BUNDESGESETZBLATT
FÜR DIE REPUBLIK ÖSTERREICH

Jahrgang 2021

Ausgegeben am 17. Februar 2021

Teil II

79. Verordnung:

Zertifizierungsstellen-Akkreditierungs-Verordnung – ZeStAkk-V

79. Verordnung der Datenschutzbehörde über die Anforderungen an die Akkreditierung einer Zertifizierungsstelle (Zertifizierungsstellen-Akkreditierungs-Verordnung – ZeStAkk-V)

Auf Grund des Paragraph 21, Absatz 3, des Datenschutzgesetzes (DSG), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999,, zuletzt geändert durch das Bundesgesetz Bundesgesetzblatt Teil eins, Nr. 14 aus 2019,, wird verordnet:

Allgemeine Bestimmungen

Paragraph eins,

Diese Verordnung regelt in Konkretisierung des Artikel 43, Absatz 2, der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 04.05.2016 Sitzung 1, in der Fassung der Berichtigung ABl. Nr. L 127 vom 23.05.2018 Sitzung 2 und in Ergänzung der Vorgaben der Internationalen Norm ISO/IEC 17065:2012 Konformitätsbewertung – Anforderungen an Stellen, die Produkte, Prozesse und Dienstleistungen zertifizieren (im Folgenden: ISO/IEC 17065:2012), die Voraussetzungen für die Akkreditierung von Zertifizierungsstellen gemäß Artikel 58, Absatz 3, Litera e, DSGVO.

Begriffsbestimmungen

Paragraph 2,

Im Sinne dieser Verordnung bezeichnet der Begriff

  1. Ziffer eins
    „Zertifizierungsanforderungen“, Anforderungen – einschließlich den Zertifizierungskriterien –, die vom Zertifizierungswerber oder -inhaber als eine Bedingung zur Feststellung oder Aufrechterhaltung der Zertifizierung zu erfüllen sind;
  2. Ziffer 2
    „Technischer Datenschutz“, sämtliche Maßnahmen, die eingesetzt werden, um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen bei der Verarbeitung personenbezogener Daten erfüllt sind;
  3. Ziffer 3
    „Zertifizierungskriterien“, jene gemäß Artikel 42, Absatz 5, DSGVO genehmigten Kriterien, anhand derer eine Zertifizierung durchgeführt wird;
  4. Ziffer 4
    „Zertifizierungsstelle“, eine unabhängige Konformitätsbewertungsstelle, die gemäß dieser Verordnung akkreditiert wurde;
  5. Ziffer 5
    „Zertifizierungswerber“, jenen Verantwortlichen gemäß Artikel 4, Ziffer 7, DSGVO oder Auftragsverarbeiter gemäß Artikel 4, Ziffer 8, DSGVO, welcher eine Zertifizierung anstrebt und der dafür verantwortlich ist, sicherzustellen, dass die Zertifizierungsanforderungen erfüllt sind;
  6. Ziffer 6
    „Zertifizierungsinhaber“, jenen Verantwortlichen gemäß Artikel 4, Ziffer 7, DSGVO oder Auftragsverarbeiter gemäß Artikel 4, Ziffer 8, DSGVO, dem die Zertifizierungsstelle eine Zertifizierung erteilt hat und der dafür verantwortlich ist, sicherzustellen, dass die Zertifizierungsanforderungen laufend eingehalten werden.

Akkreditierung

Paragraph 3,

Mit der Akkreditierung als Zertifizierungsstelle wird diese ermächtigt, einem Zertifizierungswerber eine Zertifizierung zu erteilen.

