DA+

Aufsatz : Zertifizierungsstellen nach der DS‑GVO als Beliehene? : aus der RDV 4/2023 Seite 223 bis 229

Lesezeit 22 Min.

Das Verfahren nach den Art. 42 und 43 DS-GVO kennt neben der Datenschutzaufsichtsbehörde eine weitere Akteurin, welche Zertifizierungen erteilen kann: Die akkreditierte Zertifizierungsstelle. Ob diese hoheitlich tätig wird und insofern selbst als Behörde dem allgemeinen Verwaltungsverfahrensrecht unterliegt, ist bislang nicht abschließend geklärt. Dabei hängen von der Beantwortung dieser Vorfrage maßgebliche Weichenstellungen u.a. für den Ablauf des Verfahrens und den Widerruf von Zertifizierungen ab.

I. Überblick

Certificāre aus dem Spät- bzw. Kirchenlateinischen bedeutet so viel wie vergewissern, jemandem etwas versichern, sicherstellen (von certus „sicher, gewiss“ und facere „machen, tun“). Die hergebrachte Arbeitsdefinition der International Standards Organisation (ISO) für den Vorgang der Zertifizierung lautet: „the provision by an independent body of written assurance (a certificate) that the product, service or system in question meets specific requirements.”[1] Gefordert wird also gemeinhin eine von unabhängiger dritter Seite herrührende Bestätigung, dass ein Prüfungsgegenstand bestimmten zuvor festgelegten Prüfkriterien entspricht.

II. Zertifizierung im Datenschutzrecht

Die datenschutzrechtliche Zertifizierung ist maßgeblich in den Artt. 42 und 43 DS-GVO geregelt. In der VO 2018/1725/EU zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union (EUIBA) wird unmittelbar auf die DS-GVO-Vorschriften verwiesen und somit ein Gleichlauf erzeugt. Demgegenüber kennt die RL 2016/680/EU zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung (JI-RL) keine Zertifizierung.

1. Gegenstand der Zertifizierung

Unsicherheit besteht hinsichtlich des eigentlichen Gegenstands, der zertifiziert werden soll. Während Erwägungsgrund 100 DS-GVO Produkte und Dienstleistungen in den Blick nimmt, werden im regelnden Teil entweder Verarbeitungsvorgänge (Art.  42 Abs.  2 DS-GVO), Verarbeitungen[2](Art.  42 Abs. 6 DS-GVO) oder Verarbeitungstätigkeiten[3] (Art. 42 Abs. 6 DS-GVO) angesprochen. Nach Auffassung des Europäischen Datenschutzausschusses kommt hier vor dem Hintergrund der ISO 17065 ein weites Verständnis zum Tragen, indem die tatbestandlichen Verarbeitungsvorgänge zu Produkten, Dienstleistungen und Prozessen gebündelt werden können.[4]Unabhängig von etwaigen Meinungsstreitigkeiten wird zumindest deutlich, was nicht Gegenstand der Zertifizierung sein kann: Personenzertifizierungen (etwa zum behördlichen oder betrieblichen Datenschutzbeauftragten) oder sonstige personengebundene Nachweise, etwa zugunsten von Anbietern, Herstellern oder Importeuren, scheiden von vornherein aus. Taugliche Antragssteller sind insoweit gem. Art. 42 Abs. 7 S. 1 DS-GVO ausschließlich Verantwortliche oder Auftragsverarbeiter.[5] Ausweislich Art. 42 Abs. 1 DS-GVO ist (mindestens) die Einhaltung der Verordnung als Zertifizierungsmaßstab festgelegt.[6] Zur Ermittlung und Festlegung von Zertifizierungskriterien haben sowohl der Europäische Datenschutzausschuss[7]als auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder[8]Papiere veröffentlicht.

2. Wirkungen und Vorteile der Zertifizierung

Gem. Art.  42 Abs.  2 DS-GVO muss die Zertifizierung stets freiwillig erfolgen. Es handelt sich daher nicht um einen Erlaubnisvorbehalt für das Inverkehrbringen von Produkten. Zu den „Soft-Benefits“ gehören zweifellos Marketing und PR. Öffentliche Stellen könnten u.U. eine bestehende Zertifizierung bei der Ausschreibung und Beschaffung voraussetzen[9] oder zumindest berücksichtigen. Zum Teil wird außerdem vermutet, dass Aufsichtsbehörden ihre Kontrolltätigkeit nach dem Opportunitätsprinzip eher auf nicht-zertifizierte Verantwortliche und Auftragsverarbeiter konzentrieren werden („Fliegen unterm Radar“).[10]

Einige Gründe für das Durchlaufen eines Zertifizierungsverfahrens[11] lassen sich dagegen unmittelbar in der DS-GVO ablesen. Zunächst erleichtert eine bestehende Zertifizierung den Nachweis der Rechtmäßigkeit der Verarbeitung.[12] Die Zertifizierung wird ausdrücklich genannt im Zusammenhang mit der Verantwortung des für die Verarbeitung Verantwortlichen (Art. 24 Abs. 3 DS-GVO), den Grundsätzen von privacy by design/privacy by default (Art. 25 Abs. 3 DS-GVO), der Auftragsverarbeitung (Art. 28 Abs. 3 DS-GVO) sowie der Sicherheit der Verarbeitung (Art. 32 Abs. 3 DS-GVO). Auch im Rahmen einer Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) wird einer Zertifizierung bestätigende Wirkung zukommen,[13] zumindest im Falle einer Folgeprüfung nach Art.  35 Abs.  11 DS-GVO.

Bei Drittstaattransfers erleichtert die Zertifizierung nicht nur den Nachweis der Rechtmäßigkeit, sondern kann selbst Teil der Rechtfertigung (Art. 46 Abs. 2 lit. f DS-GVO) sein.[14]

Kommt es zum Rechtsverstoß, kann eine Haftungsminimierung zum Tragen kommen, dies einerseits bei der Bemessung eines Bußgelds (Art.  83 Abs.  2 lit. j DS-GVO), andererseits beim schadensersatzrechtlichen Exkulpationsversuch[15] (Art. 82 Abs. 3 DS-GVO).

