Verordnung
über die Datenschutzzertifizierungen
(VDSZ)

¹ Die Stel­len, die Da­ten­schutz­zer­ti­fi­zie­run­gen nach Ar­ti­kel 11 DSG durch­füh­ren (Zer­ti­fi­zie­rungs­stel­len), müs­sen ak­kre­di­tiert sein. Die Ak­kre­di­tie­rung rich­tet sich nach der Ak­kre­di­tie­rungs- und Be­zeich­nungs­ver­ord­nung vom 17. Ju­ni 1996², so­weit die vor­lie­gen­de Ver­ord­nung kei­ne ab­wei­chen­den Vor­schrif­ten ent­hält.

² Je ei­ne se­pa­ra­te Ak­kre­di­tie­rung ist er­for­der­lich für die Zer­ti­fi­zie­rung von:

a.

Or­ga­ni­sa­ti­on und Ver­fah­ren des Da­ten­schut­zes;

b.

Pro­duk­ten (Hard­wa­re, Soft­wa­re oder Sys­te­me für au­to­ma­ti­sier­te Da­ten­be­ar­bei­tungs­ver­fah­ren).

³ Die Zer­ti­fi­zie­rungs­stel­len müs­sen über ei­ne fest­ge­leg­te Or­ga­ni­sa­ti­on so­wie ein fest­ge­leg­tes Zer­ti­fi­zie­rungs­ver­fah­ren (Kon­troll­pro­gramm) ver­fü­gen. Dar­in müs­sen ins­be­son­de­re ge­re­gelt sein:

a.

die Be­gut­ach­tungs- oder Prüf­kri­te­ri­en und die sich dar­aus er­ge­ben­den An­for­de­run­gen, wel­che die zu zer­ti­fi­zie­ren­den Stel­len oder Pro­duk­te zu er­fül­len ha­ben (Be­gut­ach­tungs- bzw. Prü­fungs­ras­ter); und

b.

der Ab­lauf des Ver­fah­rens, ins­be­son­de­re das Vor­ge­hen bei fest­ge­stell­ten Un­re­gel­mäs­sig­kei­ten.

⁴ Die Min­dest­an­for­de­run­gen an das Kon­troll­pro­gramm rich­ten sich nach den ge­mä­ss An­hang 2 der Ak­kre­di­tie­rungs- und Be­zeich­nungs­ver­ord­nung vom 17. Ju­ni 1996 an­wend­ba­ren Nor­men und Grund­sät­zen so­wie nach den Ar­ti­keln 4–6.

⁵ Die Min­dest­an­for­de­run­gen an die Qua­li­fi­ka­ti­on des Per­so­nals, wel­ches Zer­ti­fi­zie­run­gen durch­führt, rich­ten sich nach dem An­hang.

Die Schwei­ze­ri­sche Ak­kre­di­tie­rungs­stel­le zieht für das Ak­kre­di­tie­rungs­ver­fah­ren und die Nach­kon­trol­le so­wie für die Sis­tie­rung oder den Ent­zug ei­ner Ak­kre­di­tie­rung den Eid­ge­nös­si­schen Da­ten­schutz- und Öf­fent­lich­keits­be­auf­trag­ten oder die Eid­ge­nös­si­sche Da­ten­schutz- und Öf­fent­lich­keits­be­auf­trag­te (den Be­auf­trag­ten oder die Be­auf­trag­te) bei.

¹ Der oder die Be­auf­trag­te an­er­kennt nach Rück­spra­che mit der Schwei­ze­ri­schen Ak­kre­di­tie­rungs­stel­le aus­län­di­sche Zer­ti­fi­zie­rungs­stel­len zur Tä­tig­keit auf schwei­ze­ri­schem Ter­ri­to­ri­um, wenn die­se ei­ne gleich­wer­ti­ge Qua­li­fi­ka­ti­on wie die in der Schweiz ge­for­der­te nach­wei­sen kön­nen.

² Die Zer­ti­fi­zie­rungs­stel­len ha­ben ins­be­son­de­re den Nach­weis zu er­brin­gen, dass sie die An­for­de­run­gen nach Ar­ti­kel 1 Ab­sät­ze 3 und 4 er­fül­len und dass ih­nen die schwei­ze­ri­sche Da­ten­schutz­ge­setz­ge­bung hin­rei­chend be­kannt ist.

