LegalizeVerordnung der Datenschutzbehörde über die Anforderungen an die Akkreditierung einer Zertifizierungsstelle (Zertifizierungsstellen-Akkreditierungs-Verordnung – ZeStAkk-V)
Abkürzung
ZeStAkk-V
Präambel/Promulgationsklausel
Auf Grund des § 21 Abs. 3 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 14/2019, wird verordnet:
Abkürzung
ZeStAkk-V
Allgemeine Bestimmungen
§ 1. Diese Verordnung regelt in Konkretisierung des Art. 43 Abs. 2 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 127 vom 23.05.2018 S. 2 und in Ergänzung der Vorgaben der Internationalen Norm ISO/IEC 17065:2012 Konformitätsbewertung – Anforderungen an Stellen, die Produkte, Prozesse und Dienstleistungen zertifizieren (im Folgenden: ISO/IEC 17065:2012), die Voraussetzungen für die Akkreditierung von Zertifizierungsstellen gemäß Art. 58 Abs. 3 lit. e DSGVO.
Abkürzung
ZeStAkk-V
Begriffsbestimmungen
§ 2. Im Sinne dieser Verordnung bezeichnet der Begriff
„Zertifizierungsanforderungen“, Anforderungen – einschließlich den Zertifizierungskriterien –, die vom Zertifizierungswerber oder -inhaber als eine Bedingung zur Feststellung oder Aufrechterhaltung der Zertifizierung zu erfüllen sind;
„Technischer Datenschutz“, sämtliche Maßnahmen, die eingesetzt werden, um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen bei der Verarbeitung personenbezogener Daten erfüllt sind;
„Zertifizierungskriterien“, jene gemäß Art. 42 Abs. 5 DSGVO genehmigten Kriterien, anhand derer eine Zertifizierung durchgeführt wird;
„Zertifizierungsstelle“, eine unabhängige Konformitätsbewertungsstelle, die gemäß dieser Verordnung akkreditiert wurde;
„Zertifizierungswerber“, jenen Verantwortlichen gemäß Art. 4 Z 7 DSGVO oder Auftragsverarbeiter gemäß Art. 4 Z 8 DSGVO, welcher eine Zertifizierung anstrebt und der dafür verantwortlich ist, sicherzustellen, dass die Zertifizierungsanforderungen erfüllt sind;
„Zertifizierungsinhaber“, jenen Verantwortlichen gemäß Art. 4 Z 7 DSGVO oder Auftragsverarbeiter gemäß Art. 4 Z 8 DSGVO, dem die Zertifizierungsstelle eine Zertifizierung erteilt hat und der dafür verantwortlich ist, sicherzustellen, dass die Zertifizierungsanforderungen laufend eingehalten werden.
Abkürzung
ZeStAkk-V
Akkreditierung
§ 3. Mit der Akkreditierung als Zertifizierungsstelle wird diese ermächtigt, einem Zertifizierungswerber eine Zertifizierung zu erteilen.
Abkürzung
ZeStAkk-V
Akkreditierungsverfahren
§ 4. (1) Die Akkreditierung als Zertifizierungsstelle erfolgt auf Grund eines schriftlichen Antrages an die Datenschutzbehörde mit Bescheid. Antragslegimitiert sind ausschließlich juristische Personen im Sinne des Punktes 4.1.1 ISO/IEC 17065:2012 (Antragsteller).
(2) Dem Antrag sind sämtliche für das Verfahren erforderlichen Dokumente anzuschließen. Die Akkreditierung als Zertifizierungsstelle setzt den Nachweis der Einhaltung der Anforderungen des Art. 43 Abs. 2 DSGVO, der Internationalen Norm ISO/IEC 17065:2012 samt Anhang und der in dieser Verordnung genannten zusätzlichen Anforderungen voraus.