Die DS-GVO besitzt unterdessen keine Sperrwirkung für freie, nicht-akkreditierte Zertifizierungsprogramme.[16] Letztere entfalten jedoch keine besonderen Rechtswirkungen und sind allenfalls zu Werbezwecken einsetzbar. Eine Beleihung nicht-akkreditierter Zertifizierer kommt daher nicht in Frage.

3. Akteure im Zertifizierungsverfahren

Der Weg zur Zertifizierung, wie er in der DS-GVO vorgezeichnet ist, weist einige Verzweigungen auf.

Zunächst bedarf es bestimmter Zertifizierungskriterien, diese werden gem. Art. 42 Abs. 5 S. 1 i.V.m. Art. 58 Abs. 3 lit. f Alt. 2 DS-GVO grds. von der Aufsichtsbehörde genehmigt. Sofern stattdessen der Europäische Datenschutzausschuss die Kriterien genehmigt (Art. 42 Abs. 5 S. 1 und 2 i.V.m. Art. 63 DS-GVO), ist der Weg zum sog. Europäischen Datenschutzsiegel eröffnet.

Die Zertifizierung selbst erfolgt gem. Art.  42 Abs.  5 S.  1 DS-GVO durch die Aufsichtsbehörde oder durch eine akkreditierte Zertifizierungsstelle. Die zuvor erforderliche Akkreditierung wird gem. Art. 43 Abs. 1 S. 2 DS-GVO entweder durch die Aufsichtsbehörde oder durch die nationale Akkreditierungsstelle erteilt.[17] In Deutschland ist die nationale Akkreditierungsstelle nach §  1 Abs.  1 AkkStelleGBV die Deutsche Akkreditierungsstelle GmbH (DAkkS). Gem. § 39 S. 1 BDSG erteilt die Aufsichtsbehörde nach erfolgreicher Akkreditierung durch die DAkkS der Zertifizierungsstelle die Befugnis, ihre Tätigkeit auszuüben.

Die Erteilung oder Verweigerung einer Zertifizierung durch eine Zertifizierungsstelle erfolgt gem. Art.  43 Abs.  5 DS-GVO erst nach vorheriger Notifizierung der Aufsichtsbehörde. Aufsichtsbehörden und Zertifizierungsstellen können nötigenfalls Zertifizierungen widerrufen (Art.  42 Abs.  7 S.  2 DS-GVO, Art. 58 Abs. 2 lit. h DS-GVO).

III. Hoheitliches Handeln

Bemerkenswert ist zunächst, dass durch den Einsatz privat verfasster Zertifizierungsstellen parallele Strukturen zur Datenschutzaufsicht aufgebaut werden. Die Zertifizierung erfolgt keineswegs allein im wirtschaftlichen Interesse der Antragsteller, sondern ausweislich Erwägungsgrund 100 DS-GVO im Interesse der Transparenz zugunsten der betroffenen Personen. Zugleich ist mit der erfolgreichen Zertifizierung eine Erweiterung des Rechtskreises sowie eine Verbesserung der Rechtsstellung der jeweiligen Antragsteller verbunden (siehe oben Pkt. II. 2.). Das Zertifizierungsverfahren wird folglich sowohl von Aufsichtsbehörden als auch Zertifizierungsstellen gleichermaßen im öffentlichen Interesse durchgeführt.[18]

1. Beliehene

Das Verwaltungsrecht kennt seit jeher Privatrechtssubjekte, welche hoheitliche Aufgaben wahrnehmen. Beliehene (oder: beliehene Unternehmer) sind eigenständige Verwaltungsträger und somit Teil der mittelbaren Staatsverwaltung. Sie sind Behörden im Sinne von § 1 Abs. 4 VwVfG. Diese Sonderstellung ist notwendig, da gem. Art. 33 Abs. 4 GG die Ausübung hoheitsrechtlicher Befugnisse als ständige Aufgabe grds. dem Privatsektor entzogen und in der Regel Angehörigen des öffentlichen Dienstes zu übertragen ist, welche in einem öffentlich-rechtlichen Dienst- und Treueverhältnis stehen.[19] Die Beleihung bedarf daher aus verfassungsrechtlicher Sicht einer restriktiven Handhabung.

Der Beliehene ist zunächst eine Figur des nationalen Verwaltungsrechts. Er kann dennoch in unionsrechtlichen Zusammenhängen Bedeutung erlangen.[20] Die Union ist mangels umfassenden Verwaltungsunterbaus für die Durchführung des Unionsrechts auf die Mitwirkung der Mitgliedstaaten angewiesen (sog. indirekter Vollzug). Das Unionsrecht statuiert dabei für die Mitgliedstaaten kein Allgemeines Verwaltungsrecht. Es existiert also keine eigenständige Kodifikation eines „Unionsverwaltungsrechts“.[21] Stattdessen ist anerkannt, dass in Ermangelung unionsrechtlicher Vorgaben stets das jeweilige mitgliedstaatliche Verwaltungsrecht bei der Durchsetzung des Unionsrechts maßgeblich ist.[22] Der Behördenbegriff ist insofern ebenfalls mitgliedstaatlich zu bestimmen.[23]