³ Der oder die Be­auf­trag­te kann die An­er­ken­nung be­fris­ten und mit Be­din­gun­gen oder Auf­la­gen ver­bin­den. Er oder sie ent­zieht die An­er­ken­nung, wenn we­sent­li­che Be­din­gun­gen und Auf­la­gen nicht er­füllt wer­den.

¹ Zer­ti­fi­zier­bar sind:

a.

die Ge­samt­heit der Da­ten­be­ar­bei­tungs­ver­fah­ren, für die ei­ne Stel­le ver­ant­wort­lich ist;

b.

ein­zel­ne, ab­grenz­ba­re Da­ten­be­ar­bei­tungs­ver­fah­ren.

² Ge­gen­stand der Be­gut­ach­tung ist das Da­ten­schutz­ma­na­ge­ment­sys­tem. Die­ses um­fasst na­ment­lich:

a.

die Da­ten­schutz­po­li­tik;

b.

die Do­ku­men­ta­ti­on von Zie­len und Mass­nah­men zur Ge­währ­leis­tung des Da­ten­schut­zes und der Da­ten­si­cher­heit;

c.

die or­ga­ni­sa­to­ri­schen und tech­ni­schen Vor­keh­run­gen zur Ver­wirk­li­chung der fest­ge­leg­ten Zie­le und Mass­nah­men, ins­be­son­de­re die Vor­keh­run­gen zur Be­he­bung fest­ge­stell­ter Män­gel.

³ Der oder die Be­auf­trag­te er­lässt Richt­li­ni­en über die Min­dest­an­for­de­run­gen an das Da­ten­schutz­ma­na­ge­ment­sys­tem. Er oder sie be­rück­sich­tigt da­bei die in­ter­na­tio­nal mass­ge­ben­den An­for­de­run­gen für die Er­rich­tung, den Be­trieb, die Über­wa­chung und die Ver­bes­se­rung von Ma­na­ge­ment­sys­te­men, wie sie ins­be­son­de­re in den fol­gen­den tech­ni­schen Nor­men³ zum Aus­druck kom­men:

a.

SN EN ISO 9001, Qua­li­täts­ma­na­ge­ment­sys­te­me, An­for­de­run­gen;

b.

SN EN ISO/IEC 27001, In­for­ma­ti­ons­tech­nik, IT-Si­cher­heits­ver­fah­ren, In­for­ma­ti­ons­si­cher­heits-Ma­na­ge­ment­sys­te­me, An­for­de­run­gen.⁴

⁴ Die Aus­nah­me von der Pflicht zur An­mel­dung von Da­ten­samm­lun­gen nach Ar­ti­kel 11a Ab­satz 5 Buch­sta­be f DSG ist nur an­wend­bar, wenn sämt­li­che Da­ten­be­ar­bei­tungs­ver­fah­ren, de­nen ei­ne Da­ten­samm­lung dient, zer­ti­fi­ziert sind.

¹ Zer­ti­fi­zier­bar sind Pro­duk­te, die haupt­säch­lich der Be­ar­bei­tung von Per­so­nen­da­ten die­nen oder bei de­ren Be­nut­zung Per­so­nen­da­ten, na­ment­lich Da­ten über die Be­nut­ze­rin oder den Be­nut­zer, ge­ne­riert wer­den.

² Ge­gen­stand der Prü­fung ist na­ment­lich die pro­duk­tim­ma­nen­te Ge­währ­leis­tung:

a.

von Ver­trau­lich­keit, In­te­gri­tät, Ver­füg­bar­keit und Au­then­ti­zi­tät der be­ar­bei­te­ten Per­so­nen­da­ten im Hin­blick auf den Ver­wen­dungs­zweck des Pro­dukts;

b.

der Ver­mei­dung der im Hin­blick auf den Ver­wen­dungs­zweck des Pro­dukts nicht er­for­der­li­chen Ge­ne­rie­rung, Spei­che­rung oder an­de­ren Be­ar­bei­tung von Per­so­nen­da­ten;

c.

von Trans­pa­renz und Nach­voll­zieh­bar­keit der au­to­ma­ti­sier­ten Be­ar­bei­tung von Per­so­nen­da­ten, die im Rah­men der vom Her­stel­ler fest­ge­leg­ten Funk­tio­na­li­tät ei­nes Pro­dukts er­folgt;

d.

von tech­ni­schen Mass­nah­men zur Un­ter­stüt­zung des An­wen­ders oder der An­wen­de­rin bei der Ein­hal­tung wei­te­rer Da­ten­schutz­grund­sät­ze und da­ten­schutz­recht­li­cher Pflich­ten.