Akkreditierungsverfahren

Paragraph 4,

  1. Absatz einsDie Akkreditierung als Zertifizierungsstelle erfolgt auf Grund eines schriftlichen Antrages an die Datenschutzbehörde mit Bescheid. Antragslegimitiert sind ausschließlich juristische Personen im Sinne des Punktes 4.1.1 ISO/IEC 17065:2012 (Antragsteller).
  2. Absatz 2Dem Antrag sind sämtliche für das Verfahren erforderlichen Dokumente anzuschließen. Die Akkreditierung als Zertifizierungsstelle setzt den Nachweis der Einhaltung der Anforderungen des Artikel 43, Absatz 2, DSGVO, der Internationalen Norm ISO/IEC 17065:2012 samt Anhang und der in dieser Verordnung genannten zusätzlichen Anforderungen voraus.
  3. Absatz 3Der Antrag hat jedenfalls den Nachweis der Voraussetzungen nach Paragraphen 5 bis 19 und folgende Angaben zu enthalten:
    1. Ziffer eins
      Zur Feststellung der Identität des Antragstellers:
      1. Litera a
        die Firma gemäß Paragraph 17, des Unternehmensgesetzesbuches – UGB, dRGBl. Sitzung 219/1897, sowie die Firmenbuchnummer, bei Vereinen die ZVR-Zahl gemäß Paragraph 18, Absatz 2, des Vereinsgesetzes 2002 – VerG, Bundesgesetzblatt römisch eins Nr. 66, sowie im Falle der Ausübung einer Tätigkeit nach der Gewerbeordnung 1994 – GewO 1994, Bundesgesetzblatt Nr. 194, die GISA-Zahl gemäß Paragraph 365 a, Absatz eins, Ziffer 11, bzw. Paragraph 365 b, Absatz eins, Ziffer 8, GewO 1994,
      2. Litera b
        die Namen der für den technischen und rechtlichen Bereich gesamtverantwortlichen Leiter, gegebenenfalls deren Stellvertreter sowie jener Zeichnungsberechtigten, die für die fachliche Richtigkeit der Konformitätsbewertung verantwortlich sein sollen,
    2. Ziffer 2
      Angaben zum beantragten sachlichen Geltungsbereich der Konformitätsbescheinigung (Zertifizierungsgegenstand),
    3. Ziffer 3
      Angaben zu den Zertifizierungskriterien gemäß Artikel 42, Absatz 5, DSGVO, auf deren Grundlage die Zertifizierung erteilt werden,
    4. Ziffer 4
      sofern Konformitätszeichen gemäß Paragraph 14, Absatz eins, verwendet werden: Eine Abbildung der Konformitätszeichen,
    5. Ziffer 5
      zum Nachweis der strafrechtlichen Unbescholtenheit: Sofern die Zuverlässigkeit und strafrechtliche Unbescholtenheit nicht Voraussetzung für die Ausübung der Tätigkeit ist, eine Registerauskunft für Verbände gemäß Paragraph 89 m, des Gerichtsorganisationsgesetzes – GOG, RGBl. Nr. 217/1896,
    6. Ziffer 6
      einen Sitz im Europäischen Wirtschaftsraum gemäß dem EWR-Abkommen, Bundesgesetzblatt Nr. 909 aus 1993,,
    7. Ziffer 7
      zur Gewährleistung einer fortdauernden Erfüllung der mit der Akkreditierung verbundenen Aufgaben und Befugnisse: eine Darlegung der finanziellen, personellen und organisatorischen Ausstattung, und
    8. Ziffer 8
      den Nachweis der Möglichkeit der Abdeckung finanzieller Verbindlichkeiten aus der Tätigkeit als Zertifizierungsstelle nach Maßgabe des Punktes 4.3 ISO/IEC 17065:2012, einschließlich des Abschlusses und des Nachweises einer Haftpflichtversicherung zur Deckung der aus der Tätigkeit als Zertifizierungsstelle entstehenden Schadenersatzansprüche, wobei die Versicherung während der gesamten Dauer der Tätigkeit aufrechtzuerhalten ist.
  4. Absatz 4Die Angaben gemäß Absatz 3, sind durch Vorlage geeigneter Dokumente zu bescheinigen, sofern sich deren Verfügbarkeit nicht aus allgemein zugänglichen öffentlichen Registern ergibt.
  5. Absatz 5Sofern der Antrag auf Akkreditierung nicht in deutscher Sprache erfolgt, sind die Angaben gemäß Absatz 3, durch Vorlage geeigneter Dokumente in beglaubigter Übersetzung zu bescheinigen.
  6. Absatz 6Die Akkreditierung wird für fünf Jahre – sofern sich der Zertifizierungsgegenstand auf die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikel 9, Absatz eins, DSGVO bezieht, für drei Jahre – erteilt und kann unter den in dieser Verordnung genannten Voraussetzungen verlängert werden.
  7. Absatz 7Zertifizierungsstellen müssen angemessene technische und organisatorische Maßnahmen treffen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung von personenbezogenen Daten gemäß der DSGVO erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.

Unparteilichkeit

Paragraph 5,

  1. Absatz einsDie Zertifizierungsstelle hat ihre Tätigkeit nach Maßgabe des Punktes 4.2 ISO/IEC 17065:2012 unparteiisch durchzuführen.
  2. Absatz 2Jede Art von wirtschaftlicher Beziehung zwischen Zertifizierungsstelle und Zertifizierungswerber oder -inhaber kann die Unparteilichkeit ihrer Tätigkeit beeinträchtigen. Der Unparteilichkeit gemäß Absatz eins, steht jedenfalls entgegen, wenn zwischen der Zertifizierungsstelle und dem Zertifizierungswerber oder -inhaber ein Vertragsverhältnis im Sinne des Artikel 26, Absatz eins, zweiter Satz oder Artikel 28, Absatz 3, DSGVO besteht.

Anforderungen an die Organisationsstruktur

Paragraph 6,

  1. Absatz einsZur fortlaufenden Gewährleistung der Unparteilichkeit gemäß Paragraph 5, hat die Zertifizierungsstelle nachzuweisen, dass ihre Organisation nach Maßgabe des Punktes 5.1 ISO/IEC 17065:2012 strukturiert und ein Mechanismus nach Maßgabe des Punktes 5.2 ISO/IEC 17065:2012 implementiert ist.
  2. Absatz 2Die Zertifizierungsstelle hat gemäß Artikel 43, Absatz 2, Litera a, DSGVO die Unabhängigkeit ihres Personals in Bezug auf den Zertifizierungsgegenstand nachzuweisen.
  3. Absatz 3Zum Nachweis der Unabhängigkeit gemäß Absatz 2, ist jedenfalls Folgendes anzugeben:
    1. Ziffer eins
      eine Offenlegung der wirtschaftlichen Eigentümer, insbesondere durch die Vorlage eines Auszugs des bei der Registerbehörde geführten Registers für wirtschaftliche Eigentümer nach dem Wirtschaftliche Eigentümer Registergesetz – WiEReG, Bundesgesetzblatt Teil eins, Nr. 136 aus 2017,, und
    2. Ziffer 2
      Angaben zur fortlaufenden Finanzierung der Zertifizierungsstelle.
  4. Absatz 4Die Zertifizierungsstelle hat gemäß Artikel 43, Absatz 2, Litera e, DSGVO nachzuweisen, dass die Aufgaben und Pflichten ihres Personals nicht zu einem Interessenkonflikt führen.
  5. Absatz 5Der Nachweis für Verhinderung von Interessenkonflikten gemäß Absatz 4, ist jedenfalls durch einen – gegenüber dem Personal der Zertifizierungsstelle für verbindlich zu erklärenden – Maßnahmenkatalog zu erbringen, der jedenfalls Folgendes vorzusehen hat:

