Die Neuerungen, die die DSGVO im Mai 2018 mit sich brachte, betreffen nicht nur höhere Sanktionen bei Datenschutzverletzungen oder das Recht auf Datenübertragbarkeit. Mit Art. 42 DSGVO wurde auch eine unionsweite Regelung für Datenschutz-Zertifizierungen geschaffen.
Eine Zertifizierung schafft Vertrauen, Sicherheit und Transparenz. Mangels einheitlicher Regelungen und einer fehlenden unabhängigen Überprüfungsinstanz existierten bisher verschiedene Datenschutz-Siegel und -Gütezeichen auf dem Markt. Dabei unterschieden sich die Anbieter in der Art der Ausgestaltung (sowohl in finanzieller, zeitlicher, aber auch inhaltlicher Hinsicht) stark voneinander. Während das Zertifikat mancherorts auf Basis einer reinen Dokumentenprüfung erteilt wurde, führten andere Anbieter mehrtägige Audits vor Ort durch. Auch der Geltungsbereich oder die Gültigkeit der Zertifikate waren oft uneinheitlich und Kriterienkataloge regelmäßig nicht öffentlich verfügbar. Es existierte auch kein zentrales Verzeichnis, das es Unternehmen ermöglichte, diese Zertifikate zu überprüfen oder miteinander vergleichen zu können. Schwarze Schafe auf dem Markt trugen dazu bei, dass das Vertrauen und die Glaubwürdigkeit in datenschutzrechtliche Zertifikate stark gelitten haben.
Die DSGVO schafft insofern langersehnte und verbindliche Regelungen für Datenschutz-Zertifizierungen und stellt sicher, dass diese über ein transparentes Verfahren zugänglich sind. Die Zertifizierung nach Art. 42 DSGVO wird durch eine Zertifizierungsstelle erteilt, die hohe Anforderungen erfüllen muss (Art. 43 DSGVO). Des Weiteren werden alle Zertifizierungsverfahren, Datenschutzsiegel und -prüfzeichen in ein Register aufgenommen und veröffentlicht (Art. 42 Abs. 8 DSGVO).
Für Unternehmen kann eine DSGVO-Zertifizierung zu einem bedeutenden Marktvorteil gegenüber Wettbewerbern führen, da mit dem Zertifikat die Erfüllung der gesetzlichen Anforderungen – wie Privacy by Design (Art. 25 DSGV) oder die Sicherheit der Verarbeitung (Art. 32 DSGVO) – nachgewiesen werden kann. Neben Vertrauen und Transparenz wird damit auch Rechtssicherheit erlangt. Als weiterer positiver (Neben-)Aspekt soll nicht unerwähnt bleiben, dass die Datenschutzbehörde bei der Entscheidung über die Verhängung einer Geldbuße die Einhaltung von genehmigten Zertifizierungsverfahren als mildernden Faktor berücksichtigen muss (Art. 83 Abs. 2 lit. j DSGVO).
Wenngleich ein großes Interesse an DSGVO-Zertifizierungen besteht und schon viele Anstrengungen unternommen wurden, existiert bislang kein Anbieter auf dem Markt, der eine solche DSGVO-Zertifizierung anbieten kann. Zum jetzigen Zeitpunkt besteht daher (noch) keine Möglichkeit, eine Zertifizierung nach Art. 42 DSGVO zu erwerben – dies wird sich in (naher) Zukunft allerdings ändern.