2. Folgen einer etwaigen Beleihung im Zertifizierungsumfeld

Würde es sich bei den Zertifizierungsstellen um Beliehene und somit um Behörden handeln, hätte dies weitreichende Folgen für das Zertifizierungsverfahren. Die Zertifizierungsstelle wäre selbst unmittelbar grundrechtsverpflichtet[24] (Art.  1 Abs.  3, 20 Abs.  3 GG) und müsste verwaltungsverfahrensrechtliche Vorschriften beachten. Die (Nicht-)Erteilung der Zertifizierung erfolgte im Wege des Verwaltungsakts gem. §  35 S.  1 VwVfG.[25] Dementsprechend wäre eine Rechtsbehelfsbelehrung gem. § 37 Abs. 6 VwVfG anzufügen. Rechtsschutz wäre grds. nur innerhalb einer Monatsfrist möglich[26] und nicht etwa innerhalb der zivilrechtlichen Verjährungsfrist von drei Jahren.[27] Die gerichtliche Auseinandersetzung fände vor dem Verwaltungsgericht und nicht vor dem Zivilgericht statt. Verwaltungsgebühren würden per Bescheid festgesetzt und nötigenfalls vollstreckt, nicht etwa per privater Rechnung beigetrieben. Die Aufhebung eines Zertifizierungsverwaltungsaktes richtete sich grds. nach den §§ 48, 49 VwVfG.[28] Wäre die Zertifizierungsstelle eine Behörde, könnte gegen sie wegen Art. 83 Abs. 7 DS-GVO i.V.m. § 43 Abs. 3 BDSG kein Bußgeld nach Art. 83 Abs. 4 lit. b DS-GVO verhängt werden, es sei denn, sie nähme gem. § 2 Abs. 5 S. 1 BDSG am Wettbewerb teil.[29] Schadenersatzrechtlich griffe gem. Art. 34 S. 2 GG die Amtshaftung. Darüberhinaus wäre das Informationsfreiheitsrecht einschlägig. Die Frage nach der Belieheneneigenschaft besitzt deshalb unmittelbare praktische Bedeutung.[30]

3. Beleihung der Zertifizierungsstelle

Eine gesetzliche Definition fehlt im VwVfG,[31] doch gilt als Beliehener jede natürliche oder juristische Person des Privatrechts, die durch oder aufgrund Gesetzes hoheitliche Aufgaben im eigenen Namen und in eigener Verantwortung mit hoheitlichen Mitteln unter staatlicher Aufsicht wahrnimmt.[32] Im datenschutzrechtlichen Schrifttum wird – soweit ersichtlich – vertreten, bei der Zertifizierungsstelle im Sinne von Art. 43 DS-GVO handele es sich um eine rein privatrechtliche Figur.[33] Eine Begründung bleiben die Verfasser schuldig.[34]

a) Unproblematisches

Als Zertifizierungsstellen kommen zunächst unzweifelhaft natürliche oder juristische Personen des Privatrechts in Betracht. Es fehlt an einer Verwendung des Begriffs „Beleihung“ im Gesetzeswortlaut. Zum Vergleich: Die DAkkS wird gem. § 8 Abs. 1 S. 1 AkkStelleG i.V.m. § 1 Abs. 1 AkkStelleGBV ausdrücklich zur Beliehenen erklärt. Ähnlich verhält es sich mit Beleihungen in anderen Rechtsgebieten.[35] Das Fehlen der Bezeichnung im Gesetzestext ist jedoch unschädlich,[36] wie etwa der Vergleich mit der Hauptuntersuchung von Kraftfahrzeugen (§ 29 Abs. 2 S. 2 StVZO), einem klassischen Schulbeispiel der Beleihung, zeigt. Zudem ist nicht zu erwarten, dass sich der Unionsgesetzgeber des Sprachgebrauchs nationalen Verwaltungsrechts bedient.[37] Das argumentum e silentio geht daher ins Leere.

Die Zertifizierungsstelle handelt von vornherein im eigenen Namen und in eigener Verantwortung, dies folgt aus der formalen Gleichrangigkeit der Zertifizierungen von Zertifizierungsstelle bzw. Aufsichtsbehörde in Art.  42 Abs.  5 S.  1 DS-GVO. Die Bewertung durch die Zertifizierungsstelle erfolgt gem. Art. 43 Abs. 4 S. 1 DS-GVO abschließend und in eigener Verantwortlichkeit. Dass dann zwei Behörden mit identischer Zuständigkeit agierten, wäre unschädlich. Hinsichtlich der vorgelagerten Akkreditierung ist bereits eine vergleichbare Parallelität von Aufsichtsbehörde und beliehener Akkreditierungsstelle in Art. 43 Abs. 1 S. 2 DS-GVO angelegt. Auch in anderen verwaltungsrechtlichen Zusammenhängen können sich u.U. Mehrfachzuständigkeiten ergeben.[38] Es entspricht geradezu dem Wesen, „dass dem Beliehenen etwas übertragen wird, […] was der Beleihende aber nicht endgültig aufgibt.“[39]

Die Aufgabenübertragung erfolgt durch Befugniserteilung gem. § 39 S. 1 BDSG und somit aufgrund gesetzlicher Regelung (mittels Verwaltungsakts).

