Zertifizierungen
Stand: 7.2.2024
Einführung
Verantwortliche oder Auftragsverarbeiter können von akkreditierten Zertifizierungsstellen die Erteilung einer datenschutzrechtlichen Zertifizierung gemäß Art. 42 DSGVO beantragen. In Österreich erteilt die Datenschutzbehörde selbst keine Zertifizierungen, sondern akkreditiert Zertifizierungsstellen mit Bescheid. Eine Zertifizierung durch Zertifizierungsstellen erfolgt u.a. auf Grundlage von gemäß Art. 42 Abs. 5 DSGVO genehmigten Zertifizierungskriterien.
In weiterer Folge werden die wichtigsten Fragen rund um das Thema Zertifizierungen behandelt. Bitte beachten Sie, dass bei der Vorbereitung für eine Akkreditierung, im Rahmen der Tätigkeit als Zertifizierungsstelle und bei der Ausarbeitung oder Aktualisierung von Zertifizierungskriterien immer die einschlägigen Leitlinien des Europäischen Datenschutzausschusses (EDSA) zum Thema Zertifizierungen zu berücksichtigen sind.
Fragen und Antworten zum Thema Zertifizierungen
- Was sind datenschutzrechtliche Zertifizierungen?
- Wie kommt es zu einer Akkreditierung als Zertifizierungsstelle?
- Erhalte ich eine Akkreditierung als Konformitätsbewertungsstelle nach ISO/IEC 17065:2012 von der Datenschutzbehörde?
- Gibt es Formvorgaben oder ein Muster für einen Antrag auf Akkreditierung an die Datenschutzbehörde?
- Welche Voraussetzungen hat eine Zertifizierungsstelle zu erfüllen?
- Wie läuft ein Akkreditierungsverfahren ab?
- Wird ein höheres Stammkapital als das gesetzlich vorgesehene bei einer GmbH, die Antragstellerin im Akkreditierungsverfahren ist, verlangt?
- Kann es sich bei der Antragstellerin im Akkreditierungsverfahren auch um eine ausländische GmbH-Form handeln?
- In welchem Verhältnis müssen die für die Entscheidung über die Zertifizierung verantwortliche Person oder verantwortlichen Personen im Sinne des § 13 zu Antragstellerin stehen? Ist in diesem Zusammenhang ein Dienstverhältnis notwendig oder ist etwa ein Werkvertrag dafür ausreichend?
- Welche Mindestdeckungssumme sollte die Haftpflichtversicherung nach § 4 Abs. 3 Z 8 ZeStAkk-V haben?
- Wo finde ich eine Liste aller Zertifizierungsstellen und Zertifizierungskriterien?
- Was kann Zertifizierungsgegenstand sein?
- Was sind Zertifizierungskriterien und welche Anforderungen müssen diese erfüllen?
- Wie läuft ein Genehmigungsverfahren für Zertifizierungskriterien ab?
- Welche Anforderungen müssen Zertifizierungskriterien erfüllen, die als „tool for transfers“ gemäß Art. 42 Abs. 2 und 46 Abs. 2 lit. f DSGVO eingesetzt werden sollen?
- Besteht die Möglichkeit, Zertifizierungskriterien oder eine allfällige Akkreditierung vor Einleitung eines förmlichen Verfahrens zu besprechen?
1. Was sind datenschutzrechtliche Zertifizierungen?
Gemäß Art. 42 DSGVO können datenschutzspezifische Zertifizierungsverfahren sowie Datenschutzsiegel und –prüfzeichen eingeführt werden (Zertifizierungen). Adressat einer solchen Zertifizierung ist stets ein Verantwortlicher oder Auftragsverarbeiter. Diese können eine Zertifizierung bei einer hierfür von der Datenschutzbehörde akkreditierten Zertifizierungsstelle beantragen.
Datenschutzrechtliche Zertifizierungen sind, genauso wie branchenspezifische Verhaltensregeln gemäß Art. 40 DSGVO, ein Compliance-Instrument. Laut Erwägungsgrund 100 der DSGVO soll durch Zertifizierungen die Transparenz im Zusammenhang mit der Verarbeitung personenbezogener Daten erhöht und die Einhaltung der DSGVO verbessert werden.
