Im Rahmen unserer Website wird ausschließlich nur ein technisch notwendiges Cookie gesetzt, um die grundlegende Funktionalität der Website - in technischer Hinsicht - zu gewährleisten. 

Zertifizierungen Akkreditierung als Zertifizierungsstelle gemäß Art. 43 Abs. 1 DSGVO

Verantwortliche oder Auftragsverarbeiter können von akkreditierten Zertifizierungsstellen die Erteilung einer datenschutzrechtlichen Zertifizierung gemäß Art. 42 DSGVO („certifications“) beantragen. Die Datenschutzbehörde erteilt selbst keine Zertifizierungen, sondern akkreditiert Zertifizierungsstellen mit Bescheid (siehe Frage 2). Eine Zertifizierung durch Zertifizierungsstellen erfolgt auf Grundlage von gemäß Art. 42 Abs. 5 DSGVO genehmigten Zertifizierungskriterien.

Fragen und Antworten zum Thema Zertifizierungen

Stand: 19.04.2021

  1. Was sind datenschutzrechtliche Zertifizierungen?
  2. Wie kann ich als Zertifizierungsstelle tätig werden?
  3. Erhalte ich eine Akkreditierung als Konformitätsbewertungsstelle nach ISO/IEC 17065:2012 von der Datenschutzbehörde?
  4. Gibt es Formvorgaben oder ein Muster für einen Antrag auf Akkreditierung an die Datenschutzbehörde?
  5. Welche Voraussetzungen hat eine Zertifizierungsstelle zu erfüllen?
  6. Wie läuft ein Akkreditierungsverfahren ab?
  7. Wird ein höheres Stammkapital als das gesetzlich vorgesehene bei einer GmbH, die Antragstellerin im Akkreditierungsverfahren ist, verlangt?
  8. Kann es sich bei der Antragstellerin im Akkreditierungsverfahren auch um eine ausländische GmbH-Form handeln?
  9. In welchem Verhältnis müssen die für die Entscheidung über die Zertifizierung verantwortliche Person oder verantwortlichen Personen im Sinne des § 13 zu Antragstellerin stehen? Ist in diesem Zusammenhang ein Dienstverhältnis notwendig oder ist etwa ein Werkvertrag dafür ausreichend?
  10. Welche Mindestdeckungssumme sollte die Haftpflichtversicherung nach § 4 Abs. 3 Z 8 ZeStAkk-V haben?
  11. Wo finde ich eine Liste aller Zertifizierungsstellen und Zertifizierungskriterien?
  12. Was kann Zertifizierungsgegenstand sein?
  13. Was sind Zertifizierungskriterien?
  14. Wie läuft ein Genehmigungsverfahren für Zertifizierungskriterien ab?
  15. Sind die standardisierten Bewertungsmethoden gemäß § 11 Abs. 2 ZeStAkk-V Teil des Zertifizierungsprogramms einer Zertifizierungsstelle oder Teil der Zertifizierungskriterien gemäß Art. 42 Abs. 5 DSGVO?
  16. Wo erhalte ich weiterführende Informationen zu diesem Thema?

1. Was sind datenschutzrechtliche Zertifizierungen?

Gemäß Art. 42 DSGVO können datenschutzspezifische Zertifizierungsverfahren sowie Datenschutzsiegel und –prüfzeichen eingeführt werden (Zertifizierungen). Adressat einer solchen Zertifizierung ist stets ein Verantwortlicher oder Auftragsverarbeiter. Diese können eine Zertifizierung bei einer hierfür von der Datenschutzbehörde akkreditierten Zertifizierungsstelle beantragen.

Datenschutzrechtliche Zertifizierungen sind, genauso wie branchenspezifische Verhaltensregeln gemäß Art. 40 DSGVO, ein Compliance-Instrument. Laut Erwägungsgrund 100 der DSGVO soll durch Zertifizierungen die Transparenz im Zusammenhang mit der Verarbeitung personenbezogener Daten erhöht und die Einhaltung der DSGVO verbessert werden.

Insbesondere können Zertifizierungen gemäß Art. 42 DSGVO

- als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen (Art. 24 Abs. 3 DSGVO),

- als Faktor herangezogen werden, um die Erfüllung der gemäß Art. 32 Abs. 1 DSGVO zu implementierenden technischen und organisatorischen Maßnahmen nachzuweisen (Art. 32 Abs. 3 DSGVO),

- unter den Voraussetzungen von Art. 46 Abs. 2 lit. f DSGVO „geeignete Garantien“ für die Übermittlung von personenbezogenen Daten an ein Drittland oder eine internationale Organisation sein (Art. 42 Abs. 2 DSGVO),

- bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag je nach Einzelfall gebührend berücksichtigt werden (Art. 83 Abs. 2 lit. j DSGVO).

