"DSGVO-Zertifizierung" nach Art. 42 vs. Teilnahmezertifikat: der Unterschied
Eine "DSGVO-Zertifizierung" im rechtlichen Sinn (Art. 42 DSGVO) ist ein freiwilliges, aufwendiges Prüfverfahren, das ausschließlich akkreditierte Zertifizierungsstellen durchführen dürfen und das in der Regel die Verarbeitungsvorgänge oder technischen Maßnahmen eines Unternehmens betrifft. Ein Teilnahmezertifikat einer Schulung ist etwas anderes: Es bestätigt, dass eine einzelne Person eine Fortbildung absolviert hat – vergleichbar einer Seminarbescheinigung. Beide sind sinnvoll, aber keines ersetzt das andere.
Von der Provimedia Redaktion · Stand: Juli 2026 · Dieser Beitrag ist eine allgemeine Information und keine Rechtsberatung.
Was ist eine "DSGVO-Zertifizierung" nach Art. 42?
Artikel 42 DSGVO sieht vor, dass Mitgliedstaaten, Aufsichtsbehörden, der Europäische Datenschutzausschuss und die Kommission die Einführung von Datenschutz-Zertifizierungsverfahren, -siegeln und -zeichen fördern. Eine solche Zertifizierung wird von einer Zertifizierungsstelle nach Art. 43 DSGVO anhand genehmigter Kriterien erteilt und bescheinigt, dass Verarbeitungsvorgänge eines Verantwortlichen oder Auftragsverarbeiters den Anforderungen der DSGVO entsprechen. Die Zertifizierung wird für maximal drei Jahre erteilt und kann unter denselben Bedingungen verlängert werden (Art. 42 Abs. 7 DSGVO).
Wer darf überhaupt zertifizieren?
Nicht jeder Anbieter darf sich "Zertifizierungsstelle" nennen. Zertifizierungen nach Art. 42 dürfen nur Stellen erteilen, die zuvor förmlich akkreditiert wurden. In Deutschland übernimmt das die Deutsche Akkreditierungsstelle (DAkkS) gemeinsam mit den zuständigen unabhängigen Datenschutzaufsichtsbehörden nach § 39 BDSG. Die Akkreditierung bestätigt, dass die Stelle fachlich in der Lage ist, ein Zertifizierungsverfahren korrekt durchzuführen.
Was ist ein Teilnahmezertifikat einer Schulung?
Ein Teilnahmezertifikat ist ein Dokument, das bestätigt: Diese Person hat eine bestimmte Schulung zu einem bestimmten Zeitpunkt absolviert. Das ist inhaltlich vergleichbar mit einer Teilnahmebescheinigung für ein Webinar, ein Seminar oder einen internen Workshop. Es sagt etwas über die individuelle Fortbildung einer Person aus, nicht über ein akkreditiertes Audit der gesamten Datenschutzorganisation eines Unternehmens. Wer diesen Unterschied verwischt, riskiert eine irreführende Werbeaussage.
Trotzdem ist ein Teilnahmezertifikat kein leeres Papier: Es ist genau der dokumentierte, datierte Nachweis, den die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) und die DSB-Aufgabe "Sensibilisierung und Schulung" (Art. 39 Abs. 1 lit. b DSGVO) verlangen – als Baustein, nicht als Ersatz für eine Unternehmenszertifizierung.
Art.-42-Zertifizierung vs. Teilnahmezertifikat im Vergleich
| Merkmal | DSGVO-Zertifizierung (Art. 42) | Teilnahmezertifikat einer Schulung |
|---|---|---|
| Gegenstand | Verarbeitungsvorgänge/TOM eines Unternehmens oder Produkts | Fortbildung einer einzelnen Person |
| Wer stellt es aus? | Akkreditierte Zertifizierungsstelle (DAkkS + Aufsichtsbehörde, § 39 BDSG) | Der Schulungsanbieter selbst |
| Verfahren | Formelles Audit anhand genehmigter Kriterien | Abschluss eines Lernprogramms bzw. einer Prüfung |
| Geltungsdauer | Max. 3 Jahre (Art. 42 Abs. 7 DSGVO) | Zeitlich unbefristet, inhaltlich aber veraltbar |
| Rechtlicher Status | Amtlich anerkanntes Prüfverfahren | Privater Fortbildungsnachweis, keine amtliche Zertifizierung |
Warum ist der Unterschied für Sie wichtig?
Zwei Gründe. Erstens die rechtliche Präzision: Wer ein Schulungs-Teilnahmezertifikat als "DSGVO-Zertifizierung" oder gar als "zertifizierten Datenschutzbeauftragten" bewirbt, verwechselt zwei unterschiedliche Rechtsinstitute – das kann irreführend sein. Zweitens der praktische Nutzen: Ein ehrlich benanntes Teilnahmezertifikat verliert dadurch nichts an Wert. Es bleibt genau der Nachweis, den Art. 5 Abs. 2 und Art. 39 Abs. 1 lit. b DSGVO für die Sensibilisierung der Mitarbeiter vorsehen – nur eben korrekt eingeordnet.
