Die DS-GVO schafft in den Artikeln 42 und 43 DS-GVO die Rechtsgrundlagen für datenschutzspezifische Zertifizierungsverfahren und die Akkreditierung von Zertifizierungsstellen: Zertifizierungen, Siegel und Prüfzeichen sollen als Nachweis dienen, dass eine Verarbeitung von personenbezogenen Daten gesetzeskonform durchgeführt wird. Neben den Zertifizierungen nach Art 42 DS-GVO werden keine weiteren Zertifizierungen nach der DS-GVO zulässig sein. Bei der datenschutzrechtlichen Akkreditierung und Zertifizierung handelt es sich um eine Neuerung durch die Datenschutzreform: Der Bundesgesetzgeber sah zwar schon vor Inkrafttreten der DS-GVO in § 9a BDSG a F die Möglichkeit von Datenschutzaudits vor, die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter sollten dabei durch ein besonderes Gesetz geregelt werden. Entsprechende Regelungsversuche eines Bundesgesetzes kamen jedoch über parlamentarische Beratungen nicht hinaus.

Die Datenschutz-Aufsichtsbehörden haben gemeinsam mit der Deutschen Akkreditierungsstellen GmbH (DAkkS) als nationaler Akkreditierungsstelle gemäß der Verordnung 765/2008 die Ausgestaltung eines solchen Verfahrens erarbeitet. Die Akkreditierung erfolgt danach durch die Datenschutz-Aufsichtsbehörden des Bundes und der Länder in Zusammenarbeit mit der DAkkS. Gemäß § 39 BDSG wird Befugnis, als Zertifizierungsstelle gemäß Art 43 Abs. 1 S. 1 DS-GVO tätig zu werden, durch die für die Zertifizierungsstelle zuständige Aufsichtsbehörde auf der Grundlage einer Akkreditierung, die durch die DAkkS im Einvernehmen mit der Aufsichtsbehörde durchgeführt wird erteilt. Im Akkreditierungsverfahren legt die zu akkreditierende Stelle der zuständigen Aufsichtsbehörde die Zertifizierungskriterien (das sogenannte Prüfprogramm) vor. In diesem stellt sie dar, nach welchen Kriterien sie beabsichtigt nach erfolgter Akkreditierung zu zertifizieren.

Die Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden Datenschutzkonferenz – DSK) hat in diesem Zusammenhang als Grundlage für eine einheitliche Handhabung "Anforderungen an datenschutzrechtliche Zertifizierungsprogramme" vorgelegt.

Weitere Informationen zum Thema Akkreditierung/Zertifizierung im Bereich Datenschutz werden zudem von der Deutschen Akkreditierungsstellen GmbH (DAkkS) zur Verfügung gestellt.

Der Europäische Datenschutzausschuss führt nach Art. 42 Abs. 8 DS-GVO ein Register aller Zertifizierungsverfahren, Datenschutzsiegel und –prüfzeichen.

Der Arbeitskreis Zertifizierung der Datenschutzkonferenz hat eine Grafik für den Akkreditierungsprozess für den Bereich Datenschutz gem. Art. 42, 43 DS-GVO entworfen. Diese gibt einen ersten, nicht abschließenden Überblick über den Ablauf eines Akkreditierungsprozesses. Zu dessen Durchführung sind insgesamt sechs Phasen vorgesehen:

1. Antragsphase – Programmprüfung
2. Programmprüfung und Genehmigung der Kriterien
3. Antragsphase Akkreditierung /Befugniserteilung
4. Begutachtungsphase
5. Akkreditierungsphase /Befugniserteilung
6. Überwachungsphase