Domadder ass de Grand-Duché dat éischte Land, dat dëst Verfaren unhëlt. Den GDPR-CARPA gouf de Reegele vun der Dateschutzveruerdnung no ausgeschafft.

D'Aféiere vun dësem Verfare fërdert d'Transparenz wéi och d'Anhale vun der Dateschutzveruerdnung, kuerz DSGVO an erlaabt et esou betraffene Persounen den Niveau vum Dateschutz vun engem Produit oder engem Service besser beurteelen ze kënnen.

D'Schreiwes vun der Dateschutzkommissioun

Belvaux, den 8. Juni 2022

Luxemburg führt als erstes Land ein Zertifizierungsverfahren unter der DSGVO ein

Die CNPD nimmt das Zertifizierungsverfahren « GDPR-CARPA » an

Die nationale Datenschutzkommission (CNPD) hat am 13. Mai 2022 das Zertifizierungsverfahren GDPR-CARPA angenommen. Bei GDPR-CARPA handelt es sich um das erste datenschutzspezifische Zertifizierungsverfahren, gemäß den Regeln der Datenschutzgrundverordnung (DSGVO), welches auf nationaler und internationaler Ebene ausgearbeitet wurde.

Dieses neue Instrument wird am 28. Juni 2022 um 14:00 Uhr vorgestellt. Nähere Informationen zur Veranstaltung finden sie auf der Webseite der CNPD (www.cnpd.lu).

Das datenschutzspezifische Zertifizierungsverfahren

Unternehmen, Behörden, Vereinigungen sowie andere Einrichtungen, die in Luxemburg ansässig sind, haben nun mehr die Möglichkeit zu belegen, dass ihre Datenverarbeitungen gemäß den Richtlinien der DSGVO erfolgen. GDPR-CARPA bietet somit den Verantwortlichen und Auftragsverarbeitern ein hohes Maß an Konformität für ihre Datenverarbeitungen, die der Zertifizierung unterliegen.

Die Einführung eines Zertifizierungsverfahrens fördert die Transparenz, sowie die Einhaltung der DSGVO und erlaubt es den betroffenen Personen das Niveau an Datenschutz eines Produktes, einer Dienstleistung, eines Prozesses oder eines Systems, welche von einer Einrichtung verkauft oder angeboten werden, besser beurteilen zu können. Ein datenschutzspezifisches Zertifizierungsverfahren bezieht sich jedoch nicht auf die Datenschutzkonformität einer Organisation, sondern vielmehr auf den oder die Datenverarbeitungsprozesse.

GDPR-CARPA: das erste Zertifizierungsverfahren unter der DSGVO

Bis heute ist die CNPD die einzige europäische Aufsichtsbehörde, die selbst ein Zertifizierungsverfahren unter der DSGVO ausgearbeitet hat. Als Stelle, welche die Kriterien der Zertifizierung ausgearbeitet hat, ist die CNPD ebenfalls die Eigentümerin dieses Zertifizierungsverfahrens.

Der rege Austausch mit Akteuren aus dem Auditbereich seit dem Inkrafttreten der DSGVO im Jahr 2018 hat es der CNPD erlaubt die Relevanz sowie, die Art des datenspezifischen Zertifizierungsverfahrens zu identifizieren, welches sinnvoll für das luxemburgische Ökosystem sein könnte. In Absprache mit diesen Akteuren hat die CNPD ein erstes Zertifizierungsverfahren entwickelt. Anschließend wurden diese Kriterien von den anderen europäischen Aufsichtsbehörden, im Rahmen des europäischen Kohärenzverfahrens, analysiert und waren Gegenstand eines Beschlusses des Europäischen Datenschutzausschusses (EDSA).

Auf europäischer Ebene und innerhalb des EDSA war die CNPD die treibende Kraft für das Fortschreiten der Arbeiten zum Thema Zertifizierung, insbesondere in der Rolle des Berichterstatters für die entsprechenden Leitlinien oder um den EDSA zu unterstützen seine Stellungnahmen zu diesem neuartigen Thema auszuarbeiten.

Einzigartige Besonderheit des GDPR-CARPA Zertifizierungsverfahren

In Luxemburg fällt der CNPD ebenfalls die Rolle zu, die DSGVO-Zertifizierungsstellen zuzulassen. Die Zulassungskriterien in Zusammenhang mit GDPR-CARPA basieren auf der Norm ISAE 3000 (Audit), ISCQ1 (Qualitätskontrolle der Audit-Akteure) und dem Standard ISO 17065 (Zulassung von Zertifizierungsstellen). Diese Kriterien setzen den Rahmen für die Arbeiten der Zertifizierungsstellen sowie der Akteure aus dem Audit-Bereich.

Das einzigartige Merkmal des Zertifizierungsverfahren der CNPD besteht in der Tatsache, dass es auf einem ISAE 3000 Type 2 Bericht beruht, welcher es erlaubt eine Einschätzung zur richtigen Implementierung des Kontrollschemas vorzunehmen, unter der Verantwortung des Prüfers. Dies garantiert ein hohes Anforderungsniveau, entscheidendes Kriterium um bei den verschiedenen Akteuren, und insbesondere bei den betroffenen Personen ein hohes Gefühl des Vertrauens in Bezug auf die Datenverarbeitung, welche unter das Zertifizierungsschema fällt, zu erzeugen.