b) Staatliche Aufsicht

Zugleich unterliegt die Zertifizierungsstelle der staatlichen Aufsicht. Staatliche Aufsicht meint regelmäßig Fach- und/ oder Rechtsaufsicht.[40] Zertifizierungsstellen sehen sich potenziell gleich mehreren aufsichtsrechtlichen Maßnahmen ausgesetzt. Die Aufsichtsbehörde genehmigt allgemein die Akkreditierungsvoraussetzungen gem. Art.  43 Abs.  3 S. 1 DS-GVO und sodann die konkreten Zertifizierungskriterien gem. Art. 42 Abs. 5 S. 1 DS-GVO. Die Erteilung und der Widerruf – nicht jedoch die Verweigerung – der Zertifizierung durch eine Zertifizierungsstelle erfolgen jeweils gem. Art. 43 Abs. 5 DS-GVO erst nach vorheriger Notifizierung der Aufsichtsbehörde. Hierbei ist der Aufsicht hinreichend Zeit einzuräumen, damit diese nötigenfalls von ihren Befugnissen Gebrauch machen kann.[41] Zu letzteren gehört u.a. die Anweisung, die Zertifizierung zu verweigern (Art. 58 Abs. 2 lit. h Var. 3 DS-GVO). Gleichwohl kann die Aufsichtsbehörde nicht anweisen, eine Zertifizierung wie beantragt zu erteilen oder einen Widerruf zu unterlassen. Das aufsichtsrechtliche Instrumentarium ist an dieser Stelle unvollständig. Die Zertifizierungsstelle kann angewiesen werden, eine bereits erteilte Zertifizierung zu widerrufen (Art.  58 Abs.  2 lit. h Var. 2 DS-GVO) oder die Aufsichtsbehörde kann den Widerruf unmittelbar selbst vornehmen (Art. 58 Abs. 2 lit. h Var. 1 DS-GVO)[42]. Die Aufsichtsbehörde kann gem. Art.  43 Abs.  7 DS-GVO die Akkreditierung als solche widerrufen und so die Voraussetzung für die Aufhebung der Befugnis nach § 39 S. 1 BDSG schaffen. Zu guter Letzt besteht die bereits angesprochene Sanktionsmöglichkeit gem. Art. 83 Abs. 4 lit. b) DS-GVO.

Diese besondere Sanktionsmöglichkeit trifft unterdessen keine grundsätzliche Aussage über eine möglicherweise fehlende Behördeneigenschaft der Zertifizierungsstelle. Dem Unionsrecht ist die Sanktionierung von Behörden und öffentlichen Stellen insgesamt nicht fremd.[43]

c) Hoheitsgewalt

Der Tätigkeit der Zertifizierungsstelle haftet das Odium des Öffentlichen Rechts an (siehe oben, Pkt. II. 2.). Hinsichtlich der Erleichterung von Rechenschaftspflichten, der Ermöglichung von Drittstaattransfers sowie der Haftungserleichterung wird man eine öffentlich-rechtliche Grundbedeutung der Zertifizierung nicht in Abrede stellen können. Immerhin wird ein von einer Zertifizierungsstelle herrührendes Zertifikat z.T. „als besonders geschützte öffentliche Urkunde“ aufgefasst.[44] Es handele sich bei der Zertifikatserteilung um einen „öffentlich-rechtlich überformten privaten Rechtsakt“.[45] Eine Zertifizierungsstelle (auch) in öffentlich-rechtlicher Rechtsform wird zumindest in Betracht gezogen.[46]

Die Zertifizierungsstellen im Datenschutz dürften den Umweltgutachtern nach der VO 1221/2009/EU nachgebildet sein.[47] Auch diese müssen nach § 9 UAG zugelassen sein. Sie nehmen ihre Aufgaben „halbhoheitlich“ wahr,[48] oder in „zumindest quasi-öffentlich-rechtlicher Stellung“,[49] aber wohl nicht als Beliehene.[50]

Zu prüfen bleibt daher, ob zum Zwecke des Zertifizierungsverfahrens nach Artt. 42, 43 DS-GVO spezifisch-hoheitliche Befugnisse übertragen werden. Bei der Beleihung werden Hoheitsbefugnisse „ausgeliehen“, maßgebliches Kriterium für die Abgrenzung von privatem und öffentlichem Recht und somit der Einordnung als Beleihung ist daher die Hoheitsgewalt.[51] Nicht nur das „Ob“ der Beleihung, sondern auch Art und Umfang der dem Privatrechtssubjekt verliehenen Hoheitsbefugnisse müssen sich aus der gesetzlichen Regelung ergeben.[52] Die bloße Wahrnehmung von Aufgaben im öffentlichen Interesse genügt nicht.[53]

aa) Historie und Systematik

Die frühere Datenschutzrichtlinie 95/46/EG enthielt keine Vorgaben zur datenschutzrechtlichen Zertifizierung. Die Vorabkontrolle gem. Art. 20 RL 95/46/EG[54] ist mit dem heutigen Konzept der Zertifizierung nicht zu vergleichen. Die Genese des Zertifizierungsverfahrens lässt sich anhand der Vorentwürfe zur DS-GVO nachvollziehen.[55]

Art. 39 des Kommissionsentwurfs der DS-GVO sprach die Zertifizierung zwar an, überwies Detailregelungen allerdings an die Kommission, welche per delegiertem Rechtsakt u.a. Kriterien sowie Bedingungen für die Erteilung und den Entzug der Zertifizierung festlegen sollte.

Der Parlamentsentwurf (ParlE) ging deutlich mehr in die Tiefe. Es fällt auf, dass sich die Behörde gem. Art. 39 Abs. 1 d) S. 1 ParlE akkreditierter Prüfer bedienen durfte. Die Alleinzuständigkeit für die Erteilung der Zertifizierung lag dennoch gem. Art. 39 Abs. 1 d) S. 4 ParlE bei der Aufsichtsbehörde. Der Schwerpunkt lag insoweit auf dem hoheitlichen Charakter.

