1. Abschnitt: Zertifizierungsstellen |
Art. 1 Anforderungen
1 Die Stellen, die Datenschutzzertifizierungen nach Artikel 11 DSG durchführen (Zertifizierungsstellen), müssen akkreditiert sein. Die Akkreditierung richtet sich nach der Akkreditierungs- und Bezeichnungsverordnung vom 17. Juni 19962, soweit die vorliegende Verordnung keine abweichenden Vorschriften enthält. 2 Je eine separate Akkreditierung ist erforderlich für die Zertifizierung von:
3 Die Zertifizierungsstellen müssen über eine festgelegte Organisation sowie ein festgelegtes Zertifizierungsverfahren (Kontrollprogramm) verfügen. Darin müssen insbesondere geregelt sein:
4 Die Mindestanforderungen an das Kontrollprogramm richten sich nach den gemäss Anhang 2 der Akkreditierungs- und Bezeichnungsverordnung vom 17. Juni 1996 anwendbaren Normen und Grundsätzen sowie nach den Artikeln 4–6. 5 Die Mindestanforderungen an die Qualifikation des Personals, welches Zertifizierungen durchführt, richten sich nach dem Anhang. |
Art. 2 Akkreditierungsverfahren
Die Schweizerische Akkreditierungsstelle zieht für das Akkreditierungsverfahren und die Nachkontrolle sowie für die Sistierung oder den Entzug einer Akkreditierung den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten oder die Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (den Beauftragten oder die Beauftragte) bei. |
Art. 3 Ausländische Zertifizierungsstellen
1 Der oder die Beauftragte anerkennt nach Rücksprache mit der Schweizerischen Akkreditierungsstelle ausländische Zertifizierungsstellen zur Tätigkeit auf schweizerischem Territorium, wenn diese eine gleichwertige Qualifikation wie die in der Schweiz geforderte nachweisen können. 2 Die Zertifizierungsstellen haben insbesondere den Nachweis zu erbringen, dass sie die Anforderungen nach Artikel 1 Absätze 3 und 4 erfüllen und dass ihnen die schweizerische Datenschutzgesetzgebung hinreichend bekannt ist. 3 Der oder die Beauftragte kann die Anerkennung befristen und mit Bedingungen oder Auflagen verbinden. Er oder sie entzieht die Anerkennung, wenn wesentliche Bedingungen und Auflagen nicht erfüllt werden. |
2. Abschnitt: Gegenstand und Verfahren |
Art. 4 Zertifizierung von Organisation und Verfahren
1 Zertifizierbar sind:
2 Gegenstand der Begutachtung ist das Datenschutzmanagementsystem. Dieses umfasst namentlich:
3 Der oder die Beauftragte erlässt Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem. Er oder sie berücksichtigt dabei die international massgebenden Anforderungen für die Errichtung, den Betrieb, die Überwachung und die Verbesserung von Managementsystemen, wie sie insbesondere in den folgenden technischen Normen3 zum Ausdruck kommen:
4 Die Ausnahme von der Pflicht zur Anmeldung von Datensammlungen nach Artikel 11a Absatz 5 Buchstabe f DSG ist nur anwendbar, wenn sämtliche Datenbearbeitungsverfahren, denen eine Datensammlung dient, zertifiziert sind. 3 Die aufgeführten Normen kostenlos eingesehen und gegen Bezahlung bezogen werden bei der Schweizerischen Normen-Vereinigung (SNV), Sulzerallee 70, 8404Winterthur; www.snv.ch. 4 Fassung gemäss Ziff. I der V vom 30. Sept. 2016, in Kraft seit 1. Nov. 2016 (AS 2016 3447). |
Art. 5 Zertifizierung von Produkten
1 Zertifizierbar sind Produkte, die hauptsächlich der Bearbeitung von Personendaten dienen oder bei deren Benutzung Personendaten, namentlich Daten über die Benutzerin oder den Benutzer, generiert werden. 2 Gegenstand der Prüfung ist namentlich die produktimmanente Gewährleistung:
3 Der oder die Beauftragte erlässt Richtlinien darüber, welche datenschutzspezifischen Kriterien im Rahmen der Zertifizierung eines Produkts mindestens zu prüfen sind.5 5 Fassung gemäss Ziff. I der V vom 12. März 2010, in Kraft seit 1. April 2010 (AS 2010 949). |