    Ziffer eins Unvereinbarkeitsbestimmungen, welche festlegen, dass das Personal der Zertifizierungsstelle keiner weiteren, mit der Ausübung ihrer Tätigkeit unvereinbaren Geschäftstätigkeit nachgeht,

    Ziffer 2 Implementierung von Stellvertreterregelungen im Falle identifizierter Interessenkonflikte,

    Ziffer 3 Verschwiegenheitsklauseln, sowie

    Ziffer 4 Weisungsfreiheit gegenüber den Zertifizierungswerbern oder -inhabern.

Fachwissen

Paragraph 7,

  1. Absatz einsDie Zertifizierungsstelle muss zusätzlich zu den Anforderungen des Punktes 6.1 ISO/IEC 17065:2012 über hinreichende personelle Ressourcen mit aktuellen Fachkenntnissen in den folgenden Bereichen verfügen und in der Lage sein, dies jederzeit nachzuweisen:
    1. Ziffer eins
      Kenntnisse des Datenschutzrechts und Erfahrung in seiner Anwendung, einschließlich technischer und organisatorischer Maßnahmen und Verfahren,
    2. Ziffer 2
      Kenntnisse in Bezug auf den Zertifizierungsgegenstand gemäß Artikel 43, Absatz 2, Litera a, DSGVO und
    3. Ziffer 3
      Kenntnisse der für Konformitätsbewertungen maßgeblichen gesetzlichen Bestimmungen sowie der national und international relevanten Normen (insbesondere EN, DIN, IEC und ISO).
  2. Absatz 2Die juristischen Fachkenntnisse sind nachzuweisen durch den erfolgreichen Abschluss eines mindestens acht Semester andauernden Studiums der Rechtswissenschaften oder des Wirtschaftsrechts an einer österreichischen oder einer als gleichwertig anerkannten ausländischen Universität oder einer Fachhochschule, das zur Führung des akademischen Grades Magister oder Master berechtigt.
  3. Absatz 3Die technischen Fachkenntnisse sind nachzuweisen durch:
    1. Ziffer eins
      den erfolgreichen Abschluss eines mindestens acht Semester andauernden Studiums an einer österreichischen oder einer als gleichwertig anerkannten ausländischen Universität oder einer Fachhochschule, das überwiegend durch die Fächer Informatik, Technik oder Mathematik gekennzeichnet ist und das zur Führung des akademischen Grades Magister, Diplom-Ingenieur oder Master berechtigt, oder
    2. Ziffer 2
      den erfolgreichen Abschluss einer Ausbildung, die zur Führung der Qualitätsbezeichnung Ingenieur im Sinne des Ingenieurgesetzes 2017 – IngG 2017, Bundesgesetzblatt Teil eins, Nr 23 aus 2017,, berechtigt, oder
    3. Ziffer 3
      den erfolgreichen Abschluss einer gleichwertigen Berufsausbildung, für welchen in dem Mitgliedsstaat, in dem er erfolgte, ein anerkannter geschützter Titel oder eine solche Berufsbezeichnung verliehen wird.
  4. Absatz 4Die Fachkenntnisse gemäß Absatz 2 und Absatz 3, können auch in Form einer mindestens fünfjährigen Berufserfahrung nachgewiesen werden, die allgemein juristische und technische Fachkenntnisse vermittelt.
  5. Absatz 5Die mit dem Zertifizierungsverfahren betrauten Personen müssen zusätzlich zu den Anforderungen gemäß Absatz 2 bis Absatz 4, über ausreichende Kenntnisse und eine mindestens zweijährige Berufserfahrung mit Auditierungen im Sinne des Paragraph 16, Absatz 3, verfügen.
  6. Absatz 6Die für die Entscheidung über die Zertifizierung verantwortliche Person oder verantwortlichen Personen im Sinne des Paragraph 13, müssen zusätzlich zu den Anforderungen gemäß Absatz 2 bis Absatz 4, über eine mindestens fünfjährige spezifische Berufserfahrung im Datenschutzrecht und im Bereich des technischen Datenschutzes verfügen.
  7. Absatz 7Das Fachwissen der Zertifizierungsstelle muss nicht in einer Person alleine vorhanden sein.
  8. Absatz 8Das Personal, welches im Zertifizierungsverfahren und bei der Entscheidung über die Zertifizierung eingesetzt wird, muss sich im Sinne des Artikel 43, Absatz 2, Litera b, DSGVO verpflichten, die gemäß Artikel 42, Absatz 5, DSGVO genehmigten Kriterien einzuhalten.
  9. Absatz 9Die Zertifizierungsstelle hat durch Verfahren zu gewährleisten, dass das Fachwissen des Personals, insbesondere unter Berücksichtigung von Änderungen der Gesetzeslage, des Risikos für die Verarbeitung und des Standes der Technik, auf aktuellem Stand gehalten wird.
  10. Absatz 10Die Zertifizierungsstelle muss zu dem Personal, welches im Zertifizierungsverfahren und bei der Entscheidung über die Zertifizierung eingesetzt ist, Aufzeichnungen im Sinne des Punktes 6.1.2.2 ISO/IEC 17065:2012 führen.