Insbesondere können Zertifizierungen gemäß Art. 42 DSGVO
- als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen (Art. 24 Abs. 3 DSGVO);
- als Faktor herangezogen werden, um die Erfüllung der gemäß Art. 32 Abs. 1 DSGVO zu implementierenden technischen und organisatorischen Maßnahmen nachzuweisen (Art. 32 Abs. 3 DSGVO);
- unter den Voraussetzungen von Art. 42 Abs. 2 und 46 Abs. 2 lit. f DSGVO „geeignete Garantien“ für die Übermittlung von personenbezogenen Daten an ein Drittland oder eine internationale Organisation sein;
- bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag je nach Einzelfall gebührend berücksichtigt werden (Art. 83 Abs. 2 lit. j DSGVO).
2. Wie kommt es zu einer Akkreditierung als Zertifizierungsstelle?
In Österreich fungiert die Datenschutzbehörde nach Maßgabe des § 24 Abs. 3 DSG als einzige nationale Akkreditierungsstelle gemäß Art. 43 Abs. 1 lit. a DSGVO. Nach Auffassung des EDSA gilt Art. 43 Abs. 1 DSGVO als lex specialis zu Art. 2 Z 11 der Verordnung 765/2008.
Um als Zertifizierungsstelle tätig zu werden, ist daher ein Antrag auf Akkreditierung an die Datenschutzbehörde notwendig.
3. Erhalte ich eine Akkreditierung als Konformitätsbewertungsstelle nach ISO/IEC 17065:2012 von der Datenschutzbehörde?
Nein, eine solche Akkreditierung kann nur durch die nationale Akkreditierungsstelle (in Österreich: Akkreditierung Austria) erteilt werden.
Die Datenschutzbehörde erteilt ausschließlich die Akkreditierung, dass Antragsteller als Zertifizierungsstelle nach Art. 43 Abs. 1 DSGVO tätig werden können („datenschutzrechtliche Akkreditierung“).
Allerdings besteht auf Ebene des EDSA Einigkeit darin, den Inhalt der ISO/IEC 17065:2012 als gemeinsamen Nenner für die grundsätzlichen Voraussetzungen einer Akkreditierung heranzuziehen, weshalb die Einhaltung dieser Voraussetzungen – neben den datenschutzspezifischen Voraussetzungen – mitüberprüft wird.
4. Gibt es Formvorgaben oder ein Muster für einen Antrag auf Akkreditierung an die Datenschutzbehörde?
Der Antrag auf Akkreditierung hat schriftlich zu erfolgen. Davon abgesehen gibt es keine besonderen Formerfordernisse, die zu erfüllen sind. Aus dem Antrag muss jedenfalls ersichtlich sein, dass alle Akkreditierungsvoraussetzungen erfüllt sind.
Die Datenschutzbehörde stellt jedoch einen unverbindlichen Musterantrag zur Verfügung, der für den Antrag auf Akkreditierung verwendet werden kann. Die im Musterantrag enthaltenen Dokumente und Ordner decken die Voraussetzungen der DSGVO und der ZeStAkk-V ab und sind vollständig auszufüllen.
Der Musterantrag ist hier zu finden.
5. Welche Voraussetzungen hat eine Zertifizierungsstelle zu erfüllen?
Eine Zertifizierungsstelle hat die in Art. 43 Abs. 2 DSGVO allgemein gehaltenen Akkreditierungsvoraussetzungen, die in der Zertifizierungsstellen-Akkreditierungs-Verordnung (ZeStAkk-V) präzisiert werden, zu erfüllen.
6. Wie läuft ein Akkreditierungsverfahren ab?
Nachdem ein Antrag auf Akkreditierung gestellt wurde (siehe Frage 4), überprüft die Datenschutzbehörde den Antrag auf Vollständigkeit und auf die Einhaltung der Akkreditierungsvoraussetzungen (siehe Frage 5). Erweist sich der Antrag als unvollständig oder besteht Klärungsbedarf, erfolgt eine schriftliche Aufforderung durch die Datenschutzbehörde an den Antragsteller. Im Ergebnis erfolgt eine (Nicht-) Akkreditierung mit Bescheid.
7. Wird ein höheres Stammkapital als das gesetzlich vorgesehene bei einer GmbH, die Antragstellerin im Akkreditierungsverfahren ist, verlangt?
Ganz grundsätzlich kommt es nicht auf eine gewisse Stammkapitalhöhe oder auf das Alter der juristischen Person an.
Entscheidend ist, dass die Tätigkeit als Zertifizierungsstelle aus finanzieller Sicht sichergestellt ist und hierfür ausreichende Nachweise vorgelegt werden. Dies ist einzelfallabhängig und kommt zB. auf den Umfang der Tätigkeit als Zertifizierungsstelle an (siehe auch Frage 10).