(3) Der Antrag hat jedenfalls den Nachweis der Voraussetzungen nach §§ 5 bis 19 und folgende Angaben zu enthalten:
Zur Feststellung der Identität des Antragstellers:
die Firma gemäß § 17 des Unternehmensgesetzesbuches – UGB, dRGBl. S. 219/1897, sowie die Firmenbuchnummer, bei Vereinen die ZVR-Zahl gemäß § 18 Abs. 2 des Vereinsgesetzes 2002 – VerG, BGBl. I Nr. 66, sowie im Falle der Ausübung einer Tätigkeit nach der Gewerbeordnung 1994 – GewO 1994, BGBl. Nr. 194, die GISA-Zahl gemäß § 365a Abs. 1 Z 11 bzw. § 365b Abs. 1 Z 8 GewO 1994,
die Namen der für den technischen und rechtlichen Bereich gesamtverantwortlichen Leiter, gegebenenfalls deren Stellvertreter sowie jener Zeichnungsberechtigten, die für die fachliche Richtigkeit der Konformitätsbewertung verantwortlich sein sollen,
Angaben zum beantragten sachlichen Geltungsbereich der Konformitätsbescheinigung (Zertifizierungsgegenstand),
Angaben zu den Zertifizierungskriterien gemäß Art. 42 Abs. 5 DSGVO, auf deren Grundlage die Zertifizierung erteilt werden,
sofern Konformitätszeichen gemäß § 14 Abs. 1 verwendet werden: Eine Abbildung der Konformitätszeichen,
zum Nachweis der strafrechtlichen Unbescholtenheit: Sofern die Zuverlässigkeit und strafrechtliche Unbescholtenheit nicht Voraussetzung für die Ausübung der Tätigkeit ist, eine Registerauskunft für Verbände gemäß § 89m des Gerichtsorganisationsgesetzes – GOG, RGBl. Nr. 217/1896,
einen Sitz im Europäischen Wirtschaftsraum gemäß dem EWR-Abkommen, BGBl. Nr. 909/1993,
zur Gewährleistung einer fortdauernden Erfüllung der mit der Akkreditierung verbundenen Aufgaben und Befugnisse: eine Darlegung der finanziellen, personellen und organisatorischen Ausstattung, und
den Nachweis der Möglichkeit der Abdeckung finanzieller Verbindlichkeiten aus der Tätigkeit als Zertifizierungsstelle nach Maßgabe des Punktes 4.3 ISO/IEC 17065:2012, einschließlich des Abschlusses und des Nachweises einer Haftpflichtversicherung zur Deckung der aus der Tätigkeit als Zertifizierungsstelle entstehenden Schadenersatzansprüche, wobei die Versicherung während der gesamten Dauer der Tätigkeit aufrechtzuerhalten ist.
(4) Die Angaben gemäß Abs. 3 sind durch Vorlage geeigneter Dokumente zu bescheinigen, sofern sich deren Verfügbarkeit nicht aus allgemein zugänglichen öffentlichen Registern ergibt.
(5) Sofern der Antrag auf Akkreditierung nicht in deutscher Sprache erfolgt, sind die Angaben gemäß Abs. 3 durch Vorlage geeigneter Dokumente in beglaubigter Übersetzung zu bescheinigen.
(6) Die Akkreditierung wird für fünf Jahre – sofern sich der Zertifizierungsgegenstand auf die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO bezieht, für drei Jahre – erteilt und kann unter den in dieser Verordnung genannten Voraussetzungen verlängert werden.
(7) Zertifizierungsstellen müssen angemessene technische und organisatorische Maßnahmen treffen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung von personenbezogenen Daten gemäß der DSGVO erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
Abkürzung
ZeStAkk-V
Unparteilichkeit
§ 5. (1) Die Zertifizierungsstelle hat ihre Tätigkeit nach Maßgabe des Punktes 4.2 ISO/IEC 17065:2012 unparteiisch durchzuführen.
(2) Jede Art von wirtschaftlicher Beziehung zwischen Zertifizierungsstelle und Zertifizierungswerber oder -inhaber kann die Unparteilichkeit ihrer Tätigkeit beeinträchtigen. Der Unparteilichkeit gemäß Abs. 1 steht jedenfalls entgegen, wenn zwischen der Zertifizierungsstelle und dem Zertifizierungswerber oder -inhaber ein Vertragsverhältnis im Sinne des Art. 26 Abs. 1 zweiter Satz oder Art. 28 Abs. 3 DSGVO besteht.
Abkürzung
ZeStAkk-V
Anforderungen an die Organisationsstruktur
§ 6. (1) Zur fortlaufenden Gewährleistung der Unparteilichkeit gemäß § 5 hat die Zertifizierungsstelle nachzuweisen, dass ihre Organisation nach Maßgabe des Punktes 5.1 ISO/IEC 17065:2012 strukturiert und ein Mechanismus nach Maßgabe des Punktes 5.2 ISO/IEC 17065:2012 implementiert ist.
(2) Die Zertifizierungsstelle hat gemäß Art. 43 Abs. 2 lit. a DSGVO die Unabhängigkeit ihres Personals in Bezug auf den Zertifizierungsgegenstand nachzuweisen.