Zertifizierungsverfahren

Paragraph 8,

  1. Absatz einsDie Zertifizierung erfolgt auf Grundlage eines schriftlichen Antrags des Zertifizierungswerbers an die Zertifizierungsstelle. Die Zertifizierungsstelle hat nach Maßgabe von Punkt 7.2 ISO/IEC 17065:2012 Vorgaben für den Antrag festzulegen, der sämtliche für das Zertifizierungsverfahren erforderlichen Informationen und jedenfalls folgende Angaben zu enthalten hat:
    1. Ziffer eins
      Angaben zur Feststellung der Identität des Zertifizierungswerbers, einschließlich der Generalien der vertretungsbefugten Personen des Zertifizierungswerbers,
    2. Ziffer 2
      Angaben zur beantragten Zertifizierung einschließlich der Information, ob es sich bei der Zertifizierung um ein Europäisches Datenschutzsiegel gemäß Artikel 40, Absatz 5, zweiter Satz DSGVO handelt,
    3. Ziffer 3
      Informationen bezüglich aller allfällig ausgegliederten Prozesse, die vom Zertifizierungswerber genutzt werden, einschließlich Informationen zu einem Verhältnis gemäß Artikel 26, oder Artikel 28, DSGVO.
  2. Absatz 2Die Zertifizierungsstelle hat zur Abwicklung des Zertifizierungsverfahrens ein Zertifizierungsprogramm nach Maßgabe des Punktes 7.1 ISO/IEC 17065:2012 zu betreiben.
  3. Absatz 3Die Zertifizierungsstelle hat den schriftlichen Antrag des Zertifizierungswerbers nach Maßgabe des Punktes 7.3 ISO/IEC 17065:2012 zu bewerten, den Zertifizierungswerber innerhalb angemessener Frist sowie auf Anfrage über den Stand des Zertifizierungsverfahrens zu informieren.
  4. Absatz 4Sofern das Zertifizierungsverfahren ergibt, dass die Zertifizierung aller Voraussicht nach nicht erteilt werden kann, ist dem Zertifizierungswerber auf dessen Antrag und unter angemessener Fristsetzung die Möglichkeit zu geben, die dafür maßgebenden Umstände oder Gründe zu beseitigen.
  5. Absatz 5Die Zertifizierungsstelle hat eine Zertifizierungsentscheidung gemäß Paragraph 13, innerhalb einer angemessenen Frist zu treffen. Die Frist ist im Zertifizierungsprogramm festzulegen.
  6. Absatz 6Die Zertifizierungsstelle hat im Rahmen ihrer Tätigkeit die nicht diskriminierenden Bedingungen im Sinne des Punktes 4.4 ISO/IEC 17065:2012 zu erfüllen.
  7. Absatz 7Die Zertifizierungsstelle hat sämtliche Informationen zum Zertifizierungsprogramm im Sinne des Punktes 4.6 ISO/IEC 17065:2012 in allgemein zugänglicher Form zu veröffentlichen und auf Anfrage bereitzustellen.

Zertifizierungsvereinbarung und Maßnahmen zur Sicherstellung der Kommunikation und der Vertraulichkeit