Im Trilog hat sich diesbezüglich allerdings der Ratsentwurf (RatsE) durchgesetzt. Art.  39 Abs.  2 a) RatsE stellte Zertifizierungsstelle und Aufsichtsbehörde nebeneinander, wobei auffällt, dass die Zertifizierungsstelle an erster Stelle genannt wird.[56] Eine Zertifizierung sollte nach Art. 39 Abs. 2 RatsE nicht die Verantwortung des Verantwortlichen oder Auftragsverarbeiters mindern und zudem die Aufgaben und Befugnisse der Aufsichtsbehörde unberührt lassen.[57] Hier schimmert jeweils eine Hinwendung zur Selbstregulierung durch, welche losgelöst vom hoheitlichen Bereich wirkt. Folgerichtig wurden die Vorgaben für Zertifizierungsstellen in den neuen Art. 39a RatsE ausgegliedert.[58]

Gem. Art. 39a Abs. 2 litt. b und c RatsE legte die Zertifizierungsstelle im Rahmen der Akkreditierung selbst fest, welche Verfahren für die Erteilung, regelmäßige Überprüfung sowie den Widerruf greifen, bzw. welche Verfahren und Strukturen im Falle von Beschwerden oder Verletzungen der Zertifizierung umgesetzt werden.[59] Sofern eine Behörde zertifiziert, gelten schlichtweg die Grundsätze des Unionsverwaltungsrechts (siehe oben, Pkt. III. 1.). Wäre die Tätigkeit der Zertifizierungsstelle als hoheitliches Handeln konzipiert, hätte es der eigenständigen (und möglicherweise abweichenden) „Rechtssetzung“ im Rahmen der Akkreditierung gar nicht bedurft.

bb) Grundrechtsrelevanz und Reichweite der Maßnahmen

Die Erteilung, die Verweigerung und der Widerruf der Zertifizierung sowie die dem jeweiligen Zertifizierungsschema zugrunde liegenden Kriterien berühren ohne Weiteres grundrechtlich geschützten Positionen wie die Berufsfreiheit. Es stellt sich dennoch die Frage, ob die Tätigkeit der Zertifizierungsstelle wirklich auf den Eintritt unmittelbar spürbarer hoheitlicher Rechtsfolgen gerichtet ist.[60]

Wegen der inhärenten Freiwilligkeit kann es sich zunächst nicht um eine Marktzugangsvoraussetzung handeln.[61] Die Zertifizierung darf sich nicht als Vorabgenehmigungsverfahren auswirken.

Wenn die Zertifizierung dazu dient, die Einhaltung der Verordnung „nachzuweisen“, ist damit keine eigenständige Regelungswirkung im Sinne einer öffentlich-rechtlichen „Feststellung“ der Einhaltung verbunden.[62] Die datenschutzrechtliche Verantwortung wird ausweislich Art. 42 Abs. 4 DS-GVO gerade nicht eingeschränkt. Dies zeigt sich an weiteren Stellen im Verordnungstext: Hinsichtlich der Verantwortung des für die Verarbeitung Verantwortlichen kann eine bestehende Zertifizierung „als Gesichtspunkt herangezogen werden“ (Art. 24 Abs.  3 DS-GVO). In Bezug auf die Grundsätze privacy by design/privacy by default kann sie für den Nachweis „als Faktor herangezogen werden“ (Art. 25 Abs. 3 DS-GVO). Bei der Auftragsverarbeitung kann die Zertifizierung „als Faktor herangezogen werden“, um hinreichende Garantien nachzuweisen (Art. 28 Abs. 3 DS-GVO). Im Hinblick auf die Sicherheit der Verarbeitung kann sie „als Faktor herangezogen werden“, um die Erfüllung der technischen Sicherheitsmaßnahmen nachzuweisen (Art. 32 Abs. 3 DS-GVO). Bei Drittstaattransfers erspart die Zertifizierung lediglich die Genehmigung der Behörde, es müssen jedoch rechtsverbindliche und durchsetzbare Verpflichtungen des Verantwortlichen bzw. Auftragsverarbeiters im Drittland hinzutreten (Art. 46 Abs. 2 lit. f DS-GVO), und die übrige Verarbeitung muss ihrerseits rechtmäßig erfolgen. Bei der Bemessung eines Bußgelds wird die bestehende Zertifizierung neben einer erklecklichen Reihe weiterer Kriterien „gebührend berücksichtigt“ (Art. 83 Abs. 2 lit. j DS-GVO). Eine bestehende Zertifizierung besitzt demnach nur „sehr begrenzte materiellrechtliche Wirkungen“.[63] Sie sind mehr als Anreizwirkungen zu verstehen.

Nun begründet die Teilnahme am Zertifizierungsverfahren umfassende Mitwirkungs- und Duldungspflichten, die für einen hoheitlichen Charakter sprechen könnten. Gem. Art. 42 Abs. 6 DS-GVO stellt der Antragsteller der Zertifizierungsstelle alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den erforderlichen Zugang zu seinen Verarbeitungstätigkeiten. Dies wird mitunter als Vor-Ort-Zutrittsrecht verstanden.[64] Verstöße hiergegen können gem. Art. 83 Abs. 4 lit. a DS-GVO sogar mit Bußgeldern geahndet werden. Gleichwohl besitzt die Zertifizierungsstelle keinerlei eigene Untersuchungsbefugnisse, die hoheitlich durchgesetzt werden könnten. Auch die Sanktionsmöglichkeit wegen Verstoßes gegen die Verpflichtungen aus Art. 42 und 43 DS-GVO steht der Aufsichtsbehörde zu und nicht der Zertifizierungsstelle. Letztlich ist es dem Zertifizierungskandidaten jederzeit möglich, sich der Mitwirkungs- und Duldungsverpflichtung durch Verzicht auf eine Zertifizierung zu entziehen.

Die Mitwirkungs- und Duldungspflichten sind daher ebenso schwach ausgeprägt, wie die materiellrechtlichen Wirkungen der Zertifizierung an sich.

cc) Ergebnis

Die Einordnung der Zertifizierungsstelle als Beliehene sollte nicht von vornherein als abwegig abgetan werden. Gleichwohl ist bei wertender Gesamtschau unter Berücksichtigung der Stellung und der Befugnisse sowie der Rechtswirkungen der Zertifizierung festzuhalten, dass der hoheitliche Charakter ausgesprochen schwach ausgeprägt ist. Dies genügt nach hiesiger Auffassung nicht, um von einer Beleihung im Sinne des deutschen öffentlichen Rechts ausgehen zu dürfen.

