Artikel 42

Zertifizierung

  • (1)   Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die EinfĂŒhrung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prĂŒfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei VerarbeitungsvorgĂ€ngen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen BedĂŒrfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.
  • (2)   ZusĂ€tzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können auch datenschutzspezifische Zertifizierungsverfahren, Siegel oder PrĂŒfzeichen, die gemĂ€ĂŸ Absatz 5 des vorliegenden Artikels genehmigt worden sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsverarbeiter, die gemĂ€ĂŸ Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der Übermittlung personenbezogener Daten an DrittlĂ€nder oder internationale Organisationen nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
  • (3)   Die Zertifizierung muss freiwillig und ĂŒber ein transparentes Verfahren zugĂ€nglich sein.
  • (4)   Eine Zertifizierung gemĂ€ĂŸ diesem Artikel mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters fĂŒr die Einhaltung dieser Verordnung und berĂŒhrt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, die gemĂ€ĂŸ Artikel 55 oder 56 zustĂ€ndig sind.
  • (5)   Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel 43 oder durch die zustĂ€ndige Aufsichtsbehörde anhand der von dieser zustĂ€ndigen Aufsichtsbehörde gemĂ€ĂŸ Artikel 58 Absatz 3 oder — gemĂ€ĂŸ Artikel 63 — durch den Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem EuropĂ€ischen Datenschutzsiegel, fĂŒhren.
  • (6)   Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgefĂŒhrte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach Artikel 43 oder gegebenenfalls der zustĂ€ndigen Aufsichtsbehörde alle fĂŒr die DurchfĂŒhrung des Zertifizierungsverfahrens erforderlichen Informationen zur VerfĂŒgung und gewĂ€hrt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen VerarbeitungstĂ€tigkeiten.
  • (7)   Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter fĂŒr eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlĂ€ngert werden, sofern die einschlĂ€gigen Voraussetzungen weiterhin erfĂŒllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen nach Artikel 43 oder durch die zustĂ€ndige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen fĂŒr die Zertifizierung nicht oder nicht mehr erfĂŒllt werden.
  • (8)   Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prĂŒfzeichen in ein Register auf und veröffentlicht sie in geeigneter Weise.