8. Kann es sich bei der Antragstellerin im Akkreditierungsverfahren auch um eine ausländische GmbH-Form handeln?
Ja, sofern diese einen Sitz im EWR hat (siehe § 4 Abs. 3 Z 6 ZeStAkk-V).
9. In welchem Verhältnis müssen die für die Entscheidung über die Zertifizierung verantwortliche Person oder verantwortlichen Personen im Sinne des § 13 zu Antragstellerin stehen? Ist in diesem Zusammenhang ein Dienstverhältnis notwendig oder ist etwa ein Werkvertrag dafür ausreichend?
Diesbezüglich gibt es keine Formvorgaben, solange die Vorgaben der ZeStAkk-V eingehalten werden.
10. Welche Mindestdeckungssumme sollte die Haftpflichtversicherung nach § 4 Abs. 3 Z 8 ZeStAkk-V haben?
Eine allgemeingültige Antwort ist nicht möglich, da die Deckungssumme letztlich vom Umfang der Tätigkeit als Zertifizierungsstelle abhängt. So wird eine Zertifizierungstätigkeit, die – vereinfacht gesagt – die Zertifizierung der Datensicherheit von kritischer Infrastruktur (etwa Verarbeitung von Gesundheitsdaten durch Krankenhäuser) umfasst, eine höhere Deckungssumme erfordern, als die Zertifizierung von nicht-kritischer Infrastruktur.
Nach Auffassung der Datenschutzbehörde ist es jedenfalls möglich, eine Mindestdeckungssumme abzuschließen und im Versicherungsvertrag eine Option zum Abschluss von projektspezifischen Zusatzversicherungen abzuschließen, die aufgrund ihrer Art eine höhere Deckungssumme erfordern.
11. Wo finde ich eine Liste aller Zertifizierungsstellen und Zertifizierungskriterien?
Sobald in Österreich Zertifizierungsstellen akkreditiert und Zertifizierungskriterien genehmigt wurden, findet sich an dieser Stelle ein entsprechender Link.
12. Was kann Zertifizierungsgegenstand sein?
In den Leitlinien des EDSA wird grundsätzlich von einem weiten Begriffsverständnis des Zertifizierungsgegenstandes ausgegangen. In den genannten Leitlinien werden ein sicheres Anmeldesystem für Online-Dienste (Log-in) sowie Teile von Online-Banking-Systemen als Beispiele angeführt.
Gegenstand einer Zertifizierung sind gemäß Art. 42 Abs. 1 allerdings immer Verarbeitungsvorgänge im Zusammenhang mit personenbezogenen Daten. Nach dem Konzept der DSGVO können daher beispielsweise Produkte von Softwareherstellern, ohne einen damit in Verbindung stehenden Verarbeitungsvorgang, nicht unmittelbar gemäß Art. 42 der Verordnung zertifiziert werden.
In jedem Fall muss klar ersichtlich sein, welche Verarbeitungsvorgänge Gegenstand der Zertifizierung sind und welche nicht.
13. Was sind Zertifizierungskriterien und welche Anforderungen müssen diese erfüllen?
Eine Akkreditierung einer Zertifizierungsstelle erfolgt nur dann, wenn der Zertifizierungsgegenstand (siehe Frage 12) hinreichend klar dargestellt wird. Es muss ersichtlich sein, welche Verarbeitungsvorgänge Gegenstand der Zertifizierung sind und welche Komponenten dabei bewertet werden. Gemäß Art. 43 Abs. 2 lit. b DSGVO erfolgt diese Bewertung auf Grundlage der gemäß Art. 42 Abs. 5 DSGVO genehmigten Zertifizierungskriterien.
Bei der Ausarbeitung von Zertifizierungskriterien muss eine Bewertung beispielsweise folgender Aspekte ermöglicht werden:
- die Verarbeitung personenbezogener Daten erfolgt nach den Grundsätzen des Kapitels II der DSGVO;
- die Verarbeitung personenbezogener Daten erfolgt unter Beachtung der Rechte der betroffenen Personen nach den Bestimmungen der Art. 12 bis 23 DSGVO;
- die Verarbeitung personenbezogener Daten erfolgt unter Berücksichtigung der Vorgaben des Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen);
- die Implementierung geeigneter technischer und organisatorischer Maßnahmen, die dafür ausgelegt sind, ein angemessenes Schutzniveau nach den Vorgaben des Art. 32 Abs. 1 DSGVO herzustellen (Sicherheit der Verarbeitung);
- die Implementierung von Abhilfemaßnahmen gemäß Art. 35 Abs. 7 lit. d DSGVO im Rahmen der Durchführung einer Datenschutz-Folgenabschätzung.
