Verordnung
über Datenschutzzertifizierungen
(VDSZ)

¹ Stel­len, die Da­ten­schutz­zer­ti­fi­zie­run­gen nach Ar­ti­kel 13 DSG durch­füh­ren (Zer­ti­fi­zie­rungs­stel­len), müs­sen ak­kre­di­tiert sein. Die Ak­kre­di­tie­rung rich­tet sich nach der Ak­kre­di­tie­rungs- und Be­zeich­nungs­ver­ord­nung vom 17. Ju­ni 1996² (AkkBV), so­weit die vor­lie­gen­de Ver­ord­nung kei­ne ab­wei­chen­den Vor­schrif­ten ent­hält.

² Je ei­ne se­pa­ra­te Ak­kre­di­tie­rung ist er­for­der­lich für die Zer­ti­fi­zie­rung:

a.

der Or­ga­ni­sa­ti­on und der Ver­fah­ren (Ma­na­ge­ment­sys­te­me) im Zu­sam­men­hang mit Da­ten­be­ar­bei­tun­gen;

b.

von Pro­duk­ten, na­ment­lich Da­ten­be­ar­bei­tungs­sys­te­men oder -pro­gram­men und Hard­wa­re, so­wie von Dienst­leis­tun­gen und Pro­zes­sen im Zu­sam­men­hang mit Da­ten­be­ar­bei­tun­gen.

³ Die Zer­ti­fi­zie­rungs­stel­len müs­sen über ei­ne fest­ge­leg­te Or­ga­ni­sa­ti­on so­wie ein fest­ge­leg­tes Zer­ti­fi­zie­rungs­ver­fah­ren (Zer­ti­fi­zie­rungs­pro­gramm) ver­fü­gen.

⁴ Die Min­dest­an­for­de­run­gen an die Qua­li­fi­ka­ti­on des Per­so­nals, das Zer­ti­fi­zie­run­gen durch­führt, rich­ten sich nach dem An­hang. Die Zer­ti­fi­zie­rungs­stel­len müs­sen nach­wei­sen, dass sie über ent­spre­chend die­sen Kri­te­ri­en qua­li­fi­zier­tes Per­so­nal ver­fü­gen.

Die Schwei­ze­ri­sche Ak­kre­di­tie­rungs­stel­le (SAS) zieht für das Ak­kre­di­tie­rungs­ver­fah­ren und die Nach­kon­trol­le so­wie für die Sis­tie­rung oder den Ent­zug ei­ner Ak­kre­di­tie­rung den Eid­ge­nös­si­schen Da­ten­schutz- und Öf­fent­lich­keits­be­auf­trag­ten (EDÖB) bei.

¹ Aus­län­di­sche Zer­ti­fi­zie­rungs­stel­len, die auf schwei­ze­ri­schem Ter­ri­to­ri­um tä­tig sein wol­len, müs­sen nach­wei­sen, dass sie über ei­ne gleich­wer­ti­ge Qua­li­fi­ka­ti­on ver­fü­gen und die An­for­de­run­gen nach Ar­ti­kel 1 Ab­sät­ze 3 und 4 er­fül­len so­wie dass ih­nen die schwei­ze­ri­sche Da­ten­schutz­ge­setz­ge­bung hin­rei­chend be­kannt ist.

² Der EDÖB an­er­kennt ei­ne aus­län­di­sche Zer­ti­fi­zie­rungs­stel­le nach Rück­spra­che mit der SAS.

³ Er kann die An­er­ken­nung be­fris­ten und mit Auf­la­gen ver­bin­den.

⁴ Er ent­zieht die An­er­ken­nung, wenn die Be­din­gun­gen und Auf­la­gen nicht mehr er­füllt sind.

¹ Zer­ti­fi­zier­bar sind:

a.

Ma­na­ge­ment­sys­te­me;

b.

Pro­duk­te, Dienst­leis­tun­gen und Pro­zes­se.

² Die Zer­ti­fi­zie­rung von Ma­na­ge­ment­sys­te­men kann die Ge­samt­heit des Sys­tems, ein­zel­ne Tei­le der Or­ga­ni­sa­ti­on oder ein­zel­ne, ab­grenz­ba­re Ver­fah­ren um­fas­sen.

³ Die Zer­ti­fi­zie­rung von Pro­duk­ten, Dienst­leis­tun­gen und Pro­zes­sen kann Fol­gen­des um­fas­sen:

a.

Pro­duk­te, die haupt­säch­lich der Be­ar­bei­tung von Per­so­nen­da­ten die­nen oder bei de­ren Be­nut­zung Per­so­nen­da­ten er­zeugt wer­den;

b.

Dienst­leis­tun­gen oder Pro­zes­se, die haupt­säch­lich der Be­ar­bei­tung von Per­so­nen­da­ten die­nen oder die Per­so­nen­da­ten er­zeu­gen.

