Seit der Verabschiedung der Datenschutz-Grundverordnung (DSGVO), ist die Konformität mit den Richtlinien bezüglich des Datenschutzes ist zu einem zentralen Erfordernis für Firmen und in öffentlichen Verwaltungssachen in der EU geworden. Dies führt zu rechtlichen und finanziellen Risiken die von den für die Datenverarbeitung Verantwortlichen und den Auftragsverarbeitern nicht ignoriert werden können.  

Europrivacy ist ein Zertifizierungsmechanismus, welches durch das Europäische Forschungsprogramm erforscht und entwickelt wurde um Konformität mit der DSGVO und anderweitigen Datenschutzrichtlinien überprüfen, dokumentieren, zertifizieren und wertschätzen zu können. Es wird von dem Europäischen Zentrum für Zertifikation und Datenschutz in Luxembourg (European Centre for Certification and Privacy - ECCP) in Stand gehalten und wird von einem internationalen Expertengemium überwacht. 

Europrivacy wurde auf Grund von ISO/IEC 17065 und Artikel 42 der DSGVO „zu dem Zweck um Konformität mit dieser Richtlinie im Sinne von Dateverarbeitungstätigkeiten der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter zu demonstrieren“.

Es ist weitaus mehr als ein einfacher Zertifizierungsmechanismus. Es bietet eine ausführliche Reihe an online Ressourcen und Dienstleistungen an um Konformität mit Datenschutzvorschriften effektiv zu implementieren, zu stärken und zu demonstrieren. Es wird durch eine Gemeinschaft an qualifizierten Partnern, eine online Akademie, einer Gemeinschafts-Website und online Hilfsmitteln unterstützt.  Es erbringt viele Vorteile.
 

Umfang und Anwendbarkeit

Zweck: Europrivacy ermöglicht die Prüfung, Dokumentation, Zertifizierung und Wertschätzung der Konformität mit der DSGVO und komplementären Datenschutzvorschriften.
Um genau zu sein, assistiert es Firmen und Unternehmen bei:

1. Der Reduktion von rechtlichen und finanziellen Risiken in dem Konformität überprüft und dokumentiert wird.
2. Der Kommunikation und Wertschätzung der Konformität in dem diese in einen Vorzug abgewandelt wird und dadurch einen Vermögenswert eringt.
3. Dem Genießen und der Aufrechterhaltung von Konformität mit Europrivacy und den Online Ressourcen.
4. Dienen als Mechanismus für internationale Datentransfers.

Was: Dank dem hybriden Model, ist Europrivacy auf fast alle Datenverarbeitungstätigkeiten, inklusive innovativer Technologien sowie KI, Blockchain, E-Health und Internet der Dinge anwendbar. Hierbei gibt es jedoch einige Ausnahmen, sowie biomedizinische Daten. Zwar kann die Europrivacy Methodik auf diverse Bewertungsziele angewendet werden, jedoch können gemäß Artikel 42 der DSGVO nur Datenverarbeitungstätigkeiten zertifiziert werden.
Als eine Konsequenz ist es somit in EU Zuständigkeitsgebieten nicht möglich eine ganze Firma oder dessen Management anhand der DSGVO zu zertifizieren. Jedoch kann Konformität progressiv zertifiziert werden, angefangen mit Datenverarbeitungstätigkeiten mit hoher Priorität und und einer schrittweisen Erweiterung der Zertifizierung auf weitere Datenverarbeitungstätigkeiten.

Wer: Europrivacy auf beide anwendbar, die für die Datenverarbeitung Verantwortlichen und Auftragsverarbeiter.

Wo: Europrivacy ist überall dort anwendbar, wo die Konformität mit der DSGVO ermessen werden soll. Jedoch koennen Zertifikate nicht in Rechtsgebieten ausgestellt werden, die über keine angemessenen und ausreichenden Maßnahmen in Hinsicht auf die Rechte und Freiheiten von betroffenen Personen verfügen. Von daher ist es vorerst auf Antragsteller aus dem Europäischen Wirtschaftsraum beschränkt. 

Erweiterungen: Europrivacy wurde entwickelt und gestaltet, um problemlos auf ergänzende nationale Datenschutzvorschriften erweiterbar zu sein, einschließlich nicht-EU-Vorschriften sowie auf bereichs- und technologiebezogene Vorschriften.

Gültigkeit: Zertifikate sind für verlängerbare Zeiträume von jeweils drei Jahren gültig.

Welche Version der Europrivacy-Zertifizierung wählen

Europrivacy ist in zwei Kriterienversionen verfügbar:

Für die reguläre DSGVO-Zertifizierung gemäß Art. 42 DSGVOFür die Zertifizierung von Datenimporteuren als Mechanismus für internationale Datenübermittlungen gemäß Art. 46 DSGVO.