Paragraph 9,

  1. Absatz einsZwischen Zertifizierungsstelle und Zertifizierungswerber ist eine Zertifizierungsvereinbarung abzuschließen.
  2. Absatz 2In der Zertifizierungsvereinbarung ist zusätzlich zu den Anforderungen im Sinne des Punktes 4.1.2 ISO/IEC 17065:2012 jedenfalls Folgendes festzulegen:
    1. Ziffer eins
      Die Verpflichtung des Zertifizierungswerbers zur fortlaufenden Einhaltung der Zertifizierungsanforderungen und der darin vorgesehenen Fristen, einschließlich der Zertifizierungskriterien gemäß Artikel 42, Absatz 5, DSGVO,
    2. Ziffer 2
      die Verpflichtung des Zertifizierungswerbers, Änderungen von Zertifizierungsanforderungen gemäß Paragraph 10, nach Gewährung einer angemessenen Frist umzusetzen,
    3. Ziffer 3
      die Dauer, für welche die Zertifizierung erteilt oder verlängert wird, wobei gemäß Artikel 42, Absatz 7, DSGVO die Höchstdauer von drei Jahren zu berücksichtigen ist,
    4. Ziffer 4
      die Bedingungen, unter welchen gemäß Artikel 42, Absatz 7 und Artikel 43, Absatz 4, DSGVO die Zertifizierung verlängert oder widerrufen werden kann, einschließlich angemessener Zeitabstände für die Neubewertung der Erfüllung der Zertifizierungsanforderungen und der Zertifizierungskriterien gemäß Artikel 42, Absatz 5, DSGVO,
    5. Ziffer 5
      eine Berichtspflicht des Zertifizierungswerbers über wesentliche Änderungen, welche die Erfüllung der vereinbarten Verpflichtungen beeinträchtigen können,
    6. Ziffer 6
      Verpflichtungen des Zertifizierungswerbers im Zusammenhang mit der Beendigung, Einschränkung, Aussetzung oder Zurückziehung der Zertifizierung gemäß Paragraph 17,, insbesondere, dass
      1. Litera a
        jeglicher Verweis oder jegliche Bezugnahme auf die erteilte Zertifizierung zu unterbleiben hat,
      2. Litera b
        etwaige Konformitätszeichen nach Paragraph 15, Absatz eins, zurückzustellen und nicht mehr zu verwenden sind,
    7. Ziffer 7
      die Verpflichtung des Zertifizierungswerbers, den mit Durchführung der Zertifizierung betrauten Personen der Zertifizierungsstelle, soweit zur Überprüfung der fortlaufenden Einhaltung der in der Zertifizierungsvereinbarung festgelegten Verpflichtungen erforderlich, nach vorheriger Ankündigung Zugang zu den Betriebs- oder Produktionsstätten sowie Einsicht in die erforderlichen Dokumente zu gewähren,
    8. Ziffer 8
      die Verpflichtung des Zertifizierungswerbers, vollständige Transparenz des Zertifizierungsverfahrens gegenüber der Datenschutzbehörde zu gewährleisten, einschließlich vertraulicher Vertragsangelegenheiten in Zusammenhang mit der Einhaltung der Bestimmungen gemäß Artikel 42, Absatz 7 und Artikel 58, Absatz eins, Litera c, DSGVO,
    9. Ziffer 9
      die Möglichkeit der Zertifizierungsstelle, sämtliche Information offenzulegen, die gemäß Artikel 42, Absatz 8 und Artikel 43, Absatz 5, DSGVO zur Erteilung der Zertifizierung erforderlich sind,
    10. Ziffer 10
      der Hinweis darauf, dass die Zertifizierung unbeschadet der aus der DSGVO resultierenden Verpflichtungen, denen der Zertifizierungswerber unterliegt und unbeschadet der Aufgaben und Befugnisse der Datenschutzbehörde erfolgt,
    11. Ziffer 11
      die Konsequenzen für den Zertifizierungswerber, wenn die Akkreditierung der Zertifizierungsstelle gemäß Artikel 43, Absatz 7, DSGVO widerrufen wird,
    12. Ziffer 12
      Verpflichtungen der Zertifizierungsstelle im Zusammenhang mit Beschwerden in Bezug auf die Einhaltung der Zertifizierungsanforderungen, wie insbesondere
      1. Litera a
        Erstellung eines internen Maßnahmenkatalogs für die Behandlung der einlangenden Beschwerden, und
      2. Litera b
        Dokumentations- und Aufbewahrungspflichten über die Beschwerdefälle und die ergriffenen Maßnahmen sowie über die Dauer der Aufbewahrung unter Berücksichtigung der Grundsätze für die Verarbeitung personenbezogener Daten im Sinne der DSGVO, sowie
    13. Ziffer 13
      die gemäß Paragraph 11, festgelegten Evaluierungsmethoden in Bezug auf den Zertifizierungsgegenstand.
  3. Absatz 3Es sind geeignete Maßnahmen zu treffen, damit eine effektive Kommunikation zwischen Zertifizierungsstelle und berechtigten Dritten gewährleistet wird. Dazu zählt jedenfalls die laufende Dokumentation über:
    1. Ziffer eins
      über die Tätigkeit der Zertifizierungsstelle zum Zwecke der Behandlung von Informationsanfragen oder zur Kontaktaufnahme im Falle einer Beschwerde im Zusammenhang mit einer Zertifizierung, sowie
    2. Ziffer 2
      über das Antragsverfahren, insbesondere um Informationen über den aktuellen Stand von Anträgen gemäß Paragraph 8, Absatz eins, erteilen zu können.
  4. Absatz 4Die Zertifizierungsstelle verpflichtet sich vertraglich gegenüber dem Zertifizierungswerber, die auf Grund ihrer Tätigkeit erhaltenen Informationen im Sinne des Punktes 4.5.1 ISO/IEC 17065:2012 vertraulich zu behandeln.

Änderung von Zertifizierungsanforderungen

Paragraph 10,

  1. Absatz einsIm Falle einer Änderung der Zertifizierungsanforderungen hat die Zertifizierungsstelle den Zertifizierungsinhaber unverzüglich schriftlich zu verständigen und nach Gewährung einer angemessenen Frist für die Umsetzung der erforderlichen Änderungen diese auch zu überprüfen.
  2. Absatz 2Zusätzlich zu den Vorgaben des Punktes 7.10 ISO/IEC 17065:2012 umfassen Änderungen, die die Zertifizierungsanforderungen betreffen und von der Zertifizierungsstelle zu berücksichtigen sind, insbesondere die Änderung der Rechtslage, höchstgerichtliche Entscheidungen im Zusammenhang mit dem Datenschutz, den Erlass delegierter Rechtsakte der Kommission gemäß Artikel 43, Absatz 8 und Absatz 9, DSGVO, sowie angenommene Dokumente des Europäischen Datenschutzausschusses.

