Um als Zertifizierungsstelle gemäß Art. 43 DSGVO tätig werden zu können, ist eine Akkreditierung erforderlich. Diese richtet sich maßgeblich nach der DIN EN ISO/IEC 17065, die Grundsätze für die Zertifizierung von Produkten, Prozessen und Dienstleistungen enthält.
Eines der wichtigsten Dokumente und wesentlicher Bestandteil für eine Akkreditierung – aber auch Grundlage jedes Zertifizierungsverfahrens – ist ein sog. Konformitätsbewertungsprogramm („KBP“). In einem KBP werden die spezifischen Regeln, Anforderungen und Prüfverfahren festgelegt, die zur Konformitätsbewertung von Datenverarbeitungsvorgängen verwendet werden müssen. Im Ergebnis soll die mit der Zertifizierung verbundene Aussage auf wissenschaftlich rückführbare und systematische Weise getroffen werden können. Neben den von der Zertifizierungsstelle zu erfüllenden Voraussetzungen werden im KBP somit auch die wesentlichen Anforderungen an die zu zertifizierende Stelle sowie der Zertifizierungsprozess selbst beschrieben. Die Festlegung der Prüfung der einzelnen Kriterien ist dabei essenziell, um sicherzustellen, dass verschiedene Prüfer auch zum gleichen Ergebnis einer Konformitätsbewertung kommen. Programmeigner eines solchen KBP ist eine Person oder Organisation, die für die Entwicklung und Aufrechterhaltung des Konformitätsbewertungsprogramms verantwortlich ist. Programmeigner können ihr KBP dabei mehreren akkreditierten Zertifizierungsstellen zur Verfügung stellen.
Erfüllt ein KBP alle Anforderungen, kann es in das Akkreditierungsprogramm der Deutschen Akkreditierungsstelle (DAkkS) aufgenommen werden. Um auch auf künftige Änderungen – bspw. von Datenschutznormen oder im Hinblick auf die Konformitätsanforderungen – rechtzeitig reagieren zu können und das KBP bei Bedarf anzupassen, ist ein Prozess zur laufenden Aktualisierung, Pflege und Weiterentwicklung des Programms erforderlich. Änderungen am KBP müssen den akkreditierten Zertifizierungsstellen, der zuständigen Datenschutzbehörde und der DAkkS sowie ggf. weiteren Interessengruppen frühzeitig mitgeteilt werden. Über die Genehmigung der Änderungen entscheiden sodann die DAkkS und die zuständige Datenschutzbehörde.
Ein mit dem Fokus auf eMobility ausgerichtetes KBP soll kleinen und mittleren Unternehmen der Automobil-Zulieferer die Möglichkeit bieten, einen anerkannten Nachweis über ihre Datenschutzkonformität zu erbringen. Als Ergebnis eines erfolgreich durchlaufenen Zertifizierungsverfahrens wird ein entsprechendes Zertifikat diese Konformität bescheinigen, so dass die Datenschutz-Compliance auch nach außen gezeigt werden kann.