Im Rahmen unserer Website wird ausschließlich nur ein technisch notwendiges Cookie gesetzt, um die grundlegende Funktionalität der Website - in technischer Hinsicht - zu gewährleisten. 

Zertifizierungen Akkreditierung als Zertifizierungsstelle gemäß Art. 43 Abs. 1 DSGVO

Verantwortliche oder Auftragsverarbeiter können von akkreditierten Zertifizierungsstellen die Erteilung einer datenschutzrechtlichen Zertifizierung gemäß Art. 42 DSGVO („certifications“) beantragen. Die Datenschutzbehörde erteilt selbst keine Zertifizierungen, sondern akkreditiert Zertifizierungsstellen mit Bescheid (siehe Frage 2). Eine Zertifizierung durch Zertifizierungsstellen erfolgt auf Grundlage von gemäß Art. 42 Abs. 5 DSGVO genehmigten Zertifizierungskriterien.

Fragen und Antworten zum Thema Zertifizierungen

Stand: 30.03.2021

  1. Was sind datenschutzrechtliche Zertifizierungen?
  2. Wie kann ich als Zertifizierungsstelle tätig werden?
  3. Gibt es Formvorgaben oder ein Muster für einen Antrag auf Akkreditierung an die Datenschutzbehörde?
  4. Welche Voraussetzungen hat eine Zertifizierungsstelle zu erfüllen?
  5. Wie läuft ein Akkreditierungsverfahren ab?
  6. Wo finde ich eine Liste aller Zertifizierungsstellen und Zertifizierungskriterien?
  7. Was kann Zertifizierungsgegenstand sein?
  8. Was sind Zertifizierungskriterien?
  9. Wie läuft ein Genehmigungsverfahren für Zertifizierungskriterien ab?
  10. Wo erhalte ich weiterführende Informationen zu diesem Thema?

1. Was sind datenschutzrechtliche Zertifizierungen?

Gemäß Art. 42 DSGVO können datenschutzspezifische Zertifizierungsverfahren sowie Datenschutzsiegel und –prüfzeichen eingeführt werden (Zertifizierungen). Adressat einer solchen Zertifizierung ist stets ein Verantwortlicher oder Auftragsverarbeiter. Diese können eine Zertifizierung bei einer hierfür von der Datenschutzbehörde akkreditierten Zertifizierungsstelle beantragen.

Datenschutzrechtliche Zertifizierungen sind, genauso wie branchenspezifische Verhaltensregeln gemäß Art. 40 DSGVO, ein Compliance-Instrument. Laut Erwägungsgrund 100 der DSGVO soll durch Zertifizierungen die Transparenz im Zusammenhang mit der Verarbeitung personenbezogener Daten erhöht und die Einhaltung der DSGVO verbessert werden.

Insbesondere können Zertifizierungen gemäß Art. 42 DSGVO

- als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen (Art. 24 Abs. 3 DSGVO),

- als Faktor herangezogen werden, um die Erfüllung der gemäß Art. 32 Abs. 1 DSGVO zu implementierenden technischen und organisatorischen Maßnahmen nachzuweisen (Art. 32 Abs. 3 DSGVO),

- unter den Voraussetzungen von Art. 46 Abs. 2 lit. f DSGVO „geeignete Garantien“ für die Übermittlung von personenbezogenen Daten an ein Drittland oder eine internationale Organisation sein (Art. 42 Abs. 2 DSGVO),

- bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag je nach Einzelfall gebührend berücksichtigt werden (Art. 83 Abs. 2 lit. j DSGVO).

2. Wie kann ich als Zertifizierungsstelle tätig werden?

In Österreich fungiert die Datenschutzbehörde nach Maßgabe des § 24 Abs. 3 DSG als einzige nationale Akkreditierungsstelle gemäß Art. 43 Abs. 1 lit. a DSGVO. Nach Auffassung des Europäischen Datenschutzausschusses gilt Art. 43 Abs. 1 DSGVO als lex specialis zu Art. 2 Z 11 der Verordnung 765/2008.

Um als Zertifizierungsstelle tätig zu werden, ist daher ein Antrag auf Akkreditierung an die Datenschutzbehörde notwendig.