Art. 6 Erteilung und Gültigkeit der Datenschutzzertifizierung
1 Die Zertifizierung wird erteilt, wenn das Zertifizierungsverfahren aufgrund der von der Zertifizierungsstelle angewandten Begutachtungs- oder Prüfkriterien zum Ergebnis führt, dass die datenschutzrechtlichen Anforderungen sowie die Anforderungen, die sich aus dieser Verordnung und den von dem oder der Beauftragten erlassenen Richtlinien (Art. 4 Abs. 3 und 5 Abs. 3) oder anderen gleichwertigen Normen und Standards ergeben, erfüllt werden. Die Zertifizierung kann mit Bedingungen oder Auflagen verbunden werden. 2 Die Zertifizierung eines Datenschutzmanagementsystems ist während drei Jahren gültig. Die Zertifizierungsstelle hat jährlich summarisch zu überprüfen, ob die Voraussetzungen für die Zertifizierung weiterhin erfüllt sind. 3 Die Zertifizierung eines Produktes ist während zwei Jahren gültig. Ein Produkt muss erneut zertifiziert werden, sobald daran wesentliche Veränderungen vorgenommen wurden. |
Art. 7 Anerkennung ausländischer Datenschutzzertifizierungen
Der oder die Beauftragte anerkennt nach Rücksprache mit der Schweizerischen Akkreditierungsstelle ausländische Zertifizierungen, wenn Gewähr dafür besteht, dass die Anforderungen der schweizerischen Gesetzgebung erfüllt werden. |
Art. 8 Mitteilung des Ergebnisses des Zertifizierungsverfahrens
1 Teilt die Stelle, die eine Zertifizierung erhalten hat, dem oder der Beauftragten die erfolgreich absolvierte Zertifizierung nach Artikel 4 mit, um nach Artikel 11a Absatz 5 Buchstabe f DSG von der Pflicht zur Anmeldung ihrer Datensammlungen befreit zu werden, so hat sie auf Anfrage folgende Unterlagen einzureichen:
2 Stellt die Zertifizierungsstelle im Rahmen ihrer Überwachungstätigkeit wesentliche Änderungen der Zertifizierungsvoraussetzungen fest, beispielsweise betreffend die Erfüllung von Bedingungen oder Auflagen, so ist der oder die Beauftragte von der Stelle, die die Zertifizierung erhalten hat, darüber zu informieren. 3 Der oder die Beauftragte veröffentlicht ein Verzeichnis der Stellen, die eine Zertifizierung erhalten haben und von der Pflicht zur Registrierung ihrer Datensammlungen befreit sind (Art. 28 Abs. 3 der V vom 14. Juni 19936 zum Datenschutzgesetz). Dieses Verzeichnis gibt namentlich über die Gültigkeitsdauer der Zertifizierung Auskunft. |
4. Abschnitt: Inkrafttreten |
Anhang 7
7 Bereinigt gemäss Ziff. II der V vom 30. Sept. 2016, in Kraft seit 1. Nov. 2016 (AS 2016 3447). |
(Art. 1 Abs. 5) |
Mindestanforderungen an die Qualifikation des Personals der Zertifizierungsstellen, welches Zertifizierungen durchführt |
1 Zertifizierung von Datenschutzmanagementsystemen |
Die Zertifizierungsstelle muss nachweisen, dass das Personal, welches Datenschutzmanagementsysteme zertifiziert, gesamthaft folgende Qualifikationen hat:
Die Zertifizierungsstelle muss nachweisen, dass sie jeweils für die einzelnen Teilbereiche über qualifiziertes Personal verfügt. Die Begutachtung der Datenschutzmanagementsysteme durch ein interdisziplinäres Team ist zulässig. 8 Die aufgeführte Norm kann kostenlos eingesehen und gegen Bezahlung bezogen werden bei der Schweizerischen Normen-Vereinigung (SNV), Sulzerallee 70, 8404Winterthur; www.snv.ch. |
2 Zertifizierung von Produkten |
Die Zertifizierungsstelle muss nachweisen, dass das Personal, welches Produkte zertifiziert, gesamthaft folgende Qualifikationen hat:
Die Zertifizierungsstelle muss nachweisen, dass sie jeweils für die einzelnen Teilbereiche über qualifiziertes Personal verfügt. Die Produkteprüfung durch ein interdisziplinäres Team ist zulässig. 9 Die aufgeführte Norm kann kostenlos eingesehen und gegen Bezahlung bezogen werden bei der Schweizerischen Normen-Vereinigung (SNV), Sulzerallee 70, 8404Winterthur; www.snv.ch. |