¹ Im Zer­ti­fi­zie­rungs­pro­gramm müs­sen min­des­tens ge­re­gelt sein:

a.

die Prüf­kri­te­ri­en und die sich dar­aus er­ge­ben­den An­for­de­run­gen an die zu zer­ti­fi­zie­ren­den Ge­gen­stän­de;

b.

der Ab­lauf des Ver­fah­rens, ins­be­son­de­re das Vor­ge­hen, wenn Un­re­gel­mäs­sig­kei­ten fest­ge­stellt wer­den.

² Bei der Fest­le­gung des Zer­ti­fi­zie­rungs­pro­gramms muss Fol­gen­des be­rück­sich­tigt wer­den:

a.

die zu be­ar­bei­ten­den Per­so­nen­da­ten;

b.

die für die Be­ar­bei­tung der Per­so­nen­da­ten ver­wen­de­te elek­tro­ni­sche In­fra­struk­tur;

c.

die or­ga­ni­sa­to­ri­schen Mass­nah­men im Zu­sam­men­hang mit der Be­ar­bei­tung von Per­so­nen­da­ten.

³ Die Prüf­kri­te­ri­en müs­sen mit al­len Grund­sät­zen nach Ar­ti­kel 6 DSG über­ein­stim­men.

⁴ Das Zer­ti­fi­zie­rungs­pro­gramm muss den ge­mä­ss An­hang 2 AkkBV³ an­wend­ba­ren Nor­men so­wie wei­te­ren an­wend­ba­ren tech­ni­schen Nor­men ent­spre­chen.

¹ Ge­gen­stand der Prü­fung von Ma­na­ge­ment­sys­te­men sind ins­be­son­de­re:

a.

die Da­ten­schutz­po­li­tik;

b.

die Do­ku­men­ta­ti­on von Zie­len, Ri­si­ken und Mass­nah­men zur Ge­währ­leis­tung des Da­ten­schut­zes und der Da­ten­si­cher­heit;

c.

die or­ga­ni­sa­to­ri­schen und tech­ni­schen Vor­keh­run­gen zur Um­set­zung der fest­ge­leg­ten Zie­le und Mass­nah­men, ins­be­son­de­re zur Be­he­bung von Män­geln.

² Der EDÖB er­lässt Richt­li­ni­en über die Min­dest­an­for­de­run­gen an das Ma­na­ge­ment­sys­tem. Er be­rück­sich­tigt da­bei die in­ter­na­tio­na­len An­for­de­run­gen an die Er­rich­tung, den Be­trieb, die Über­wa­chung und die Ver­bes­se­rung sol­cher Ma­na­ge­ment­sys­te­me und ins­be­son­de­re die fol­gen­den tech­ni­schen Nor­men⁴:

a.

SN EN ISO 9001, Qua­li­täts­ma­na­ge­ment­sys­te­me, An­for­de­run­gen;

b.

SN EN ISO/IEC 27001, In­for­ma­ti­ons­tech­nik, IT-Si­cher­heits­ver­fah­ren, In­for­ma­ti­ons­si­cher­heits-Ma­na­ge­ment­sys­te­me, An­for­de­run­gen;

c.

SN EN ISO/IEC 27701, IT-Si­cher­heits­ver­fah­ren, Er­wei­te­rung zu ISO/IEC 27001 und ISO/IEC 27002 für das Ma­na­ge­ment von In­for­ma­tio­nen zum Schutz der Pri­vat­sphä­re, An­for­de­run­gen und Richt­li­ni­en.

¹ Ge­gen­stand der Prü­fung von Pro­duk­ten, Dienst­leis­tun­gen und Pro­zes­sen ist ins­be­son­de­re die Ge­währ­leis­tung:

a.

der Ver­trau­lich­keit, In­te­gri­tät, Ver­füg­bar­keit und Nach­voll­zieh­bar­keit der be­ar­bei­te­ten Per­so­nen­da­ten;

b.

der Ver­mei­dung der Be­ar­bei­tung von Per­so­nen­da­ten, die im Hin­blick auf den Ver­wen­dungs­zweck des Pro­dukts, der Dienst­leis­tung oder des Pro­zes­ses nicht er­for­der­lich sind;

c.

der Trans­pa­renz der Be­ar­bei­tung von Per­so­nen­da­ten;

d.

von tech­ni­schen Mass­nah­men zur Un­ter­stüt­zung der An­wen­de­rin oder des An­wen­ders bei der Ein­hal­tung wei­te­rer Da­ten­schutz­grund­sät­ze und da­ten­schutz­recht­li­cher Pflich­ten, ins­be­son­de­re der Rech­te der be­trof­fe­nen Per­so­nen.

² Der EDÖB er­lässt Richt­li­ni­en dar­über, nach wel­chen wei­te­ren da­ten­schutz­recht­li­chen Kri­te­ri­en die Prü­fung er­fol­gen muss.

¹ Die Zer­ti­fi­zie­rungs­stel­le zer­ti­fi­ziert das Ma­na­ge­ment­sys­tem, das Pro­dukt, die Dienst­leis­tung oder den Pro­zess, wenn die da­ten­schutz­recht­li­chen An­for­de­run­gen und die Vor­aus­set­zun­gen nach die­ser Ver­ord­nung, nach den vom EDÖB er­las­se­nen Richt­li­ni­en oder nach an­de­ren gleich­wer­ti­gen Nor­men er­füllt sind. Die Zer­ti­fi­zie­rung kann mit Auf­la­gen ver­bun­den wer­den.