Die Wahl der Kriterienversion ist einfach: Wenn Sie sich in der EU/EWR befinden oder gemäß Art. 3(2) DSGVO der DSGVO unterliegen, weil Sie Daten direkt in Europa erheben, verwenden Sie die regulären Zertifizierungskriterien. Wenn Sie sich außerhalb der EU/EWR befinden und nicht gemäß Art. 3(2) DSGVO der DSGVO unterliegen, aber europäische personenbezogene Daten verarbeiten, die Sie von einer anderen Einheit erhalten haben, verwenden Sie die Zertifizierung für Datenimporteure. Die folgende Tabelle fasst die Optionen zusammen.

Wenn Sie sich schließlich außerhalb der EU/EWR befinden und keine europäischen personenbezogenen Daten aktiv verarbeiten, sollten Sie die Interprivacy-Zertifizierung in Betracht ziehen.

Zertifikationsverfahren

Das Zertifikationsverfahren kann in folgende Hauptschritte unterteilt werden:

1. Vorbereitung und Dokumentation Ihrer Konformität mit den Europrivacy-Kriterien mit Hilfe des Europrivacy Willkommens Pakets inclusive Ressourcen und Hilfsmitteln und qualifizierten Partnern um Risiken zu reduzieren. Sie können zudem Kriterien-Erweiterungen nutzen, um die Konformität mit weiteren EU- oder nationalen Vorschriften zu zertifizieren.
2. ertifizieren Sie die Konformität Ihrer Datenverarbeitung mit einer qualifizierten Zertifizierungsstelle, um den Wert Ihrer Konformität zu bestätigen und zu kommunizieren. Die Zertifizierungsstelle muss von dem Europäischen Zentrum für Zertifizierung und Datenschutz autorisiert sein und über eine gültige Akkreditierung durch eine zuständige nationale Behörde verfügen. Das Zertifikat wird im offiziellen Europrivacy-Zertifikatsregister veröffentlicht, um die Authentifizierung durch Dritte zu ermöglichen und Fälschungen zu verhindern.
3. Erhalten, kommunizieren und steigern Sie den Wert Ihrer Konformität durch Online-Ressourcen und -Werkzeuge, einschließlich Kommunikationsrichtlinien und -vorlagen, kontinuierlicher Updates zu Compliance-Anforderungen sowie jährlicher Überwachungsaudits.

Innovatives Zertifizierungsmodell von Europrivacy

Europrivacy bietet ein innovatives hybrides Zertifizierungsmodell, das von den Vorteilen eines universellen Zertifizierungssystems profitiert und durch bereichs- sowie technologiebezogene Kriterien ergänzt wird, entsprechend der Natur des Bewertungsziels.

GDPR-Kernkriterien: (G/GI)Der Zertifizierungsprozess beginnt stets mit der Europrivacy-Liste der GDPR-Kernkriterien, die die verschiedenen GDPR-Verpflichtungen umfasst, wie im Folgenden erläutert wird:

C – Ergänzende Prüfungen und Kontrollen: Die Kernkriterien werden durch ergänzende Prüfungen und Kontrollen vervollständigt, um die Einhaltung bereichs- und technologiebezogener Verpflichtungen zu bewerten, die für das Prüfobjekt gelten können.

T – Technische und organisatorische Maßnahmen: Die Prüfungen und Kontrollen der technischen und organisatorischen Maßnahmen zielen darauf ab, die Angemessenheit der vorhandenen Maßnahmen zur Sicherung der verarbeiteten Daten zu bewerten. Mit Ausnahme der Verarbeitung von Hochrisikodaten kann dies durch ein gültiges ISO/IEC 27001-Zertifikat ersetzt werden, das das Prüfobjekt umfasst

S – Überwachungsaudit-Checkliste: Einige zusätzliche Kriterien werden für die Überwachungsaudits festgelegt, um die kontinuierliche Einhaltung der Vorschriften über die Zeit zu bewerten und sicherzustellen.

N – Nationale Verpflichtungen: Europrivacy unterstützt die Bewertung der Einhaltung komplementärer nationaler Verpflichtungen durch verschiedene Instrumente:

• Profile nationaler Verpflichtungen für jeden Mitgliedsstaat des Europäischen Wirtschaftsraums. Diese Ressourcen können zur Erstellung eines Berichts zur Konformitätsbewertung nationaler Verpflichtungen (NOCAR) verwendet werden.
• Europrivacy-Erweiterung nationaler Kriterien, um die Konformität eines Prüfobjekts mit ergänzenden nationalen Datenschutzvorschriften zu bewerten und zu zertifizieren. Diese Erweiterungen sind optional und werden auf freiwilliger Basis verwendet, um eine Europrivacy-Zertifizierung auf das entsprechende Nicht-EU-Rechtsgebiet auszudehnen.  
• Analyse potenzieller Rechtskonflikte, um zu beurteilen, ob das für den Antragsteller in Drittländern geltende nationale Recht ihn daran hindern würde, die Anforderungen der DSGVO und der Zertifizierung zu erfüllen.