Zertifizierungen in der Auftragsverarbeitung nach DSGVO: Befreiung oder doch Eigenprüfung und wenn ja, wie weit ?

Die Übernahme einzelner Abschnitte einer unter einem Zweck vereinten Reihe von Datenverarbeitungshandlungen durch verschiedene Akteure ist die Essenz einer arbeitsteiligen EDV.
So kennt auch der Datenschutz das Institut der Auftragsverarbeitung, welches vor dem Hintergrund der Schutzwirkung der DSGVO, ungeachtet der zivilrechtlichen Vereinbarungen der Zusammenarbeit, auch datenschutzrechtlich reguliert ist.
So soll der auslagernde, datenschutzrechtliche verantwortliche Auftraggeber nur mit Auftragnehmern zusammenarbeiten, welche hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Da die daraus resultierenden Anforderungen und Pflichten für den Auftragnehmer zahl- und die Prüfung durch den Auftragnehmer umfangreich sein kann, sind Zertifizierungsverfahren und Zertifikate als verdichtete Bestätigung der Vorgabentreue weit verbreitet.

Der Vortrag geht nach einer generellen Einordnung gängiger aktueller Zertifizierungsverfahren der Frage nach, inwieweit diese die Anforderungen an einen Auftragsverarbeiter zu bestätigen vermögen und welche eigenen Prüfhandlungen der Auftraggeber ggfls. noch zu ergreifen hat, um seiner gesetzlichen Pflicht bei Auswahl und Kontrahierung von Auftragsverarbeitern nachzukommen.