Verordnung der Datenschutzbehörde über die Anforderungen an die Akkreditierung einer Zertifizierungsstelle (Zertifizierungsstellen-Akkreditierungs-Verordnung ? ZeStAkk-V)
79. Verordnung der Datenschutzbehörde über die Anforderungen an die Akkreditierung einer Zertifizierungsstelle (Zertifizierungsstellen-Akkreditierungs-Verordnung ? ZeStAkk-V) Auf Grund des § 21 Abs. 3 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 14/2019, wird verordnet:
Allgemeine Bestimmungen
§ 1.
Diese Verordnung regelt in Konkretisierung des Art. 43 Abs. 2 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 127 vom 23.05.2018 S. 2 und in Ergänzung der Vorgaben der Internationalen Norm ISO/IEC 17065:2012 Konformitätsbewertung ? Anforderungen an Stellen, die Produkte, Prozesse und Dienstleistungen zertifizieren (im Folgenden: ISO/IEC 17065:2012), die Voraussetzungen für die Akkreditierung von Zertifizierungsstellen gemäß Art. 58 Abs. 3 lit. e DSGVO.
Begriffsbestimmungen
§ 2.
Im Sinne dieser Verordnung bezeichnet der Begriff
| 1. | ?Zertifizierungsanforderungen?, Anforderungen ? einschließlich den Zertifizierungskriterien ?, die vom Zertifizierungswerber oder -inhaber als eine Bedingung zur Feststellung oder Aufrechterhaltung der Zertifizierung zu erfüllen sind; |
| 2. | ?Technischer Datenschutz?, sämtliche Maßnahmen, die eingesetzt werden, um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen bei der Verarbeitung personenbezogener Daten erfüllt sind; |
| 3. | ?Zertifizierungskriterien?, jene gemäß Art. 42 Abs. 5 DSGVO genehmigten Kriterien, anhand derer eine Zertifizierung durchgeführt wird; |
| 4. | ?Zertifizierungsstelle?, eine unabhängige Konformitätsbewertungsstelle, die gemäß dieser Verordnung akkreditiert wurde; |
| 5. | ?Zertifizierungswerber?, jenen Verantwortlichen gemäß Art. 4 Z 7 DSGVO oder Auftragsverarbeiter gemäß Art. 4 Z 8 DSGVO, welcher eine Zertifizierung anstrebt und der dafür verantwortlich ist, sicherzustellen, dass die Zertifizierungsanforderungen erfüllt sind; |
| 6. | ?Zertifizierungsinhaber?, jenen Verantwortlichen gemäß Art. 4 Z 7 DSGVO oder Auftragsverarbeiter gemäß Art. 4 Z 8 DSGVO, dem die Zertifizierungsstelle eine Zertifizierung erteilt hat und der dafür verantwortlich ist, sicherzustellen, dass die Zertifizierungsanforderungen laufend eingehalten werden. |
Akkreditierung
§ 3.
Mit der Akkreditierung als Zertifizierungsstelle wird diese ermächtigt, einem Zertifizierungswerber eine Zertifizierung zu erteilen.
Akkreditierungsverfahren
§ 4.
(1) Die Akkreditierung als Zertifizierungsstelle erfolgt auf Grund eines schriftlichen Antrages an die Datenschutzbehörde mit Bescheid. Antragslegimitiert sind ausschließlich juristische Personen im Sinne des Punktes 4.1.1 ISO/IEC 17065:2012 (Antragsteller).
(2) Dem Antrag sind sämtliche für das Verfahren erforderlichen Dokumente anzuschließen. Die Akkreditierung als Zertifizierungsstelle setzt den Nachweis der Einhaltung der Anforderungen des Art. 43 Abs. 2 DSGVO, der Internationalen Norm ISO/IEC 17065:2012 samt Anhang und der in dieser Verordnung genannten zusätzlichen Anforderungen voraus.