Evaluierung

Paragraph 11,

  1. Absatz einsDie Zertifizierungsstelle hat unter Einhaltung der Vorgaben des Punktes 7.4 ISO/IEC 17065:2012 standardisierte Bewertungsmethoden festzulegen, welche ihr die Beurteilung der Übereinstimmung der Verarbeitungsvorgänge mit den Zertifizierungskriterien ermöglicht. Zusätzlich zu den Vorgaben des Punktes 7.4.6 ISO/IEC 17065:2012 hat die Zertifizierungsstelle Modalitäten festzulegen, wie der Zertifizierungswerber über allfällige Abweichungen von Zerfizierungskriterien informiert wird. In diesem Rahmen sind jedenfalls Art und Zeitpunkt der Informationsmitteilung zu regeln.
  2. Absatz 2Die Zertifizierungsstelle hat in den standardisierten Bewertungsmethoden gemäß Absatz eins, festzulegen, inwiefern Instrumente wie Verhaltensregeln gemäß Artikel 40, DSGVO, an denen der Zertifizierungswerber teilnimmt, Zertifizierungen gemäß Artikel 42, DSGVO, die ein Zertifizierungswerber bereits besitzt, oder anderweitige etablierte Standards, die eingehalten werden, zum Nachweis der Übereinstimmung der Verarbeitungsvorgänge mit den Zertifizierungskriterien herangezogen werden können. Die Zertifizierungsstelle ist jedenfalls verpflichtet, die Konformität der Verarbeitungsvorgänge des Zertifizierungswerbers mit den Zertifizierungskriterien zu überprüfen. Der vollständige Ersatz dieser Überprüfung durch Verweis auf derartige Instrumente ist nicht möglich.
  3. Absatz 3Die Zertifizierungsstelle hat die Vorgaben des Punktes 6.2 ISO/IEC 17065:2012 für die Ressourcen der Evaluierung zu erfüllen.
  4. Absatz 4Die Betrauung von externen Sachverständigen zur Durchführung der erforderlichen Evaluierungstätigkeiten ist nach Maßgabe der folgenden Bestimmungen zulässig:
    1. Ziffer eins
      Die extern Betrauten verfügen gemeinsam über das Fachwissen und die Erfahrung gemäß Paragraph 7, Absatz 2 bis Absatz 5,,
    2. Ziffer 2
      die Tätigkeit erfolgt nach den Anforderungen der relevanten internationalen (insbesondere ISO/IEC) Normen,
    3. Ziffer 3
      Unvereinbarkeitsbestimmungen und Maßnahmen zur Sicherstellung der Vertraulichkeit unter sinngemäßer Anwendung von Paragraph 5 und Paragraph 6, wurden vertraglich vereinbart,
    4. Ziffer 4
      der Zertifizierungswerber wurde vorab informiert und ihm wurde die Möglichkeit zur Erhebung einer Ablehnung eingeräumt, und
    5. Ziffer 5
      die Verantwortung für die übertragenen Tätigkeiten verbleibt bei der Zertifizierungsstelle.
  5. Absatz 5Die Zertifizierungsstelle hat, insbesondere unter Berücksichtigung von Änderungen der Rechtslage, des Risikos für die Verarbeitung, des Standes der Technik und der Kosten für die Durchführung technischer und organisatorischer Maßnahmen, Verfahren festzulegen, nach denen die Bewertungsmethoden gemäß Absatz eins, fortentwickelt werden.
  6. Absatz 6Die Zertifizierungsstelle hat gemäß Punkt 7.4.9 ISO/IEC 17065:2012 die Ergebnisse aller Evaluierungstätigkeiten in einem Verzeichnis zu dokumentieren und der Datenschutzbehörde jederzeit Zugang zu diesem zu gewähren.

Bewertung

Paragraph 12,

  1. Absatz einsDie Zertifizierungsstelle hat alle Informationen und Ergebnisse, die mit der Evaluierung im Zusammenhang stehen, im Sinne des Punktes 7.5 ISO/IEC 17065:2012 zu bewerten.
  2. Absatz 2Die Zertifizierungsstelle hat gemäß Artikel 43, Absatz 2, Litera c, DSGVO Verfahren für die Erteilung, die regelmäßige Überprüfung und den Widerruf von Zertifizierungen zu implementieren.

Zertifizierungsentscheidung

Paragraph 13,

  1. Absatz einsDie Zertifizierungsstelle hat die Entscheidung in Bezug auf die Erteilung oder Nichterteilung einer Zertifizierung anhand der Evaluierungsergebnisse gemäß Paragraph 11 und anhand der Bewertung gemäß Paragraph 12 und unter Einhaltung der Vorgaben des Punktes 7.6 ISO/IEC 17065:2012 zu treffen.
  2. Absatz 2Die Zertifizierungsstelle hat Verfahren festzulegen, wie die Unabhängigkeit und Verantwortung der entscheidungsbefugten Personen in Bezug auf jede Zertifizierungsentscheidung gewährleistet wird.
  3. Absatz 3Die Betrauung von externen Sachverständigen zur Durchführung der Zertifizierungsentscheidung ist nicht zulässig.
  4. Absatz 4Die Zertifizierungsstelle hat dem Zertifizierungswerber im Falle der Erteilung einer Zertifizierung eine schriftliche Bescheinigung auszustellen, die folgende Angaben enthält:
    1. Ziffer eins
      Name und Anschrift der Zertifizierungsstelle,
    2. Ziffer 2
      die Generalien des Zertifizierungsinhabers,
    3. Ziffer 3
      das Datum, an welchem die Zertifizierung erteilt oder verlängert wurde,
    4. Ziffer 4
      den Geltungsbereich der Zertifizierung und eine Beschreibung des Zertifizierungsgegenstandes, sowie
    5. Ziffer 5
      den Zeitraum im Sinne des Paragraph 9, Absatz 2, Ziffer 3,, für welchen die Zertifizierung erteilt wird.
  5. Absatz 5Im Fall der Nichterteilung einer Zertifizierung hat die Zertifizierungsstelle den Zertifizierungswerber schriftlich darüber zu informieren und die maßgeblichen Gründe für diese Entscheidung darzulegen.
  6. Absatz 6Die schriftliche Bescheinigung gemäß Absatz 4 und die schriftliche Entscheidung gemäß Absatz 5, ist von der gemäß Paragraph 4, Absatz 3, Ziffer eins, Litera b, dazu bevollmächtigten Person der Zertifizierungsstelle zu unterfertigen.
  7. Absatz 7Die Zertifizierungsstelle hat der Datenschutzbehörde die Gründe über Anfrage für die Erteilung oder Nichterteilung einer Zertifizierung mitzuteilen.
  8. Absatz 8Die Zertifizierungsstelle hat Anweisungen der Datenschutzbehörde, eine Zertifizierung nicht zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht erfüllt werden, zu befolgen. Der Zertifizierungswerber, der von dieser Anweisung betroffen ist, hat im Rahmen des Widerrufverfahrens Parteistellung.