2. Wie kann ich als Zertifizierungsstelle tätig werden?

In Österreich fungiert die Datenschutzbehörde nach Maßgabe des § 24 Abs. 3 DSG als einzige nationale Akkreditierungsstelle gemäß Art. 43 Abs. 1 lit. a DSGVO. Nach Auffassung des Europäischen Datenschutzausschusses gilt Art. 43 Abs. 1 DSGVO als lex specialis zu Art. 2 Z 11 der Verordnung 765/2008.

Um als Zertifizierungsstelle tätig zu werden, ist daher ein Antrag auf Akkreditierung an die Datenschutzbehörde notwendig.

3. Erhalte ich eine Akkreditierung als Konformitätsbewertungsstelle nach ISO/IEC 17065:2012 von der Datenschutzbehörde?

Nein, eine solche Akkreditierung kann nur durch die nationale Akkreditierungsstelle (in Österreich: Akkreditierung Austria) erteilt werden.

Die Datenschutzbehörde erteilt ausschließlich die Akkreditierung, dass Antragsteller als Zertifizierungsstelle nach Art. 43 Abs. 1 DSGVO tätig werden können.

Allerdings hat man sich auf Ebene des Europäischen Datenschutzausschusses darauf geeinigt, den Inhalt der ISO/IEC 17065:2012 als gemeinsamen Nenner für die grundsätzlichen Voraussetzungen einer Akkreditierung heranzuziehen, weshalb die Einhaltung dieser Voraussetzungen – neben den datenschutzspezifischen Voraussetzungen – mitüberprüft wird.

4. Gibt es Formvorgaben oder ein Muster für einen Antrag auf Akkreditierung an die Datenschutzbehörde?

Der Antrag auf Akkreditierung hat schriftlich zu erfolgen. Davon abgesehen gibt es keine Formerfordernisse, die zu erfüllen sind. Aus dem Antrag muss jedenfalls ersichtlich sein, dass alle Akkreditierungsvoraussetzungen erfüllt sind.

Die Datenschutzbehörde stellt jedoch einen unverbindlichen Musterantrag zur Verfügung, der für den Antrag auf Akkreditierung verwendet werden kann. Die im Musterantrag enthaltenen Dokumente und Ordner decken die Voraussetzungen der DSGVO und der ZeStAkk-V ab und sind vollständig auszufüllen.

Der Musterantrag ist hier zu finden.

5. Welche Voraussetzungen hat eine Zertifizierungsstelle zu erfüllen?

Eine Zertifizierungsstelle hat die in Art. 43 Abs. 2 DSGVO allgemein gehaltenen Akkreditierungsvoraussetzungen, die in der Zertifizierungsstellen-Akkreditierungs-Verordnung (ZeStAkk-V) präzisiert werden, zu erfüllen.

6. Wie läuft ein Akkreditierungsverfahren ab?

Nachdem ein Antrag auf Akkreditierung gestellt wurde (siehe Frage 4), überprüft die Datenschutzbehörde den Antrag auf Vollständigkeit und auf die Einhaltung der Akkreditierungsvoraussetzungen (siehe Frage 5). Erweist sich der Antrag als unvollständig oder besteht Klärungsbedarf, erfolgt eine schriftliche Aufforderung durch die Datenschutzbehörde an den Antragsteller.

Sofern alle Voraussetzungen erfüllt sind, besteht ein subjektiver Rechtsanspruch des Antragstellers auf Akkreditierung gemäß Art. 43 Abs. 3 erster Satz iVm Art. 58 Abs. 3 lit. e DSGVO. Im Ergebnis erfolgt eine (Nicht-) Akkreditierung mit Bescheid, gegen den (etwa im Falle der Nichtakkreditierung) wiederum Bescheidbeschwerde an das Bundesverwaltungsgericht erhoben werden kann.

7. Wird ein höheres Stammkapital als das gesetzlich vorgesehene bei einer GmbH, die Antragstellerin im Akkreditierungsverfahren ist, verlangt?