(3) Der Antrag hat jedenfalls den Nachweis der Voraussetzungen nach §§ 5 bis 19 und folgende Angaben zu enthalten:
| 1. | Zur Feststellung der Identität des Antragstellers: |
| a) | die Firma gemäß § 17 des Unternehmensgesetzesbuches ? UGB, dRGBl. S. 219/1897, sowie die Firmenbuchnummer, bei Vereinen die ZVR-Zahl gemäß § 18 Abs. 2 des Vereinsgesetzes 2002 ? VerG, BGBl. I Nr. 66, sowie im Falle der Ausübung einer Tätigkeit nach der Gewerbeordnung 1994 ? GewO 1994, BGBl. Nr. 194, die GISA-Zahl gemäß § 365a Abs. 1 Z 11 bzw. § 365b Abs. 1 Z 8 GewO 1994, |
| b) | die Namen der für den technischen und rechtlichen Bereich gesamtverantwortlichen Leiter, gegebenenfalls deren Stellvertreter sowie jener Zeichnungsberechtigten, die für die fachliche Richtigkeit der Konformitätsbewertung verantwortlich sein sollen, |
| 2. | Angaben zum beantragten sachlichen Geltungsbereich der Konformitätsbescheinigung (Zertifizierungsgegenstand), |
| 3. | Angaben zu den Zertifizierungskriterien gemäß Art. 42 Abs. 5 DSGVO, auf deren Grundlage die Zertifizierung erteilt werden, |
| 4. | sofern Konformitätszeichen gemäß § 14 Abs. 1 verwendet werden: Eine Abbildung der Konformitätszeichen, |
| 5. | zum Nachweis der strafrechtlichen Unbescholtenheit: Sofern die Zuverlässigkeit und strafrechtliche Unbescholtenheit nicht Voraussetzung für die Ausübung der Tätigkeit ist, eine Registerauskunft für Verbände gemäß § 89m des Gerichtsorganisationsgesetzes ? GOG, RGBl. Nr. 217/1896, |
| 6. | einen Sitz im Europäischen Wirtschaftsraum gemäß dem EWR-Abkommen, BGBl. Nr. 909/1993, |
| 7. | zur Gewährleistung einer fortdauernden Erfüllung der mit der Akkreditierung verbundenen Aufgaben und Befugnisse: eine Darlegung der finanziellen, personellen und organisatorischen Ausstattung, und |
| 8. | den Nachweis der Möglichkeit der Abdeckung finanzieller Verbindlichkeiten aus der Tätigkeit als Zertifizierungsstelle nach Maßgabe des Punktes 4.3 ISO/IEC 17065:2012, einschließlich des Abschlusses und des Nachweises einer Haftpflichtversicherung zur Deckung der aus der Tätigkeit als Zertifizierungsstelle entstehenden Schadenersatzansprüche, wobei die Versicherung während der gesamten Dauer der Tätigkeit aufrechtzuerhalten ist. |
(4) Die Angaben gemäß Abs. 3 sind durch Vorlage geeigneter Dokumente zu bescheinigen, sofern sich deren Verfügbarkeit nicht aus allgemein zugänglichen öffentlichen Registern ergibt.
(5) Sofern der Antrag auf Akkreditierung nicht in deutscher Sprache erfolgt, sind die Angaben gemäß Abs. 3 durch Vorlage geeigneter Dokumente in beglaubigter Übersetzung zu bescheinigen.
(6) Die Akkreditierung wird für fünf Jahre ? sofern sich der Zertifizierungsgegenstand auf die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO bezieht, für drei Jahre ? erteilt und kann unter den in dieser Verordnung genannten Voraussetzungen verlängert werden.
(7) Zertifizierungsstellen müssen angemessene technische und organisatorische Maßnahmen treffen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung von personenbezogenen Daten gemäß der DSGVO erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
Unparteilichkeit
§ 5.
(1) Die Zertifizierungsstelle hat ihre Tätigkeit nach Maßgabe des Punktes 4.2 ISO/IEC 17065:2012 unparteiisch durchzuführen.
(2) Jede Art von wirtschaftlicher Beziehung zwischen Zertifizierungsstelle und Zertifizierungswerber oder -inhaber kann die Unparteilichkeit ihrer Tätigkeit beeinträchtigen. Der Unparteilichkeit gemäß Abs. 1 steht jedenfalls entgegen, wenn zwischen der Zertifizierungsstelle und dem Zertifizierungswerber oder -inhaber ein Vertragsverhältnis im Sinne des Art. 26 Abs. 1 zweiter Satz oder Art. 28 Abs. 3 DSGVO besteht.
Anforderungen an die Organisationsstruktur
§ 6.
(1) Zur fortlaufenden Gewährleistung der Unparteilichkeit gemäß § 5 hat die Zertifizierungsstelle nachzuweisen, dass ihre Organisation nach Maßgabe des Punktes 5.1 ISO/IEC 17065:2012 strukturiert und ein Mechanismus nach Maßgabe des Punktes 5.2 ISO/IEC 17065:2012 implementiert ist.
(2) Die Zertifizierungsstelle hat gemäß Art. 43 Abs. 2 lit. a DSGVO die Unabhängigkeit ihres Personals in Bezug auf den Zertifizierungsgegenstand nachzuweisen.
(3) Zum Nachweis der Unabhängigkeit gemäß Abs. 2 ist jedenfalls Folgendes anzugeben:
| 1. | eine Offenlegung der wirtschaftlichen Eigentümer, insbesondere durch die Vorlage eines Auszugs des bei der Registerbehörde geführten Registers für wirtschaftliche Eigentümer nach dem Wirtschaftliche |
Um weiterzulesen
FORDERN SIE IHR PROBEABO AN