Bei grossen Gesetzen wie OR und ZGB kann dies bis zu 30 Sekunden dauern
1. Abschnitt: Zertifizierungsstellen |
Art. 1 Anforderungen
1 Stellen, die Datenschutzzertifizierungen nach Artikel 13 DSG durchführen (Zertifizierungsstellen), müssen akkreditiert sein. Die Akkreditierung richtet sich nach der Akkreditierungs- und Bezeichnungsverordnung vom 17. Juni 19962 (AkkBV), soweit die vorliegende Verordnung keine abweichenden Vorschriften enthält. 2 Je eine separate Akkreditierung ist erforderlich für die Zertifizierung:
3 Die Zertifizierungsstellen müssen über eine festgelegte Organisation sowie ein festgelegtes Zertifizierungsverfahren (Zertifizierungsprogramm) verfügen. 4 Die Mindestanforderungen an die Qualifikation des Personals, das Zertifizierungen durchführt, richten sich nach dem Anhang. Die Zertifizierungsstellen müssen nachweisen, dass sie über entsprechend diesen Kriterien qualifiziertes Personal verfügen. |
Art. 2 Akkreditierungsverfahren
Die Schweizerische Akkreditierungsstelle (SAS) zieht für das Akkreditierungsverfahren und die Nachkontrolle sowie für die Sistierung oder den Entzug einer Akkreditierung den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bei. |
Art. 3 Ausländische Zertifizierungsstellen
1 Ausländische Zertifizierungsstellen, die auf schweizerischem Territorium tätig sein wollen, müssen nachweisen, dass sie über eine gleichwertige Qualifikation verfügen und die Anforderungen nach Artikel 1 Absätze 3 und 4 erfüllen sowie dass ihnen die schweizerische Datenschutzgesetzgebung hinreichend bekannt ist. 2 Der EDÖB anerkennt eine ausländische Zertifizierungsstelle nach Rücksprache mit der SAS. 3 Er kann die Anerkennung befristen und mit Auflagen verbinden. 4 Er entzieht die Anerkennung, wenn die Bedingungen und Auflagen nicht mehr erfüllt sind. |
2. Abschnitt: Gegenstand und Verfahren |
Art. 4 Gegenstand der Zertifizierung
1 Zertifizierbar sind:
2 Die Zertifizierung von Managementsystemen kann die Gesamtheit des Systems, einzelne Teile der Organisation oder einzelne, abgrenzbare Verfahren umfassen. 3 Die Zertifizierung von Produkten, Dienstleistungen und Prozessen kann Folgendes umfassen:
|
Art. 5 Anforderungen an das Zertifizierungsprogramm
1 Im Zertifizierungsprogramm müssen mindestens geregelt sein:
2 Bei der Festlegung des Zertifizierungsprogramms muss Folgendes berücksichtigt werden:
3 Die Prüfkriterien müssen mit allen Grundsätzen nach Artikel 6 DSG übereinstimmen. 4 Das Zertifizierungsprogramm muss den gemäss Anhang 2 AkkBV3 anwendbaren Normen sowie weiteren anwendbaren technischen Normen entsprechen. |
Art. 6 Anforderungen an die Zertifizierung von Managementsystemen
1 Gegenstand der Prüfung von Managementsystemen sind insbesondere:
2 Der EDÖB erlässt Richtlinien über die Mindestanforderungen an das Managementsystem. Er berücksichtigt dabei die internationalen Anforderungen an die Errichtung, den Betrieb, die Überwachung und die Verbesserung solcher Managementsysteme und insbesondere die folgenden technischen Normen4:
4 Die aufgeführten Normen können kostenlos eingesehen und gegen Bezahlung bezogen werden bei der Schweizerischen Normen-Vereinigung (SNV), Sulzerallee 70, 8404Winterthur; www.snv.ch. |
Art. 7 Anforderungen an die Zertifizierung von Produkten, Dienstleistungen und Prozessen
1 Gegenstand der Prüfung von Produkten, Dienstleistungen und Prozessen ist insbesondere die Gewährleistung:
2 Der EDÖB erlässt Richtlinien darüber, nach welchen weiteren datenschutzrechtlichen Kriterien die Prüfung erfolgen muss. |
Art. 8 Erteilung und Gültigkeit der Datenschutzzertifizierung
1 Die Zertifizierungsstelle zertifiziert das Managementsystem, das Produkt, die Dienstleistung oder den Prozess, wenn die datenschutzrechtlichen Anforderungen und die Voraussetzungen nach dieser Verordnung, nach den vom EDÖB erlassenen Richtlinien oder nach anderen gleichwertigen Normen erfüllt sind. Die Zertifizierung kann mit Auflagen verbunden werden. 2 Die Zertifizierung ist drei Jahre gültig. Die Zertifizierungsstelle muss jährlich prüfen, ob die Voraussetzungen weiterhin erfüllt sind. |
Art. 10 Ausnahme von der Pflicht zur Erstellung einer Datenschutz-Folgenabschätzung
Der private Verantwortliche kann von der Erstellung einer Datenschutz-Folgenabschätzung gemäss Artikel 22 Absatz 5 DSG nur absehen, wenn die Zertifizierung die Bearbeitung, die im Rahmen der Datenschutz-Folgenabschätzung zu prüfen wäre, einschliesst. |
4. Abschnitt: Schlussbestimmungen |
Art. 13 Aufhebung eines anderen Erlasses
Die Verordnung über die Datenschutzzertifizierungen vom 28. September 20075 wird aufgehoben. |
Anhang |
(Art. 1 Abs. 4) |
Mindestanforderungen an die Qualifikation des Personals |
1 Zertifizierung von Managementsystemen |
Das Personal, das Managementsysteme zertifiziert, muss gesamthaft über folgende Qualifikationen verfügen:
Die Zertifizierungsstelle muss für die einzelnen Bereiche über qualifiziertes Personal verfügen. Die Prüfung der Managementsysteme durch ein interdisziplinäres Team ist zulässig. 6 Die aufgeführten Normen können kostenlos eingesehen und gegen Bezahlung bezogen werden bei der Schweizerischen Normen-Vereinigung (SNV), Sulzerallee 70, 8404Winterthur; www.snv.ch. |
2 Zertifizierung von Produkten, Dienstleistungen und Prozessen |
Das Personal, das Produkte, Dienstleistungen oder Prozesse zertifiziert, muss gesamthaft über folgende Qualifikationen verfügen:
Die Zertifizierungsstelle muss für die einzelnen Bereiche über qualifiziertes Personal verfügen. Die Prüfung von Produkten, Dienstleistungen und Prozessen durch ein interdisziplinäres Team ist zulässig. 7 Die aufgeführte Norm kann kostenlos eingesehen und gegen Bezahlung bezogen werden bei der Schweizerischen Normen-Vereinigung (SNV), Sulzerallee 70, 8404Winterthur; www.snv.ch. |
Notiz entfernen
Sind Sie sicher?