3. Gibt es Formvorgaben oder ein Muster für einen Antrag auf Akkreditierung an die Datenschutzbehörde?

Der Antrag auf Akkreditierung hat schriftlich zu erfolgen. Davon abgesehen gibt es keine Formerfordernisse, die zu erfüllen sind. Aus dem Antrag muss jedenfalls ersichtlich sein, dass alle Akkreditierungsvoraussetzungen erfüllt sind.

Die Datenschutzbehörde stellt jedoch einen unverbindlichen Musterantrag zur Verfügung, der für den Antrag auf Akkreditierung verwendet werden kann. Die im Musterantrag enthaltenen Dokumente und Ordner decken die Voraussetzungen der DSGVO und der ZeStAkk-V ab und sind vollständig auszufüllen.

Der Musterantrag ist hier zu finden.

4. Welche Voraussetzungen hat eine Zertifizierungsstelle zu erfüllen?

Eine Zertifizierungsstelle hat die in Art. 43 Abs. 2 DSGVO allgemein gehaltenen Akkreditierungsvoraussetzungen, die in der Zertifizierungsstellen-Akkreditierungs-Verordnung (ZeStAkk-V) präzisiert werden, zu erfüllen.

5. Wie läuft ein Akkreditierungsverfahren ab?

Nachdem ein Antrag auf Akkreditierung gestellt wurde (siehe Frage 2 und 3), überprüft die Datenschutzbehörde den Antrag auf Vollständigkeit und auf die Einhaltung der Akkreditierungsvoraussetzungen (siehe Frage 4). Erweist sich der Antrag als unvollständig oder besteht Klärungsbedarf, erfolgt eine schriftliche Aufforderung durch die Datenschutzbehörde an den Antragsteller.

Sofern alle Voraussetzungen erfüllt sind, besteht ein subjektiver Rechtsanspruch des Antragstellers auf Akkreditierung gemäß Art. 43 Abs. 3 erster Satz iVm Art. 58 Abs. 3 lit. e DSGVO. Im Ergebnis erfolgt eine (Nicht-) Akkreditierung mit Bescheid, gegen den (etwa im Falle der Nichtakkreditierung) wiederum Bescheidbeschwerde an das Bundesverwaltungsgericht erhoben werden kann.

6. Wo finde ich eine Liste aller Zertifizierungsstellen und Zertifizierungskriterien?

Sobald Zertifizierungsstellen akkreditiert und Zertifizierungskriterien genehmigt wurden, findet sich an dieser Stelle ein Link zum entsprechenden Verzeichnis.

7. Was kann Zertifizierungsgegenstand sein?

Die Leitlinien des Ausschusses 1/2018 (siehe Frage 10) gehen grundsätzlich von einem weiten Begriffsverständnis des Zertifizierungsgegenstandes aus. In den genannten Leitlinien werden ein sicheres Anmeldesystem für Online-Dienste (Log-in) sowie Teile von Online-Banking-Systemen als Beispiele für einen Zertifizierungsgegenstand angeführt.

Gegenstand einer Zertifizierung ist allerdings immer eine Datenverarbeitung im Zusammenhang mit personenbezogenen Daten. Nach dem Konzept der DSGVO können daher beispielsweise Produkte von Softwareherstellern, ohne einen damit in Verbindung stehenden Verarbeitungsvorgang, nicht unmittelbar gemäß Art. 42 der Verordnung zertifiziert werden.

In jedem Fall muss klar ersichtlich sein, welche Verarbeitungsvorgänge Gegenstand der Zertifizierung sind und welche nicht.

8. Was sind Zertifizierungskriterien?

Eine Akkreditierung einer Zertifizierungsstelle erfolgt nur dann, wenn der Zertifizierungsgegenstand (siehe Frage 7) hinreichend klar dargestellt wird. Es muss ersichtlich sein, welche Verarbeitungsvorgänge Gegenstand der Zertifizierung sind und welche Komponenten dabei bewertet werden. Gemäß Art. 43 Abs. 2 lit. b DSGVO erfolgt diese Bewertung ausschließlich auf Grundlage der gemäß Art. 42 Abs. 5 DSGVO genehmigten Zertifizierungskriterien.