(3) Zum Nachweis der Unabhängigkeit gemäß Abs. 2 ist jedenfalls Folgendes anzugeben:
eine Offenlegung der wirtschaftlichen Eigentümer, insbesondere durch die Vorlage eines Auszugs des bei der Registerbehörde geführten Registers für wirtschaftliche Eigentümer nach dem Wirtschaftliche Eigentümer Registergesetz – WiEReG, BGBl. I Nr. 136/2017, und
Angaben zur fortlaufenden Finanzierung der Zertifizierungsstelle.
(4) Die Zertifizierungsstelle hat gemäß Art. 43 Abs. 2 lit. e DSGVO nachzuweisen, dass die Aufgaben und Pflichten ihres Personals nicht zu einem Interessenkonflikt führen.
(5) Der Nachweis für Verhinderung von Interessenkonflikten gemäß Abs. 4 ist jedenfalls durch einen – gegenüber dem Personal der Zertifizierungsstelle für verbindlich zu erklärenden – Maßnahmenkatalog zu erbringen, der jedenfalls Folgendes vorzusehen hat:
Unvereinbarkeitsbestimmungen, welche festlegen, dass das Personal der Zertifizierungsstelle keiner weiteren, mit der Ausübung ihrer Tätigkeit unvereinbaren Geschäftstätigkeit nachgeht,
Implementierung von Stellvertreterregelungen im Falle identifizierter Interessenkonflikte,
Verschwiegenheitsklauseln, sowie
Weisungsfreiheit gegenüber den Zertifizierungswerbern oder -inhabern.
Abkürzung
ZeStAkk-V
Anforderungen an die Organisationsstruktur
§ 6. (1) Zur fortlaufenden Gewährleistung der Unparteilichkeit gemäß § 5 hat die Zertifizierungsstelle nachzuweisen, dass ihre Organisation nach Maßgabe des Punktes 5.1 ISO/IEC 17065:2012 strukturiert und ein Mechanismus nach Maßgabe des Punktes 5.2 ISO/IEC 17065:2012 implementiert ist.
(2) Die Zertifizierungsstelle hat gemäß Art. 43 Abs. 2 lit. a DSGVO ihre Unabhängigkeit in Bezug auf den Zertifizierungsgegenstand nachzuweisen.
(3) Zum Nachweis der Unabhängigkeit gemäß Abs. 2 ist jedenfalls Folgendes anzugeben:
eine Offenlegung der wirtschaftlichen Eigentümer, insbesondere durch die Vorlage eines Auszugs des bei der Registerbehörde geführten Registers für wirtschaftliche Eigentümer nach dem Wirtschaftliche Eigentümer Registergesetz – WiEReG, BGBl. I Nr. 136/2017, und
Angaben zur fortlaufenden Finanzierung der Zertifizierungsstelle.
(4) Die Zertifizierungsstelle hat gemäß Art. 43 Abs. 2 lit. e DSGVO nachzuweisen, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(5) Der Nachweis für Verhinderung von Interessenkonflikten gemäß Abs. 4 ist jedenfalls durch einen – gegenüber dem Personal der Zertifizierungsstelle für verbindlich zu erklärenden – Maßnahmenkatalog zu erbringen, der jedenfalls Folgendes vorzusehen hat:
Unvereinbarkeitsbestimmungen, welche festlegen, dass das Personal der Zertifizierungsstelle keiner weiteren, mit der Ausübung ihrer Tätigkeit unvereinbaren Geschäftstätigkeit nachgeht,
Implementierung von Stellvertreterregelungen im Falle identifizierter Interessenkonflikte,
Verschwiegenheitsklauseln, sowie
Weisungsfreiheit gegenüber den Zertifizierungswerbern oder -inhabern.
Abkürzung
ZeStAkk-V
Fachwissen
§ 7. (1) Die Zertifizierungsstelle muss zusätzlich zu den Anforderungen des Punktes 6.1 ISO/IEC 17065:2012 über hinreichende personelle Ressourcen mit aktuellen Fachkenntnissen in den folgenden Bereichen verfügen und in der Lage sein, dies jederzeit nachzuweisen:
Kenntnisse des Datenschutzrechts und Erfahrung in seiner Anwendung, einschließlich technischer und organisatorischer Maßnahmen und Verfahren,
Kenntnisse in Bezug auf den Zertifizierungsgegenstand gemäß Art. 43 Abs. 2 lit. a DSGVO und
Kenntnisse der für Konformitätsbewertungen maßgeblichen gesetzlichen Bestimmungen sowie der national und international relevanten Normen (insbesondere EN, DIN, IEC und ISO).