³ Der oder die Be­auf­trag­te er­lässt Richt­li­ni­en dar­über, wel­che da­ten­schutz­spe­zi­fi­schen Kri­te­ri­en im Rah­men der Zer­ti­fi­zie­rung ei­nes Pro­dukts min­des­tens zu prü­fen sind.⁵

¹ Die Zer­ti­fi­zie­rung wird er­teilt, wenn das Zer­ti­fi­zie­rungs­ver­fah­ren auf­grund der von der Zer­ti­fi­zie­rungs­stel­le an­ge­wand­ten Be­gut­ach­tungs- oder Prüf­kri­te­ri­en zum Er­geb­nis führt, dass die da­ten­schutz­recht­li­chen An­for­de­run­gen so­wie die An­for­de­run­gen, die sich aus die­ser Ver­ord­nung und den von dem oder der Be­auf­trag­ten er­las­se­nen Richt­li­ni­en (Art. 4 Abs. 3 und 5 Abs. 3) oder an­de­ren gleich­wer­ti­gen Nor­men und Stan­dards er­ge­ben, er­füllt wer­den. Die Zer­ti­fi­zie­rung kann mit Be­din­gun­gen oder Auf­la­gen ver­bun­den wer­den.

² Die Zer­ti­fi­zie­rung ei­nes Da­ten­schutz­ma­na­ge­ment­sys­tems ist wäh­rend drei Jah­ren gül­tig. Die Zer­ti­fi­zie­rungs­stel­le hat jähr­lich sum­ma­risch zu über­prü­fen, ob die Vor­aus­set­zun­gen für die Zer­ti­fi­zie­rung wei­ter­hin er­füllt sind.

³ Die Zer­ti­fi­zie­rung ei­nes Pro­duk­tes ist wäh­rend zwei Jah­ren gül­tig. Ein Pro­dukt muss er­neut zer­ti­fi­ziert wer­den, so­bald dar­an we­sent­li­che Ver­än­de­run­gen vor­ge­nom­men wur­den.

Der oder die Be­auf­trag­te an­er­kennt nach Rück­spra­che mit der Schwei­ze­ri­schen Ak­kre­di­tie­rungs­stel­le aus­län­di­sche Zer­ti­fi­zie­run­gen, wenn Ge­währ da­für be­steht, dass die An­for­de­run­gen der schwei­ze­ri­schen Ge­setz­ge­bung er­füllt wer­den.

¹ Teilt die Stel­le, die ei­ne Zer­ti­fi­zie­rung er­hal­ten hat, dem oder der Be­auf­trag­ten die er­folg­reich ab­sol­vier­te Zer­ti­fi­zie­rung nach Ar­ti­kel 4 mit, um nach Ar­ti­kel 11a Ab­satz 5 Buch­sta­be f DSG von der Pflicht zur An­mel­dung ih­rer Da­ten­samm­lun­gen be­freit zu wer­den, so hat sie auf An­fra­ge fol­gen­de Un­ter­la­gen ein­zu­rei­chen:

a.

Be­wer­tungs­be­richt;

b.

Zer­ti­fi­zie­rungs­do­ku­men­te.

² Stellt die Zer­ti­fi­zie­rungs­stel­le im Rah­men ih­rer Über­wa­chungs­tä­tig­keit we­sent­li­che Än­de­run­gen der Zer­ti­fi­zie­rungs­vor­aus­set­zun­gen fest, bei­spiels­wei­se be­tref­fend die Er­fül­lung von Be­din­gun­gen oder Auf­la­gen, so ist der oder die Be­auf­trag­te von der Stel­le, die die Zer­ti­fi­zie­rung er­hal­ten hat, dar­über zu in­for­mie­ren.

³ Der oder die Be­auf­trag­te ver­öf­fent­licht ein Ver­zeich­nis der Stel­len, die ei­ne Zer­ti­fi­zie­rung er­hal­ten ha­ben und von der Pflicht zur Re­gis­trie­rung ih­rer Da­ten­samm­lun­gen be­freit sind (Art. 28 Abs. 3 der V vom 14. Ju­ni 1993⁶ zum Da­ten­schutz­ge­setz). Die­ses Ver­zeich­nis gibt na­ment­lich über die Gül­tig­keits­dau­er der Zer­ti­fi­zie­rung Aus­kunft.