Bei der Ausarbeitung von Zertifizierungskriterien sind somit Methoden festzulegen, die – abhängig von Art und Umfang des Zertifizierungsgegenstandes – eine Bewertung beispielsweise folgender Aspekte ermöglichen:

- die Verarbeitung personenbezogener Daten erfolgt nach den Grundsätzen des Kapitels II der DSGVO;

- die Verarbeitung personenbezogener Daten erfolgt unter Beachtung der Rechte der betroffenen Personen nach den Bestimmungen der Art. 12 bis 23 DSGVO;

- die Verarbeitung personenbezogener Daten erfolgt unter Berücksichtigung der Vorgaben des Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen);

- die Implementierung geeigneter technischer und organisatorischer Maßnahmen, die dafür ausgelegt sind, ein angemessenes Schutzniveau nach den Vorgaben des Art. 32 Abs. 1 DSGVO herzustellen (Sicherheit der Verarbeitung);

- die Implementierung von Abhilfemaßnahmen gemäß Art. 35 Abs. 7 lit. d DSGVO im Rahmen der Durchführung einer Datenschutz-Folgenabschätzung.

9. Wie läuft ein Genehmigungsverfahren für Zertifizierungskriterien ab?

Im Rahmen des Akkreditierungsverfahrens sind die Zertifizierungskriterien (siehe Frage 7), die von der Zertifizierungsstelle verwendet werden, anzugeben. Eine Zertifizierung kann auf Grundlage von Zertifizierungskriterien erfolgen, die von der Datenschutzbehörde oder dem Europäischen Datenschutzausschuss genehmigt wurden. Sofern die Erteilung von Zertifizierungen auf Grundlage von weiteren Zertifizierungskriterien erfolgen soll, die zum Zeitpunkt der Akkreditierung der Zertifizierungsstelle noch nicht existiert haben oder aus anderen Gründen nicht im Akkreditierungsverfahren angegeben wurden, kann die akkreditierte Zertifizierungsstelle einen Änderungsantrag an die Datenschutzbehörde stellen.

Die Genehmigung von Zertifizierungskriterien erfolgt durch schriftlichen Antrag an die Datenschutzbehörde. Ein Antrag auf Genehmigung von Zertifizierungskriterien kann jederzeit und unabhängig vom Antrag auf Akkreditierung als Zertifizierungsstelle eingebracht werden. Dies bedeutet, dass auch Stellen, wie beispielsweise unabhängige Normungsgremien, die nicht als Zertifizierungsstelle tätig werden, Zertifizierungskriterien ausarbeiten und deren Genehmigung beantragen können. Derartige Zertifizierungskriterien können in weiterer Folge von Zertifizierungsstellen verwendet werden.

Sofern die Datenschutzbehörde den Antrag als genehmigungsfähig erachtet, werden, zum Zwecke der Rechtsharmonisierung, alle Zertifizierungskriterien gemäß Art. 64 Abs. 1 lit. c DSGVO dem Europäischen Ausschuss vorgelegt. Diese Vorgehensweise entspricht der Rechtsposition des Europäischen Datenschutzausschusses. Im Falle einer positiven Stellungnahme des Ausschusses erfolgt die Genehmigung der Zertifizierungskriterien mit Bescheid durch die Datenschutzbehörde.

Im Rahmen des Antrags ist anzugeben, ob die Genehmigung zu einem Europäischen Datenschutzsiegel gemäß Art. 42 Abs. 5 letzter Satz DSGVO führen soll.

10. Wo erhalte ich weiterführende Informationen zu diesem Thema?

Weiterführende Informationen sind in den Leitlinien 1/2018 für die Zertifizierung und Ermittlung von Zertifizierungskriterien nach den Artikeln 42 und 43 sowie in den Leitlinien 4/2018 zur Akkreditierung von Zertifizierungsstellen gemäß Artikel 43 des Europäischen Datenschutzausschusses zu finden.

Die genannten Leitlinien sind abrufbar unter:

https://www.dsb.gv.at/europa-internationales/europaeischer_datenschutzausschuss_edsa.html

Der Europäischen Datenschutzausschusses arbeitet aktuell an weiteren Leitlinien zu diesem Thema.