Es wird empfohlen, bereits vor der Ausarbeitung von Zertifizierungskriterien die folgenden Leitlinien des EDSA vollständig durchzulesen und zu berücksichtigen:
Die angeführten Leitlinien enthalten den gemeinsamen Standpunkt aller Aufsichtsbehörden zum Thema Zertifizierungen. Sofern die darin enthaltenen Anforderungen für Zertifizierungskriterien nicht berücksichtigt werden, kann dies zu einer Abweisung des Antrags auf Genehmigung von Zertifizierungskriterien führen.
14. Wie läuft ein Genehmigungsverfahren für Zertifizierungskriterien ab?
Im Rahmen des Akkreditierungsverfahrens sind die Zertifizierungskriterien (siehe Frage 13), die von der Zertifizierungsstelle verwendet werden, anzugeben. Eine Zertifizierung kann auf Grundlage von Zertifizierungskriterien erfolgen, die von der Datenschutzbehörde oder dem EDSA genehmigt wurden. Sofern die Erteilung von Zertifizierungen auf Grundlage von weiteren Zertifizierungskriterien erfolgen soll, die zum Zeitpunkt der Akkreditierung der Zertifizierungsstelle noch nicht existiert haben oder aus anderen Gründen nicht im Akkreditierungsverfahren angegeben wurden, kann die akkreditierte Zertifizierungsstelle einen Änderungsantrag an die Datenschutzbehörde stellen.
Die Genehmigung von Zertifizierungskriterien erfolgt durch schriftlichen Antrag an die Datenschutzbehörde. Ein Antrag auf Genehmigung von Zertifizierungskriterien kann jederzeit und unabhängig vom Antrag auf Akkreditierung als Zertifizierungsstelle eingebracht werden. Dies bedeutet, dass auch Stellen, wie beispielsweise unabhängige Normungsgremien, die nicht als Zertifizierungsstelle tätig werden, Zertifizierungskriterien ausarbeiten und deren Genehmigung beantragen können. Derartige Zertifizierungskriterien können in weiterer Folge von Zertifizierungsstellen verwendet werden.
Die Datenschutzbehörde gibt in Folge eine Stellungnahme zum vorgelegten Entwurf von Zertifizierungskriterien ab. Bitte beachten Sie jedoch, dass Zertifizierungskriterien gewisse Qualitätsmerkmale erfüllen müssen (siehe Frage 13).
Sofern die Datenschutzbehörde den Antrag als genehmigungsfähig erachtet, werden, zum Zwecke der Rechtsharmonisierung, alle Zertifizierungskriterien gemäß Art. 64 Abs. 1 lit. c DSGVO dem EDSA vorgelegt. Im Falle einer positiven Stellungnahme des EDSA erfolgt die Genehmigung (nationaler) Zertifizierungskriterien durch die Datenschutzbehörde.
Im Rahmen des Antrags ist anzugeben, ob die Genehmigung zu einem Europäischen Datenschutzsiegel gemäß Art. 42 Abs. 5 letzter Satz DSGVO führen soll. Diesfalls erfolgt die Genehmigung der Zertifizierungskriterien durch den EDSA.
Nähere Informationen zum Ablauf der Genehmigung von Zertifizierungskriterien sind im folgenden Dokument zu finden:
15. Welche Anforderungen müssen Zertifizierungskriterien erfüllen, die als „tool for transfers“ gemäß Art. 42 Abs. 2 und 46 Abs. 2 lit. f DSGVO eingesetzt werden sollen?
Nähere Informationen zur Ausarbeitung derartiger Zertifizierungskriterien sind im folgenden Dokument zu finden:
- Guidelines 07/2022 on certification as a tool for transfers
16. Besteht die Möglichkeit, Zertifizierungskriterien oder eine allfällige Akkreditierung vor Einleitung eines förmlichen Verfahrens zu besprechen?
Eine konkrete und verbindliche Stellungnahme zu Zertifizierungskriterien oder zu Akkreditierungen kann nur im Rahmen eines anhängigen Verfahrens abgegeben werden.
Es besteht aber die Möglichkeit, informell an die Datenschutzbehörde heranzutreten, um Grundsatzfragen zu besprechen (Gegenstand der Zertifizierungskriterien oder der Akkreditierung, grundsätzliche Struktur der Dokumente, Ablauf des Verfahrens). Diesbezüglich kann eine Anfrage an dsb-IV@dsb.gv.at gerichtet werden.