² Die Zer­ti­fi­zie­rung ist drei Jah­re gül­tig. Die Zer­ti­fi­zie­rungs­stel­le muss jähr­lich prü­fen, ob die Vor­aus­set­zun­gen wei­ter­hin er­füllt sind.

Der EDÖB an­er­kennt nach Rück­spra­che mit der SAS aus­län­di­sche Zer­ti­fi­zie­run­gen, wenn ge­währ­leis­tet ist, dass die An­for­de­run­gen der schwei­ze­ri­schen Ge­setz­ge­bung er­füllt sind.

Der pri­va­te Ver­ant­wort­li­che kann von der Er­stel­lung ei­ner Da­ten­schutz-Fol­gen­ab­schät­zung ge­mä­ss Ar­ti­kel 22 Ab­satz 5 DSG nur ab­se­hen, wenn die Zer­ti­fi­zie­rung die Be­ar­bei­tung, die im Rah­men der Da­ten­schutz-Fol­gen­ab­schät­zung zu prü­fen wä­re, ein­sch­liesst.

¹ Die Zer­ti­fi­zie­rungs­stel­le kann ei­ne Zer­ti­fi­zie­rung sis­tie­ren oder ent­zie­hen, ins­be­son­de­re wenn sie im Rah­men der Über­prü­fung schwe­re Män­gel fest­stellt. Ein schwe­rer Man­gel liegt ins­be­son­de­re vor, wenn:

a.

we­sent­li­che Vor­aus­set­zun­gen der Da­ten­schutz­zer­ti­fi­zie­rung nicht mehr er­füllt sind; oder

b.

ei­ne Zer­ti­fi­zie­rung ir­re­füh­rend oder miss­bräuch­lich ver­wen­det wird.

² Bei Strei­tig­kei­ten über die Sis­tie­rung oder den Ent­zug rich­ten sich die Be­ur­tei­lung und das Ver­fah­ren nach den zi­vil­recht­li­chen Be­stim­mun­gen, die auf das Ver­trags­ver­hält­nis zwi­schen der Zer­ti­fi­zie­rungs­stel­le und dem Her­stel­ler von Da­ten­be­ar­bei­tungs­sys­te­men oder -pro­gram­men, dem Ver­ant­wort­li­chen oder dem Auf­trags­be­ar­bei­ter, der die Zer­ti­fi­zie­rung er­hal­ten hat, an­wend­bar sind.

¹ Stellt der EDÖB bei ei­nem Her­stel­ler von Da­ten­be­ar­bei­tungs­sys­te­men oder -pro­gram­men, ei­nem Ver­ant­wort­li­chen oder ei­nem Auf­trags­be­ar­bei­ter, der über ei­ne Zer­ti­fi­zie­rung ver­fügt, schwe­re Män­gel fest, so in­for­miert er die Zer­ti­fi­zie­rungs­stel­le dar­über.

² Die Zer­ti­fi­zie­rungs­stel­le for­dert den Her­stel­ler von Da­ten­be­ar­bei­tungs­sys­te­men oder -pro­gram­men, den Ver­ant­wort­li­chen oder den Auf­trags­be­ar­bei­ter un­ver­züg­lich auf, den Man­gel in­ner­halb von 30 Ta­gen, nach­dem sie vom EDÖB in­for­miert wur­de, zu be­he­ben.

³ Wird der Man­gel nicht in­ner­halb von 30 Ta­gen be­ho­ben, so sis­tiert die Zer­ti­fi­zie­rungs­stel­le die Zer­ti­fi­zie­rung. Be­steht kei­ne Aus­sicht dar­auf, dass in­ner­halb ei­nes an­ge­mes­se­nen Zeit­raums ein rechts­kon­for­mer Zu­stand ge­schaf­fen oder wie­der­her­ge­stellt wird, so wird die Zer­ti­fi­zie­rung ent­zo­gen.

⁴ Wird der Man­gel nicht in­ner­halb der Frist nach Ab­satz 2 be­ho­ben und hat die Zer­ti­fi­zie­rungs­stel­le die Zer­ti­fi­zie­rung nicht sis­tiert oder ent­zo­gen, so trifft der EDÖB ei­ne Mass­nah­me nach Ar­ti­kel 51 Ab­satz 1 DSG. Er kann na­ment­lich an­ord­nen, die Zer­ti­fi­zie­rung zu sis­tie­ren oder zu ent­zie­hen. Rich­tet er die Ver­fü­gung an die Zer­ti­fi­zie­rungs­stel­le, so in­for­miert er die SAS dar­über.

Die Ver­ord­nung über die Da­ten­schutz­zer­ti­fi­zie­run­gen vom 28. Sep­tem­ber 2007⁵ wird auf­ge­ho­ben.

Die­se Ver­ord­nung tritt am 1. Sep­tem­ber 2023 in Kraft.