IV. Zusammenfassung und Ausblick

Die Zertifizierungsstelle nach Art.  43 Abs.  1 DS-GVO ist keine Beliehene. Sie tritt nicht als Behörde auf und ergreift keine hoheitlichen Maßnahmen. Sie arbeitet im Wesentlichen nach den gem. Art. 43 Abs. 2 litt. b, c und d DS-GVO festgelegten Verfahrensvorgaben. Insbesondere das Verfahren für die Erteilung, die regelmäßige Überprüfung und den Widerruf der Datenschutzzertifizierung legt die Zertifizierungsstelle im Rahmen der Akkreditierung selbst fest. Die Zertifizierungsstelle verfügt nicht über nennenswerte Eingriffsbefugnisse und die Zertifizierung als solche zeitigt keine erheblichen hoheitlichen Rechtswirkungen. Das Rechtsverhältnis zwischen Antragssteller und Zertifizierungsstelle ist folglich rein privatrechtlicher Natur.

Der hiesige Ausflug ins Unionsverwaltungsrecht hat unterdessen gezeigt, dass die etwaige Beliehenenqualität von den konkreten Gegebenheiten des jeweiligen Zertifizierungsregimes abhängt. Andere Zertifizierungsoder Konformitätsbewertungsstellen mögen abweichend zu beurteilen sein. So wird z.B. auch die Zertifizierung von qualifizierten elektronischen Signatur- bzw. Siegelerstellungseinheiten gem. Artt. 30 bzw. 39 VO 910/2014/EU (eIDAS-VO) sowohl von öffentlichen als auch privaten Stellen vorgenommen.[65] Die Cybersicherheitszertifizierung nach Artt. 46 ff. VO 2019/881/EU (Cyber Security Act, CSA) kennt ebenfalls ein Nebeneinander von nationaler Cybersicherheitsbehörde[66] und Konformitätsbewertungsstelle. Der Entwurf[67] des EU Artificial Intelligence Acts (AIA) sieht schließlich eine Zertifizierung von Hochrisiko-KI-Systemen vor, welche u.a. durch eine behördlich notifizierte Konformitätsbewertungsstelle vorgenommen wird.

In diesen und vergleichbaren Fallkonstellationen ist stets konkret zu prüfen, ob die Wesensmerkmale für eine Beleihung vorliegen oder nicht.[68]

Prof. Dr. Lorenz Franck

ist Professor für IT-Recht an der Hochschule des Bundes für öffentliche Verwaltung in Brühl.

[1]Https://www.iso.org/certification.html.

[2] Art. 4 Nr. 2 DS-GVO: „Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe“.

[3] In Anlehnung an Art. 18 Abs. 1 RL 95/467EG: Bündel von Verarbeitungsschritten mit hinreichender Komplexität und einheitlicher Zweckbestimmung. Siehe auch LfDI Baden-Württemberg, 34. TB 2018, 11 mit Blick auf den Geschäftsprozess.

[4] Europäischer Datenschutzausschuss, Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation, Version 3.0 vom 04.06.2019, 16, online unter https://t1p.de/fsu9i; vgl. auch Scholz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 42 DS-GVO Rn. 22; Hornung, in: Eßer/Kramer/von Lewinski, Auernhammer DS-GVO/BDSG, 7. Aufl. 2020, Art. 42 Rn. 36 ff.

[5] Ein etwaiges Sponsoring wie bei anderen IT-Zertifizierungen (vgl. etwa § 8 Abs. 1 S. 2 BSIZertV) ist nicht vorgesehen

[6] Nach vorzugswürdiger Auffassung kann freilich ein strengerer Maßstab zertifiziert werden, Bergt/Pesch, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art.  42 Rn. 15; Scholz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art.  42 DS-GVO Rn. 26; Hornung, in: Eßer/Kramer/ von Lewinski, Auernhammer DS-GVO/BDSG, 7. Aufl. 2020, Art. 42 Rn. 48.

[7] Europäischer Datenschutzausschuss, Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation, Version 3.0 vom 04.06.2019, online unter https://t1p.de/fsu9i

[8] Datenschutzkonferenz, Anforderungen an datenschutzrechtliche Zertifizierungsprogramme, Version 2.0 vom 21.06.2022, online unter https://t1p.de/trhj6.

[9] Befürwortend Hornung, in: Eßer/Kramer/von Lewinski, Auernhammer DS-GVO/BDSG, 7. Aufl. 2020, Art. 42 Rn. 83; ablehnend Paal/Kumkar, in: Paal/ Pauly, DS-GVO/BDSG, 3. Aufl. 2021, Art. 42 Rn. 9; Scholz, in: Simitis/Hornung/ Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 42 DS-GVO Rn. 30; kritisch Eckhardt, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Ed. 2021, Art. 42 DS-GVO Rn. 41; Bergt/Pesch, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art. 42 Rn. 9 f

[10] Bergt/Pesch, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art.  42 Rn. 2/27.

[11] Zu den Erwartungen der Branche vgl. Potthoff/Schrief, DuD 2021, 326 ff

[12] Zum Grundprinzip der Rechenschaftspflicht gem. Art. 5 Abs. 2 DS-GVO eingehend Veil ZD 2018, 9 ff

[13] Kritisch Will, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 42 Rn. 7; Paal/ Kumkar, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl. 2021, Art. 42 Rn. 9; Scholz in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art.  42 DS-GVO Rn. 52

[14] Hierzu Europäischer Datenschutzausschuss, Guidelines 07/2022 on certification as a tool for transfers v. 14.06.2022, online unter https://t1p.de/grh5c.

[15] Paal/Kumkar, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl. 2021, Art. 42 Rn. 9; Hornung in: Eßer/Kramer/von Lewinski, Auernhammer DS-GVO/BDSG, 7. Aufl. 2020, Art. 42 Rn. 79

[16] Müllmann/Spiecker gen. Döhmann, DVBl 2022, 208, 213 f.; Will in: Ehmann/ Selmayr, DS-GVO, 2. Aufl. 2018, Art. 42 Rn. 10; Bergt/Pesch, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art. 42 Rn. 17; Paal/Kumkar, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl. 2021, Art. 42 Rn. 3.