Konformitätszeichen

Paragraph 14,

  1. Absatz einsZusätzlich zur schriftlichen Bescheinigung gemäß Paragraph 13, Absatz 4, kann die Zertifizierungsstelle dem Zertifizierungswerber Konformitätszeichen in Form von Datenschutzsiegel und -prüfzeichen ausstellen, sofern dies in den anzuwendenden Zertifizierungskriterien gemäß Artikel 42, Absatz 5, DSGVO vorgesehen ist.
  2. Absatz 2Die Zertifizierungsstelle hat die Verwendung von Konformitätszeichen gemäß Absatz eins, im Sinne des Punktes 4.1.3 ISO/IEC 17065:2012 zu überprüfen. Konformitätszeichen dürfen jedenfalls nur in Einklang mit Artikel 42 und Artikel 43, DSGVO verwendet werden.

Zertifizierungsverzeichnis

Paragraph 15,

  1. Absatz einsDie Zertifizierungsstelle hat ein Verzeichnis über erteilte Zertifizierungen zu führen, welches zusätzlich zu den Vorgaben des Punktes 7.8 ISO/IEC 17065:2012 zumindest folgende Angaben enthält:
    1. Ziffer eins
      Den Geltungsbereich der Zertifizierung und eine aussagekräftige Beschreibung des Zertifizierungsgegenstandes,
    2. Ziffer 2
      die jeweiligen Zertifizierungskriterien,
    3. Ziffer 3
      die durchgeführten Evaluierungsmethoden und Tests und
    4. Ziffer 4
      die Ergebnisse der Zertifizierungsentscheidungen.
  2. Absatz 2Die Zertifizierungsstelle hat Informationen zu zertifizierten Verarbeitungsvorgängen und eine Zusammenfassung der Zertifizierungsverfahren einschließlich der Bewertungsberichte zu dokumentieren, in geeigneter Form zu veröffentlichen und bereitzustellen.
  3. Absatz 3Die Zertifizierungsstelle stellt der Datenschutzbehörde auf Anfrage das vollständige Verzeichnis gemäß Absatz eins, zur Verfügung.

Überwachungsverfahren und Aufzeichnungen

Paragraph 16,

  1. Absatz einsDie Zertifizierungsstelle hat nach Maßgabe des Punktes 7.9 ISO/IEC 17065:2012 geeignete Verfahren vorzusehen, die es ihr ermöglichen, die fortlaufende Einhaltung der Zertifizierungsanforderungen durch die Zertifizierungsinhaber zu überwachen (Überwachungsverfahren). Sämtliche mit den Überwachungsverfahren im Zusammenhang stehende Maßnahmen, einschließlich der Zeitraum der beabsichtigten Überwachung, sind zu dokumentieren.
  2. Absatz 2Ein Überwachungsverfahren ist geeignet, wenn festgelegt wird, wie die Überwachungstätigkeit in der Praxis durchgeführt und nach welchen Kriterien das Überwachungsverfahren evaluiert wird.
  3. Absatz 3Im Überwachungsverfahren sind in Einklang mit Artikel 43, Absatz 2, Litera c, DSGVO systematische, nach festgelegten Regeln durchgeführte Überprüfungen vorzusehen (Auditierungen). Es sind jedenfalls Festlegungen zu folgenden Kriterien zu treffen:
    1. Ziffer eins
      Terminpläne, die in bestimmten, im Voraus festgelegten, Zeitabständen eine Überprüfung vorsehen. Die Häufigkeit der Überprüfungen hat sich dabei insbesondere am Zertifizierungsgegenstand, dem Ergebnis der Risikoanalyse und an der Anzahl an Beschwerdefällen zu orientieren.
    2. Ziffer 2
      Festlegung der anzuwendenden Methoden und der zu bewertenden Kriterien nach einem Bewertungsraster.
  4. Absatz 4Die Eignung des Verfahrens gemäß Absatz 2, ist durch eine konzeptionelle Darstellung des Überwachungsverfahrens nachzuweisen.
  5. Absatz 5Die Zertifizierungsstelle hat Aufzeichnungen gemäß Punkt 7.12 ISO/IEC 17065:2012 zu führen, um nachzuweisen, dass der Zertifizierungsinhaber die Anforderungen an die Zertifizierung erfüllt. Der Datenschutzbehörde ist jederzeit Zugang zu diesen Aufzeichnungen zu gewähren.

