rechtlicher Sicht
- Technische und organisatorische Maßnahmen
- Rechte der betroffenen Personen
Laden Sie die EuroPriSe-Kriterien für Auftragsverarbeiter v3.0 herunter:
Gültig seit 07. Okt. 2022 (Datum der Genehmigung durch die zuständige Aufsichtsbehörde)
Gültig seit 07. Okt. 2022 (Datum der Genehmigung durch die zuständige Aufsichtsbehörde)
Zertifizierungsverfahren
- den Zertifizierungsgegenstand (Target of Evaluation - ToE) spezifizieren und dokumentieren,
- eine datenschutzspezifische Risikoanalyse durchführen und die Ergebnisse dokumentieren sowie
- eine sogenannte Reifegradbewertung durchführen und die Ergebnisse dokumentieren.
Der Auftragsverarbeiter beantragt formell die Zertifizierung und legt alle relevanten Dokumente vor (einschließlich der Ergebnisse der oben genannten Tätigkeiten). Wenn alle Anforderungen erfüllt sind, genehmigt die Zertifizierungsstelle den Antrag.
Die Zertifizierungsstelle schließt einen Zertifizierungsvertrag mit dem Auftragsverarbeiter ab.
Ein Evaluierungsteam der Zertifizierungsstelle nimmt die rechtliche und technische Evaluation des Zertifizierungsgegenstands vor und dokumentiert die Ergebnisse in einem Evaluationsbericht.
Ein Bewertungsteam der Zertifizierungsstelle bewertet alle Informationen und Ergebnisse im Zusammenhang mit der rechtlichen und technischen Evaluation ("Vier-Augen-Prinzip").
Die Zertifizierungsstelle trifft die Zertifizierungsentscheidung. Die Entscheidung lautet entweder "bestanden" oder "nicht bestanden". Die Entscheidung lautet "bestanden", wenn alle Zertifizierungsanforderungen erfüllt sind.
Wenn die Zertifizierungsentscheidung „bestanden“ lautet, erteilt die Zertifizierungsstelle die Zertifizierung. Sie dokumentiert die Zertifizierung in einem Zertifikat und trägt Informationen über die Zertifizierung in ein Register auf ihrer Website ein (Zertifikatsliste). Die Zertifizierung ist drei Jahre lang gültig. Eine Rezertifizierung ist möglich.
Die Zertifizierungsstelle führt während des Gültigkeitszeitraums einer Zertifizierung Überwachungstätigkeiten durch. Sie führt regelmäßig, einmal pro Kalenderjahr, eine anlasslose Überwachung durch, mit Ausnahme der Jahre, in denen ein Rezertifizierungsverfahren durchgeführt wird. Darüber hinaus führt sie anlassbezogene Überwachungsmaßnahmen durch, wenn Anomalien auftreten, die eine Nichteinhaltung der Zertifizierungsanforderungen befürchten lassen (z. B. wenn sie eine Beschwerde über die zertifizierten Verarbeitungsvorgänge erhält).
Die Details des Verfahrens sind in einem speziellen Dokument (Verfahrensordnung für Verarbeitungsvorgänge von Auftragsverarbeitern) geregelt. Dieses Dokument ist nicht öffentlich zugänglich.
Beschwerden und Einsprüche:
Einspruch ist das Verlangen eines Zertifizierungskunden gegenüber der Zertifizierungsstelle, eine von ihr getroffene Entscheidung bezüglich des Zertifizierungsgegenstands zu überprüfen.
Beschwerde ist ein Ausdruck der Unzufriedenheit mit den Tätigkeiten der Zertifizierungsstelle, der eine Antwort erwartet und – anders als ein Einspruch – durch jede Person oder Organisation gegenüber der Zertifizierungsstelle eingelegt werden kann.
Zur sprachlichen Vereinfachung und besseren Lesbarkeit wird im Folgenden nur noch der Begriff "Beschwerde" verwendet.
Beschwerden sind mittels eines entsprechenden Formulars auf der Website der Zertifizierungsstelle einzureichen. Der Beschwerdeführer erhält nach erfolgreicher Einreichung der Beschwerde eine automatisierte Empfangsbestätigung.
Nach dem Erhalt einer Beschwerde entscheidet die Zertifizierungsstelle darüber, ob diese zulässig ist (d.h. ob sie sich auf Zertifizierungstätigkeiten, für die die Zertifizierungsstelle verantwortlich ist, bezieht) und folglich inhaltlich geprüft und beschieden werden muss. In der Regel teilt sie dem Beschwerdeführer ihre diesbezügliche Entscheidung innerhalb von zehn Werktagen nach Erhalt der Beschwerde mit.
Die Zertifizierungsstelle ist für das Erfassen und Verifizieren aller erforderlichen Informationen (soweit möglich) verantwortlich, um eine Entscheidung über die Beschwerde herbeizuführen. Falls erforderlich, kann die Zertifizierungsstelle den Beschwerdeführer dazu auffordern, den Gegenstand der Beschwerde zu präzisieren und weitere relevante Informationen zur Verfügung zu stellen. Die Dauer dieser Phase (Ermittlung und Bewertung aller relevanten Informationen) hängt vom Komplexitätsgrad der jeweiligen Beschwerde ab.
Die Zertifizierungsstelle stellt sicher, dass die Entscheidung, die die Beschwerde klärt, durch Personen erfolgt oder bewertet und genehmigt wird, die nicht in die Zertifizierungstätigkeiten, auf die sich die Beschwerde bezieht, einbezogen sind oder waren.
Um sicherzustellen, dass es keinen Interessenkonflikt gibt, darf Personal der Zertifizierungsstelle, das innerhalb der letzten beiden Jahre für einen Kunden Beratungen geleistet hat oder in einem Arbeitsverhältnis mit dem Kunden stand, nicht durch die Zertifizierungsstelle eingesetzt werden, um die Lösung einer Beschwerde des betreffenden Kunden zu bewerten oder zu genehmigen.
Wo immer möglich, informiert die Zertifizierungsstelle den Beschwerdeführer formell über das Ergebnis und die Beendigung des Beschwerdeverfahrens.
Die Zertifizierungsstelle ergreift alle erforderlichen Folgemaßnahmen, um die Beschwerde beizulegen.
Die Zertifizierungsstelle dokumentiert und verfolgt Beschwerden sowie die Maßnahmen, die zu ihrer Lösung ergriffen werden. Im Fall begründeter Beschwerden informiert die Zertifizierungsstelle die zuständige Datenschutzaufsichtsbehörde.