[17] Zu den Akkreditierungsvoraussetzungen siehe Art. 43 Abs. 2 und 3 DS-GVO, näher Europäischer Datenschutzausschuss, Guidelines 4/2018 on the accreditation of certification bodies, Version 3 v. 04.06.2019, online unter https://t1p.de/gt5yf; Datenschutzkonferenz, Anforderungen zur Akkreditierung gemäß Art. 43 Abs. 3 DS-GVO i.V.m. DIN EN ISO/IEC 17065, Version 1.4 v. 08.10.2020, online unter https://t1p.de/x5bpy

[18] Daher der Förderauftrag in Art. 42 Abs. 1 und Art. 57 Abs. 1 lit. n DS-GVO.

[19] BVerwG NVwZ 2011, 368, 370.

[20] Vgl. Schmitz, in: Stelkens/Bonk/Sachs, VwVfG, 10. Aufl. 2023, § 1 Rn. 256 zur möglichen Beleihung von unionsrechtlich vorgesehenen Konformitätsbewertungsstellen.

[21] Zu entsprechenden Entwürfen näher Guckelberger, NVwZ 2013, 601; Kahl, JuS 2018, 1025, 1029 ff.

[22] EuGH NJW 1984, 2024 f. Rn. 17 (Deutsche Milchkontor); EuGH NVwZ 2004, 593, 597 Rn. 67 (Wells). Vgl. Franck ZD 2021, 247, 247 f. zur Ausstrahlungswirkung des Unionsrechts auf das Unionsverwaltungsrecht der Mitgliedstaaten

[23] Für das Datenschutzrecht ausdrücklich Art.-29-Datenschutzgruppe, Guidelines on Data Protection Officers (‚DPOs‘) – WP 243 rev01 v. 05.04.2017, 6, online unter https://t1p.de/1ozi0.

[24] Zur Grundrechtsbindung öffentlich beherrschter Unternehmen vgl. BVerfG, NJW 2011, 1201 ff.

[25] Will, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 42 Rn. 31; Paal/Kumkar, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl. 2021, Art. 42 Rn. 13c; Hornung, in: Eßer/Kramer/von Lewinski, Auernhammer DS-GVO/BDSG, 7. Aufl. 2020, Art. 42 Rn. 86

[26] Widerspruch: § 70 Abs. 1 S. 1 VwGO; Verpflichtungsklage: § 74 Abs. 2 VwGO.

[27] Regelmäßige Verjährung: § 195 BGB

[28] Zur unionsrechtlichen Überlagerung insb. hinsichtlich Ermessensspielraums und Vertrauensschutzaspekten Bergt/Pesch, in: Kühling/Buchner, DS-GVO/ BDSG, 3. Aufl. 2020, Art. 42 Rn. 24 f.

[29] Was wegen der Konkurrenzsituation mit nicht-akkreditierten Zertifizierern gesondert zu prüfen wäre

[30] Im Zusammenhang mit anerkannten Prüf- und Bestätigungsstellen nach § 18 Abs. 1 SigG a.F. wurde die praktische Bedeutung apodiktisch verneint, BT-Dr. 14/4662, 30.

[31] Siehe stattdessen § 24 LVwG SH

[32] Ronellenfitsch, in: Bader/Ronellenfitsch, BeckOK VwVfG, 58. Ed. 2020, § 1 Rn. 71;

Schoch, in: Schoch/Schneider, Verwaltungsrecht, 3. EL 2022, § 1 VwVfG Rn. 162

[33] Will, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 42 Rn. 47; Paal/Kumkar, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl. 2021, Art.  42 Rn. 9; Scholz, in: Simitis/ Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 43 DS-GVO Rn. 1/32; Raschauer, in: Sydow/Marsch DS-GVO/BDSG, 3. Aufl. 2022, Art. 42 Rn. 35; Kinast, in: Taeger/Gabel, DS-GVO/BDSG/TTDSG, 4. Aufl. 2022, Art.  42 Rn. 55; Hornung, in: Eßer/Kramer/von Lewinski, Auernhammer DS-GVO/BDSG, 7. Aufl. 2020, Art. 42 Rn. 88

[34] Allein Kinast, in: Taeger/Gabel, DS-GVO/BDSG/TTDSG, 4. Aufl. 2022, Art. 42 Rn. 55 begnügt sich mit einem knappen Verweis auf die Freiwilligkeit der Zertifizierung.

[35] Vgl. § 33 Abs. 1 S. 2 PostG; § 12 Abs. 1 LuftSiG; § 16a LuftSiG, § 6 IFrGG; § 28 UAG; § 31c SGB V u.v.a.

[36] Kiefer, LKRZ 2009, 441, 443 konstatiert generell sehr unterschiedliche Regelungsintensitäten in Bezug auf die Beleihung je nach Fachrecht

[37] Zur „benannten Stelle“ stattdessen Schmitz, in: Stelkens/Bonk/Sachs, VwVfG, 10. Aufl. 2023, § 1 Rn. 256. Rennert, JZ 2009, 976 Fn. 10 verneint wohl eine Beleihung unmittelbar durch Unionsrecht und verlangt eine mitgliedstaatliche Umsetzung. Ob sich eine Beleihung unmittelbar aus dem Unionsrecht ergeben kann oder ob den Mitgliedstaat lediglich eine Verpflichtung trifft, eine Beleihung vorzunehmen, kann für hiesige Zwecke dahinstehen

[38] Vgl. etwa die parallelen bundesweiten Zuständigkeiten der an sich nach örtlichen Zuständigkeiten gegliederten Bundespolizeidirektionen gem. § 2 Abs. 2 BPolZV.