Beendigung, Einschränkung, Aussetzung oder Widerruf der Zertifizierung

Paragraph 17,

  1. Absatz einsDie Zertifizierungsstelle hat für den Fall der Beendigung, Einschränkung, Aussetzung oder des Widerrufs einer Zertifizierung die Voraussetzungen des Punktes 7.11 ISO/IEC 17065:2012 zu erfüllen.
  2. Absatz 2Die Zertifizierungsstelle hat der Datenschutzbehörde die Gründe für die Beendigung, Einschränkung, Aussetzung oder den Widerruf einer Zertifizierung mitzuteilen.
  3. Absatz 3Die Zertifizierungsstelle hat Anweisungen der Datenschutzbehörde, eine bereits erteilte Zertifizierung zu widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht mehr erfüllt werden, zu befolgen. Der Zertifizierungsinhaber, der von dieser Anweisung betroffen ist, hat im Rahmen des Widerrufverfahrens Parteistellung.

Beschwerdeverfahren

Paragraph 18,

  1. Absatz einsDie Zertifizierungsstelle hat nach Maßgabe des Punktes 7.13 ISO/IEC 17065:2012 geeignete Verfahrensrichtlinien über die Behandlung der bei ihr einlangenden Beschwerden über Verstöße gegen oder die Umsetzung von Zertifizierungsanforderungen durch Zertifizierungsinhaber festzulegen und das diesbezügliche Verfahren und die Strukturen durch Vorlage geeigneter Dokumente nachzuweisen.
  2. Absatz 2Verfahrensrichtlinien sind geeignet, wenn jedenfalls Folgendes festgelegt wird:

    1.           Angaben zu den beschwerdebefugten Personen (Beschwerdelegitimation),

    1. Ziffer 2
      Angaben zu den Personen, die für die Behandlung von Beschwerden zuständig sind, einschließlich Angaben über deren Ernennung, allfällige Unvereinbarkeitsregelungen und die vorgesehene Funktionszeit,
    2. Ziffer 3
      im Falle der Einrichtung eines kollegialen Entscheidungsgremiums, das Recht der Parteien, eine von ihnen ernannte natürliche Person in das Gremium zu entsenden,
    3. Ziffer 4
      Richtlinien über die Streitbeilegung, die vorsehen, dass Streitigkeiten innerhalb angemessener Frist, einfach, transparent und auf der Grundlage einer objektiven Bewertung der Umstände der Beschwerde und unter gebührender Berücksichtigung der Rechte der Parteien beurteilt werden,
    4. Ziffer 5
      das Recht der Parteien, innerhalb angemessener, von der Zertifizierungsstelle festzulegender Frist, zu Vorbringen der Gegenparteien Stellung zu nehmen,
    5. Ziffer 6
      eine Informationspflicht dahingehend, dass der Beschwerdeführer innerhalb von drei Monaten über den Stand des Verfahrens zu informieren ist, sowie
    6. Ziffer 7
      Gründe, die der Behandlung einer Beschwerde entgegenstehen.
  3. Absatz 3Die Verfahrensrichtlinien sind nach erfolgter Akkreditierung der Zertifizierungsstelle in allgemein zugänglicher Weise zu veröffentlichen.
  4. Absatz 4Die Zertifizierungsstelle hat ein Verzeichnis über die bei ihr eingegangenen Beschwerden und die ergriffenen Maßnahmen zu führen und der Datenschutzbehörde jederzeit Zugang zu diesem zu gewähren.

Anforderungen an ein Managementsystem

Paragraph 19,

  1. Absatz einsDie Zertifizierungsstelle hat nach Maßgabe der Punkte 8.1 bis 8.8 ISO/IEC 17065:2012 ein Managementsystem zu implementieren, welches ihr ermöglicht, den Nachweis dafür zu erbringen, dass sie die an sie gestellten Anforderungen und die ihr übertragenen Aufgaben und Befugnisse nach dieser Verordnung und nach der DSGVO erfüllen kann.
  2. Absatz 2Im Managementsystem sind zusätzlich zu den Vorgaben der Punkte 8.1 bis 8.8 ISO/IEC 17065:2012 vorzusehen:
    1. Ziffer eins
      Verfahren gemäß Paragraph 17, für den Fall der Beendigung, Einschränkung, Aussetzung oder des Widerrufs der Zertifizierung, einschließlich der Festlegung von Fristen, innerhalb derer die Mitteilung an die Datenschutzbehörde gemäß Paragraph 17, Absatz 2, zu erfolgen hat,
    2. Ziffer 2
      Verfahren für den Fall, dass die Akkreditierung der Zertifizierungsstelle gemäß Artikel 43, Absatz 7, DSGVO widerrufen wird, einschließlich der Pflicht zur Benachrichtigung der Zertifizierungswerber oder –inhaber, sowie
    3. Ziffer 3
      Verfahren für den Fall von Beschwerden gemäß Paragraph 18,, mit denen insbesondere die Vorgaben der Punkte 4.1.2.2 Litera c und Litera j,, 4.6 Litera d und 7.13 ISO/IEC 17065:2012 umgesetzt werden.
  3. Absatz 3Die Zertifizierungsstelle hat der Datenschutzbehörde jederzeit Zugang zu den Dokumenten des implementierten Managementsystems zu gewähren.

Personenbezogene Bezeichnungen

Paragraph 20,

Bei den in dieser Verordnung verwendeten personenbezogenen Bezeichnungen gilt die gewählte Form für alle Geschlechter.

Verweisungen

Paragraph 21,

Verweisungen in dieser Verordnung auf andere Bundesgesetze sind als Verweisungen auf die jeweils geltende Fassung zu verstehen.

Inkrafttreten

Paragraph 22,

Diese Verordnung tritt mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt in Kraft.

Jelinek