¹ Die Zer­ti­fi­zie­rungs­stel­le kann ei­ne Zer­ti­fi­zie­rung sis­tie­ren oder ent­zie­hen, na­ment­lich wenn sie im Rah­men der Über­prü­fung (Art. 6 Abs. 2) schwe­re Män­gel fest­stellt. Ein schwe­rer Man­gel liegt ins­be­son­de­re vor, wenn:

a.

we­sent­li­che Vor­aus­set­zun­gen der Da­ten­schutz­zer­ti­fi­zie­rung nicht mehr er­füllt sind; oder

b.

ei­ne Zer­ti­fi­zie­rung in ir­re­füh­ren­der oder miss­bräuch­li­cher Art und Wei­se ver­wen­det wird.

² Bei Strei­tig­kei­ten über die Sis­tie­rung oder den Ent­zug rich­ten sich die Be­ur­tei­lung und das Ver­fah­ren nach den zi­vil­recht­li­chen Be­stim­mun­gen, die auf das Ver­trags­ver­hält­nis zwi­schen Zer­ti­fi­zie­rungs­stel­le und Stel­le, die die Zer­ti­fi­zie­rung er­hal­ten hat, an­wend­bar sind.

³ Die Zer­ti­fi­zie­rungs­stel­le in­for­miert den Be­auf­trag­ten oder die Be­auf­trag­te über die Sis­tie­rung oder den Ent­zug der Da­ten­schutz­zer­ti­fi­zie­rung, wenn ihm oder ihr die Zer­ti­fi­zie­rung nach Ar­ti­kel 8 Ab­satz 1 mit­ge­teilt wur­de.

¹ Stellt der oder die Be­auf­trag­te bei der Auf­sichtstä­tig­keit nach Ar­ti­kel 27 oder 29 DSG bei ei­ner Stel­le, die ei­ne Zer­ti­fi­zie­rung er­hal­ten hat, schwe­re Män­gel fest, so un­ter­rich­tet er oder sie die Zer­ti­fi­zie­rungs­stel­le dar­über.

² Die Zer­ti­fi­zie­rungs­stel­le ver­an­lasst un­ver­züg­lich, dass die Stel­le, die die Zer­ti­fi­zie­rung er­hal­ten hat, den Man­gel in­nert 30 Ta­gen ab dem Ein­gang der Mit­tei­lung des oder der Be­auf­trag­ten be­hebt.

³ Be­hebt die Stel­le, die die Zer­ti­fi­zie­rung er­hal­ten hat, den Man­gel nicht in­ner­halb die­ser Frist, so sis­tiert die Zer­ti­fi­zie­rungs­stel­le die Zer­ti­fi­zie­rung. Be­steht kei­ne Aus­sicht dar­auf, dass in­nert ei­nem an­ge­mes­se­nen Zeit­raum ein rechts­kon­for­mer Zu­stand ge­schaf­fen oder wie­der­her­ge­stellt wird, so ist die Zer­ti­fi­zie­rung zu ent­zie­hen.

⁴ Hat in­nert der Frist nach Ab­satz 2 die Stel­le, die die Zer­ti­fi­zie­rung er­hal­ten hat, den Man­gel nicht be­ho­ben und die Zer­ti­fi­zie­rungs­stel­le die Zer­ti­fi­zie­rung nicht sis­tiert oder ent­zo­gen, so rich­tet der oder die Be­auf­trag­te ei­ne Emp­feh­lung nach Ar­ti­kel 27 Ab­satz 4 oder Ar­ti­kel 29 Ab­satz 3 DSG an die Stel­le, die die Zer­ti­fi­zie­rung er­hal­ten hat, oder an die Zer­ti­fi­zie­rungs­stel­le. Er kann der Zer­ti­fi­zie­rungs­stel­le na­ment­lich emp­feh­len, die Zer­ti­fi­zie­rung zu sis­tie­ren oder zu ent­zie­hen. Rich­tet er die Emp­feh­lung an die Zer­ti­fi­zie­rungs­stel­le, so in­for­miert er die Schwei­ze­ri­sche Ak­kre­di­tie­rungs­stel­le dar­über.

Die­se Ver­ord­nung tritt am 1. Ja­nu­ar 2008 in Kraft.