[39] Ronellenfitsch, in: Bader/Ronellenfitsch, BeckOK VwVfG, 58. Ed. 2020, § 1 Rn. 71

[40] Schmitz, in: Stelkens/Bonk/Sachs, VwVfG, 10. Aufl. 2023, § 1 Rn. 246.

[41] Arg. ex Art. 43 Abs. 1 S. 1 a.E. DS-GVO

[42] Will, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 42 Rn. 42; zweifelnd Eckhardt, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Ed. 2021, Art. 42 DS-GVO Rn. 68; Paal/Kumkar, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl. 2021, Art. 42 Rn. 21

[43] Vgl. Art.  83 Abs.  7 DS-GVO, Art.  57 RL 2016/680/EU (JI-RL) bzw. Art.  66 VO 2018/1725/EU (EUIBA).

[44] Raschauer, in: Sydow/Marsch DS-GVO/BDSG, 3. Aufl. 2022, Art. 42 Rn. 35; Kinast, in: Taeger/Gabel, DS-GVO/BDSG/TTDSG, 4. Aufl. 2022, Art. 42 Rn. 55.

[45] Hornung, in: Eßer/Kramer/von Lewinski, Auernhammer DS-GVO/BDSG, 7. Aufl. 2020, Art. 42 Rn. 88.

[46] Lepperhoff, in: Gola/Heckmann, DS-GVO/BDSG, 3. Aufl. 2022, Art. 42 Rn. 16

[47] Einhellig Raschauer, in: Sydow/Marsch DS-GVO/BDSG, 3. Aufl. 2022, Art.  42 Rn. 3; Will, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 42 Rn. 4; Kinast, in: Taeger/Gabel, DS-GVO/BDSG/TTDSG, 4. Aufl. 2022, Art. 42 Rn. 78.

[48] Vgl. die Website des Umweltgutachterausschusses beim Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz, https://www.emas.de/umweltgutachter-in.

[49] Schottelius, BB 1995, 1549,1551

[50] Scherzberg, NVwZ 2006, 377, 380 f.; Lütkes, NVwZ 1996, 230, 234; Höland, ZEuP 1998, 30, 44 f., a.A. Ossenbühl/Cornils, Staatshaftungsrecht, 6. Aufl. 2013, Teil 2, 17 als „moderner Fall der Beleihung privater Sachverständiger“

[51] Ronellenfitsch, in: Bader/Ronellenfitsch, BeckOK VwVfG, 58. Ed. 2020, § 1 Rn. 71; Schoch, in: Schoch/Schneider, Verwaltungsrecht, 3. EL 2022, § 1 VwVfG Rn. 162

[52] Schoch, in: Schoch/Schneider, Verwaltungsrecht, 3. EL 2022, §  1 VwVfG Rn. 164; BVerwG NVwZ 2011, 368, 370

[53] Grundlegend Terrahe, Die Beleihung als Rechtsinstitut der Staatsorganisation, 1961, S. 64 ff. Im Europäischen Datenschutzrecht unterscheidet Art.  6 Abs. 1 lit. e DS-GVO nicht zwischen Hoheitsträgern und Privatrechtssubjekten, vgl. auch Art.-29-Datenschutzgruppe, Guidelines on Data Protection Officers (‚DPOs‘) – WP 243 rev01 v. 05.04.2017, 6, online unter https://t1p.de/1ozi0.

[54] Umsetzung in § 4d Abs. 5 BDSG a.F.

[55] Bayerisches Landesamt für Datenschutzaufsicht, Trilog-Synopse der DS-GVO, 2016, 420 ff

[56] So jetzt auch Art. 42 Abs. 5 S. 1 DS-GVO.

[57] Jetzt Art. 42 Abs. 4 DS-GVO.

[58] Jetzt Art. 43 DS-GVO.

[59] Jetzt Art. 43 Abs. 2 lit. c DS-GVO

[60] Hierzu Kiefer LKRZ 2009, 441, 444 für die Feststellung der Vorschriftsmäßigkeit eines Kfz.

[61] Zu Belieheneneigenschaft wegen staatlichen Erlaubnisvorbehalts für das Inverkehrbringen von Produkten vgl. BGH, NJW 1978, 2548, 2549.

[62] Will, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 42 Rn. 13. Ein feststellender Verwaltungsakt wird sich eher auf die Befugnis des Antragsstellers kaprizieren, das entsprechende Datenschutzzertifikat führen zu dürfen.

[63] Will, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 42 Rn. 35.

[64] Lepperhoff, in: Gola/Heckmann, DS-GVO/BDSG, 3. Aufl. 2022, Art. 42 Rn. 14; Will, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art.  42 Rn. 40; Scholz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art.  42 DS-GVO Rn. 41; Hornung, in: Eßer/Kramer/von Lewinski, Auernhammer DS-GVO/BDSG, 7. Aufl. 2020, Art. 42 Rn. 64

[65] BSI als öffentliche Stelle gem. § 17 Abs. 4 VDG, von BNetzA benannte private Stelle gem. § 17 Abs. 1 VDG.

[66] BSI gem. § 9a BSIG

[67] Proposal for a Regulation of the European Parliament and of the Council laying down harmonised Rules on Artificial Intelligence (Artificial Intelligence Act, COM/2021/206 final, online unter https://t1p.de/r4lrx

[68] Vgl. § 3 Abs. 1 S. 1 und 2 ÖLG, wonach einige Aufgaben nach VO 2018/848/EU nur von beliehenen Kontrollstellen erfüllt werden dürfen, die Zertifizierung nach Art. 35 Abs. 1 S. 1 der VO 2018/848/EU aber gerade nicht dazugehört. Vgl. auch die AnerkV für Konformitätsbewertungsstellen im Bereich der elektromagnetischen Verträglichkeit, welche seit 2006 auf die Beleihung verzichtet, BT-Drs. 16/3658, 22.