Die Hersteller von Datenbearbeitungssystemen oder -programmen sowie die Verantwortlichen und Auftragsbearbeiter können ihre Systeme, Produkte und Dienstleistungen einer Bewertung durch eine anerkannte unabhängige Zertifizierungsstelle unterziehen (Art. 13 Abs. 1 DSG).
Datenschutzzertifizierungen
Für die die Anerkennung von Zertifizierungsverfahren und die Einführung eines Datenschutz-Qualitätszeichens hat der Bundesrat gestützt auf Art. 13 Abs. 2 DSG die Verordnung über Datenschutzzertifizierungen (VDSZ) vom 31. August 2022 erlassen.
Durch gemäss VDSZ akkreditierte Stellen können Organisation und Verfahren (Managementsysteme) und Produkte, namentlich Datenbearbeitungssysteme oder -programme und Hardware, sowie Dienstleistungen und Prozesse zertifiziert werden (Art. 1 Abs. 2 VDSZ). Die Akkreditierung erfolgt durch die Schweizerische Akkreditierungsstelle (SAS), welche für das Verfahren, die Nachkontrolle sowie für Sanktionen den EDÖB beizieht (Art. 2 VDSZ).
Der EDÖB erlässt gemäss Art. 6 Abs. 2 VDSZ spezifische Richtlinien über die Mindestanforderungen an ein Managementsystem unter Berücksichtigung technischer Normen. Ausserdem erlässt er gemäss Art. 7 Abs. 2 VDSZ Richtlinien über die datenschutzrechtlichen Kriterien, nach welchen die Prüfung von Produkten, Dienstleistungen und Prozessen zu erfolgt hat.
Ausländische Zertifizierungsstellen und Datenschutzzertifizierungen anerkennt der EDÖB nach Rücksprache mit der Schweizerischen Akkreditierungsstelle (Art. 3 Abs. 2 und Art. 9 VDSZ).
Stellt der EDÖB schwere Mängel bei einem zertifizierten Hersteller von Datenbearbeitungssystemen oder -programmen, einem Verantwortlichen oder einem Auftragsbearbeiter fest, informiert er die Zertifizierungsstelle. Behebt der Verantwortliche den Mangel nicht innert 30 Tagen und leitet die Zertifizierungsstelle keine Massnahmen ein, kann der EDÖB selbst die Zertifizierung sistieren oder entziehen (Art. 12 Abs. 4 VDSZ).
Zertifizierte Verantwortliche einer Datenbearbeitung sind von der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung entbunden (Art. 22 Abs. 5 DSG). Neben diesem Vorteil bietet eine Zertifizierung den Herstellern und den Verantwortlichen auch die Möglichkeit, ihr Einhalten des Datenschutzgesetzes zu dokumentieren und kommunizieren, womit ihr Verantwortungsbewusstsein gestärkt wird.
Die Zertifizierung fördert insbesondere die Transparenz, indem immer komplexer werdende Datenbearbeitungsvorgänge von einer unabhängigen Stelle analysiert werden. Dies soll den von einer Datenbearbeitung betroffenen Personen die Möglichkeit geben, sich bewusst für datenschutzfreundliche Systeme, Produkte oder Dienstleistungen zu entscheiden, womit der Datenschutz und die Datensicherheit gesamthaft gestärkt werden.
Letzte Änderung 18.01.2024