Die nordrhein-westfälische Landesdatenschutzaufsicht hält erste DSGVO-Zertifizierungen im kommenden Jahre für möglich. Einige Unternehmen mit Sitz in NRW hätten bei ihr Zertifizierungsprogramme für den Akkreditierungsprozess eingereicht, so ein Sprecher der Behörde gegenüber heise online: „Wir hoffen, dass im ersten Halbjahr 2022 die ersten Zertifizierungsstellen am Markt akkreditiert sind und Zertifizierungen bei ihren Kunden durchführen können.“
Fünf Jahre nach Verabschiedung der DSGVO gibt es noch keine akkreditierte Zertifizierungsstelle. Zwar behaupten viele Unternehmen, „DSGVO-compliant“ zu sein, doch ein rechtssicherer Nachweis kann nur über eine Zertifizierung erfolgen, die nach den Kriterien der DSGVO prüft. Sie stellt die Grundlagen für ein einheitliches europäisches Akkreditierungs- und Zertifizierungsverfahren zur Verfügung. Zertifikate geben Auskunft darüber, ob IT-Produkte und -Dienstleistungen ihren Anforderungen genügen.
Der Grund für die Verzögerung liegt nach dem Bericht bei heise online darin, dass erst festgelegt werden musste, welche Anforderungen eine Zertifizierungsstelle erfüllten muss. Normen der Internationalen Standardisierungsorganisation ISO reichten dafür nämlich nicht aus. Bis 2019 lief der Abstimmprozess zwischen der DAkkS und den Datenschutzaufsichtsbehörden von Bund und Ländern. Als sie gemeinsam die Anforderungen definierten, fing der Akkreditierungsprozess erst an:
Unter anderem prüft die DAkkS die Einhaltung von ISO 17065, den Standard für Zertifizierungsstellen, und ISO 17067, den Standard für Produktzertifizierung. Die zuständige Datenschutzbehörde prüft zusätzlich noch datenschutzspezifische Belange.
In Deutschland werden die Zertifizierungsstellen von der Deutschen Akkreditierungsstelle GmbH (DAkkS) zusammen mit den unabhängigen Datenschutzaufsichtsbehörden gemäß § 39 Bundesdatenschutzgesetz akkreditiert. 2022 sollen die ersten Stellen den gesamten Prozess durchlaufen haben.