(2) Die juristischen Fachkenntnisse sind nachzuweisen durch den erfolgreichen Abschluss eines mindestens acht Semester andauernden Studiums der Rechtswissenschaften oder des Wirtschaftsrechts an einer österreichischen oder einer als gleichwertig anerkannten ausländischen Universität oder einer Fachhochschule, das zur Führung des akademischen Grades Magister oder Master berechtigt.
(3) Die technischen Fachkenntnisse sind nachzuweisen durch:
den erfolgreichen Abschluss eines mindestens acht Semester andauernden Studiums an einer österreichischen oder einer als gleichwertig anerkannten ausländischen Universität oder einer Fachhochschule, das überwiegend durch die Fächer Informatik, Technik oder Mathematik gekennzeichnet ist und das zur Führung des akademischen Grades Magister, Diplom-Ingenieur oder Master berechtigt, oder
den erfolgreichen Abschluss einer Ausbildung, die zur Führung der Qualitätsbezeichnung Ingenieur im Sinne des Ingenieurgesetzes 2017 – IngG 2017, BGBl. I Nr 23/2017, berechtigt, oder
den erfolgreichen Abschluss einer gleichwertigen Berufsausbildung, für welchen in dem Mitgliedsstaat, in dem er erfolgte, ein anerkannter geschützter Titel oder eine solche Berufsbezeichnung verliehen wird.
(4) Die Fachkenntnisse gemäß Abs. 2 und Abs. 3 können auch in Form einer mindestens fünfjährigen Berufserfahrung nachgewiesen werden, die allgemein juristische und technische Fachkenntnisse vermittelt.
(5) Die mit dem Zertifizierungsverfahren betrauten Personen müssen zusätzlich zu den Anforderungen gemäß Abs. 2 bis Abs. 4 über ausreichende Kenntnisse und eine mindestens zweijährige Berufserfahrung mit Auditierungen im Sinne des § 16 Abs. 3 verfügen.
(6) Die für die Entscheidung über die Zertifizierung verantwortliche Person oder verantwortlichen Personen im Sinne des § 13 müssen zusätzlich zu den Anforderungen gemäß Abs. 2 bis Abs. 4 über eine mindestens fünfjährige spezifische Berufserfahrung im Datenschutzrecht und im Bereich des technischen Datenschutzes verfügen.
(7) Das Fachwissen der Zertifizierungsstelle muss nicht in einer Person alleine vorhanden sein.
(8) Das Personal, welches im Zertifizierungsverfahren und bei der Entscheidung über die Zertifizierung eingesetzt wird, muss sich im Sinne des Art. 43 Abs. 2 lit. b DSGVO verpflichten, die gemäß Art. 42 Abs. 5 DSGVO genehmigten Kriterien einzuhalten.
(9) Die Zertifizierungsstelle hat durch Verfahren zu gewährleisten, dass das Fachwissen des Personals, insbesondere unter Berücksichtigung von Änderungen der Gesetzeslage, des Risikos für die Verarbeitung und des Standes der Technik, auf aktuellem Stand gehalten wird.
(10) Die Zertifizierungsstelle muss zu dem Personal, welches im Zertifizierungsverfahren und bei der Entscheidung über die Zertifizierung eingesetzt ist, Aufzeichnungen im Sinne des Punktes 6.1.2.2 ISO/IEC 17065:2012 führen.
Abkürzung
ZeStAkk-V
Zertifizierungsverfahren
§ 8. (1) Die Zertifizierung erfolgt auf Grundlage eines schriftlichen Antrags des Zertifizierungswerbers an die Zertifizierungsstelle. Die Zertifizierungsstelle hat nach Maßgabe von Punkt 7.2 ISO/IEC 17065:2012 Vorgaben für den Antrag festzulegen, der sämtliche für das Zertifizierungsverfahren erforderlichen Informationen und jedenfalls folgende Angaben zu enthalten hat:
Angaben zur Feststellung der Identität des Zertifizierungswerbers, einschließlich der Generalien der vertretungsbefugten Personen des Zertifizierungswerbers,
Angaben zur beantragten Zertifizierung einschließlich der Information, ob es sich bei der Zertifizierung um ein Europäisches Datenschutzsiegel gemäß Art. 40 Abs. 5 zweiter Satz DSGVO handelt,
Informationen bezüglich aller allfällig ausgegliederten Prozesse, die vom Zertifizierungswerber genutzt werden, einschließlich Informationen zu einem Verhältnis gemäß Art. 26 oder Art. 28 DSGVO.
(2) Die Zertifizierungsstelle hat zur Abwicklung des Zertifizierungsverfahrens ein Zertifizierungsprogramm nach Maßgabe des Punktes 7.1 ISO/IEC 17065:2012 zu betreiben.
⋯
Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.