Ganz grundsätzlich kommt es nicht auf eine gewisse Stammkapitalhöhe oder auf das Alter der juristischen Person an.

Entscheidend ist, dass die Tätigkeit als Zertifizierungsstelle aus finanzieller Sicht sichergestellt ist und hierfür ausreichende Nachweise vorgelegt werden.

8. Kann es sich bei der Antragstellerin im Akkreditierungsverfahren auch um eine ausländische GmbH-Form handeln?

Ja, sofern diese einen Sitz im EWR hat (siehe § 4 Abs. 3 Z 6 ZeStAkk-V).

9. In welchem Verhältnis müssen die für die Entscheidung über die Zertifizierung verantwortliche Person oder verantwortlichen Personen im Sinne des § 13 zu Antragstellerin stehen? Ist in diesem Zusammenhang ein Dienstverhältnis notwendig oder ist etwa ein Werkvertrag dafür ausreichend?

Diesbezüglich gibt es keine Formvorgaben.

10. Welche Mindestdeckungssumme sollte die Haftpflichtversicherung nach § 4 Abs. 3 Z 8 ZeStAkk-V haben?

Eine allgemeingültige Antwort ist nicht möglich, da die Deckungssumme letztlich vom Umfang der Tätigkeit als Zertifizierungsstelle abhängt. So wird eine Zertifizierungstätigkeit, die die Zertifizierung der Datensicherheit von kritischer Infrastruktur (etwa Verarbeitung von Gesundheitsdaten durch Krankenhäuser) umfasst, eine höhere Deckungssumme erfordern, als die Zertifizierung von nicht-kritischer Infrastruktur.

Nach Auffassung der Datenschutzbehörde ist es jedenfalls möglich, eine Mindestdeckungssumme abzuschließen und im Versicherungsvertrag eine Option zum Abschluss von projektspezifischen Zusatzversicherungen abzuschließen, die aufgrund ihrer Art eine höhere Deckungssumme erfordern.

11. Wo finde ich eine Liste aller Zertifizierungsstellen und Zertifizierungskriterien?

Sobald Zertifizierungsstellen akkreditiert und Zertifizierungskriterien genehmigt wurden, findet sich an dieser Stelle ein Link zum entsprechenden Verzeichnis.

Aktuell wurden in der EU noch keine Zertifizierungskriterien genehmigt.

12. Was kann Zertifizierungsgegenstand sein?

Die Leitlinien des Ausschusses 1/2018 (siehe Frage 16) gehen grundsätzlich von einem weiten Begriffsverständnis des Zertifizierungsgegenstandes aus. In den genannten Leitlinien werden ein sicheres Anmeldesystem für Online-Dienste (Log-in) sowie Teile von Online-Banking-Systemen als Beispiele für einen Zertifizierungsgegenstand angeführt.

Gegenstand einer Zertifizierung ist allerdings immer eine Datenverarbeitung im Zusammenhang mit personenbezogenen Daten. Nach dem Konzept der DSGVO können daher beispielsweise Produkte von Softwareherstellern, ohne einen damit in Verbindung stehenden Verarbeitungsvorgang, nicht unmittelbar gemäß Art. 42 der Verordnung zertifiziert werden.

In jedem Fall muss klar ersichtlich sein, welche Verarbeitungsvorgänge Gegenstand der Zertifizierung sind und welche nicht.

13. Was sind Zertifizierungskriterien?

Eine Akkreditierung einer Zertifizierungsstelle erfolgt nur dann, wenn der Zertifizierungsgegenstand (siehe Frage 12) hinreichend klar dargestellt wird. Es muss ersichtlich sein, welche Verarbeitungsvorgänge Gegenstand der Zertifizierung sind und welche Komponenten dabei bewertet werden. Gemäß Art. 43 Abs. 2 lit. b DSGVO erfolgt diese Bewertung ausschließlich auf Grundlage der gemäß Art. 42 Abs. 5 DSGVO genehmigten Zertifizierungskriterien.