Woran erkennen Sie ein seriöses Schulungsangebot?
Da der Markt für Datenschutzschulungen unübersichtlich ist, hilft eine kurze Prüfung, bevor Sie ein Angebot für Ihr Team buchen:
- Klare Begriffe: Ein seriöser Anbieter nennt sein Produkt "Teilnahmezertifikat" oder "Schulungsnachweis", nicht "DSGVO-Zertifizierung" oder "akkreditierte Zertifizierung".
- Keine falschen Versprechen: Eine einzelne Mitarbeiterschulung macht ein Unternehmen nicht "DSGVO-zertifiziert" oder "AI-Act-konform" – seriöse Anbieter formulieren das entsprechend zurückhaltend.
- Nachvollziehbare Inhalte: Die Schulung sollte konkrete Artikel der DSGVO benennen, nicht nur pauschal "Datenschutzwissen" versprechen.
- Dokumentierter, datierter Nachweis: Für die Rechenschaftspflicht zählt ein Zertifikat mit Datum, Name und Inhalt, keine mündliche Zusage.
Diese Kriterien schützen Sie doppelt: vor einer irreführenden Werbeaussage des Anbieters und vor einem Nachweis, der im Ernstfall vor einer Aufsichtsbehörde nicht standhält.
Häufige Fragen (FAQ)
Ist mein Schulungs-Zertifikat eine DSGVO-Zertifizierung nach Art. 42?
Nein. Ein Teilnahmezertifikat bestätigt eine absolvierte Schulung einer Person. Eine Zertifizierung nach Art. 42 DSGVO ist ein formelles Audit-Verfahren für Verarbeitungsvorgänge eines Unternehmens durch eine akkreditierte Stelle.
Wer darf offiziell nach Art. 42 DSGVO zertifizieren?
Nur Zertifizierungsstellen, die zuvor förmlich akkreditiert wurden – in Deutschland durch die DAkkS gemeinsam mit den zuständigen Aufsichtsbehörden (§ 39 BDSG).
Was bringt mir ein Teilnahmezertifikat dann konkret?
Es ist ein datierter, individueller Nachweis, dass eine Person zu Datenschutz geschult wurde – ein anerkannter Baustein der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO), keine Aussage über die gesamte Unternehmens-Compliance.
Macht eine Mitarbeiterschulung mein Unternehmen "DSGVO-zertifiziert"?
Nein. Eine Schulung verbessert die Nachweisfähigkeit und senkt Risiken, ersetzt aber keine Zertifizierung nach Art. 42 DSGVO und keine individuelle Rechtsberatung zur Gesamt-Compliance Ihres Unternehmens.
Sie wollen den ehrlichen, dokumentierten Schulungsnachweis für Ihr Team? Unser KI-Zertifikat zeigt das Format bereits live; die entsprechende DSGVO-Grundlagenschulung mit Teilnahmezertifikat folgt in Kürze. Mehr zu den Nachweis-Bausteinen der Rechenschaftspflicht lesen Sie in unserem Beitrag Rechenschaftspflicht nach DSGVO.
Quellen
- Verordnung (EU) 2016/679 (DSGVO), Art. 5 Abs. 2, Art. 39 Abs. 1 lit. b, Art. 42, Art. 43 – eur-lex.europa.eu
- Bundesdatenschutzgesetz (BDSG), § 39 (Akkreditierung von Zertifizierungsstellen) – gesetze-im-internet.de
- Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Zertifizierung – bfdi.bund.de
- Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW), Akkreditierung/Zertifizierung – ldi.nrw.de
Beitrag teilen
Bleiben Sie auf dem Laufenden
Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.
Ähnliche Beiträge
Weitere Artikel, die Sie interessieren könnten.
KI und Datenschutz: Was Mitarbeiter bei ChatGPT & Co. beachten müssen
Ein Prompt mit Kundendaten ist datenschutzrechtlich eine ganz normale Verarbeitung. Die wichtigsten DSGVO-Regeln für ChatGPT, Copilot & Co. am Arbeitsplatz – und wo der EU AI Act zusätzlich greift.
Auftragsverarbeitungsvertrag (AVV): Wann Sie ihn brauchen und was rein muss
Sobald ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO Pflicht. Die Pflichtinhalte und eine Prüf-Checkliste.
DSGVO-Schulungspflicht: Müssen Mitarbeiter geschult werden?
Ein einzelner DSGVO-Artikel mit dem Wortlaut "Mitarbeiter müssen geschult werden" existiert nicht. Warum Schulung trotzdem faktisch kaum vermeidbar ist – und wie oft eine Auffrischung sinnvoll ist.
Bereit für Ihr KI-Kompetenz-Zertifikat?
Sichern Sie sich das anerkannte KI-Zertifikat – flexibel, online und EU-AI-Act-konform.