Bei der Ausarbeitung von Zertifizierungskriterien muss eine Bewertung beispielsweise folgender Aspekte ermöglicht werden:

- die Verarbeitung personenbezogener Daten erfolgt nach den Grundsätzen des Kapitels II der DSGVO;

- die Verarbeitung personenbezogener Daten erfolgt unter Beachtung der Rechte der betroffenen Personen nach den Bestimmungen der Art. 12 bis 23 DSGVO;

- die Verarbeitung personenbezogener Daten erfolgt unter Berücksichtigung der Vorgaben des Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen);

- die Implementierung geeigneter technischer und organisatorischer Maßnahmen, die dafür ausgelegt sind, ein angemessenes Schutzniveau nach den Vorgaben des Art. 32 Abs. 1 DSGVO herzustellen (Sicherheit der Verarbeitung);

- die Implementierung von Abhilfemaßnahmen gemäß Art. 35 Abs. 7 lit. d DSGVO im Rahmen der Durchführung einer Datenschutz-Folgenabschätzung.

14. Wie läuft ein Genehmigungsverfahren für Zertifizierungskriterien ab?

Im Rahmen des Akkreditierungsverfahrens sind die Zertifizierungskriterien (siehe Frage 13), die von der Zertifizierungsstelle verwendet werden, anzugeben. Eine Zertifizierung kann auf Grundlage von Zertifizierungskriterien erfolgen, die von der Datenschutzbehörde oder dem Europäischen Datenschutzausschuss genehmigt wurden. Sofern die Erteilung von Zertifizierungen auf Grundlage von weiteren Zertifizierungskriterien erfolgen soll, die zum Zeitpunkt der Akkreditierung der Zertifizierungsstelle noch nicht existiert haben oder aus anderen Gründen nicht im Akkreditierungsverfahren angegeben wurden, kann die akkreditierte Zertifizierungsstelle einen Änderungsantrag an die Datenschutzbehörde stellen.

Die Genehmigung von Zertifizierungskriterien erfolgt durch schriftlichen Antrag an die Datenschutzbehörde. Ein Antrag auf Genehmigung von Zertifizierungskriterien kann jederzeit und unabhängig vom Antrag auf Akkreditierung als Zertifizierungsstelle eingebracht werden. Dies bedeutet, dass auch Stellen, wie beispielsweise unabhängige Normungsgremien, die nicht als Zertifizierungsstelle tätig werden, Zertifizierungskriterien ausarbeiten und deren Genehmigung beantragen können. Derartige Zertifizierungskriterien können in weiterer Folge von Zertifizierungsstellen verwendet werden.

Sofern die Datenschutzbehörde den Antrag als genehmigungsfähig erachtet, werden, zum Zwecke der Rechtsharmonisierung, alle Zertifizierungskriterien gemäß Art. 64 Abs. 1 lit. c DSGVO dem Europäischen Ausschuss vorgelegt. Diese Vorgehensweise entspricht der Rechtsposition des Europäischen Datenschutzausschusses. Im Falle einer positiven Stellungnahme des Ausschusses erfolgt die Genehmigung der Zertifizierungskriterien durch die Datenschutzbehörde.

Im Rahmen des Antrags ist anzugeben, ob die Genehmigung zu einem Europäischen Datenschutzsiegel gemäß Art. 42 Abs. 5 letzter Satz DSGVO führen soll. Diesfalls erfolgt die Genehmigung der Zertifizierungskriterien durch den Europäischen Datenschutzausschuss.

15. Sind die standardisierten Bewertungsmethoden gemäß § 11 Abs. 2 ZeStAkk-V Teil des Zertifizierungsprogramms einer Zertifizierungsstelle oder Teil der Zertifizierungskriterien gemäß Art. 42 Abs. 5 DSGVO?

Die standardisierten Bewertungsmethoden gemäß § 11 Abs. 2 ZeStAkk-V sind nach Auffassung der Datenschutzbehörde Teil des Zertifizierungsprogramms.

16. Wo erhalte ich weiterführende Informationen zu diesem Thema?

Weiterführende Informationen sind in den Leitlinien 1/2018 für die Zertifizierung und Ermittlung von Zertifizierungskriterien nach den Artikeln 42 und 43 sowie in den Leitlinien 4/2018 zur Akkreditierung von Zertifizierungsstellen gemäß Artikel 43 des Europäischen Datenschutzausschusses zu finden.

Die genannten Leitlinien sind abrufbar unter:

https://www.dsb.gv.at/europa-internationales/europaeischer_datenschutzausschuss_edsa.html

Der Europäischen Datenschutzausschusses arbeitet aktuell an weiteren Leitlinien zu diesem Thema.

Eine Erweiterung der oben genannten Leitlinien 1/2018 befindet sich aktuell in öffentlicher Konsultation, abrufbar unter:

https://edpb.europa.eu/our-work-tools/public-consultations-art-704_en