Entwicklung der Zertifizierung von Produkten und Dienstleistungen

Infolge der im Bereich der Zertifizierung von Produkten und Dienstleistungen aufgetretenen Schwierigkeiten haben wir beschlossen, unsere diesbezüglichen Tätigkeiten vorübergehend einzustellen. Wir haben das Bundesamt für Justiz um eine Klärung gewisser Fragen zur Gesetzgebung ersucht.

Vertreter eidgenössischer und kantonaler Stellen sowie verschiedener in den Bereichen Informatik, Finanzen und Gesundheit, Zertifizierung und Akkreditierung tätiger Privatunternehmen kamen im Frühjahr 2010 zu einer Bestandesaufnahme zur Zertifizierung von Produkten und Dienstleistungen zusammen. Die Arbeitsgruppe gelangte zum Schluss, dass eine Zertifizierung von Informatikprodukten (Hard- und Software), gestützt beispielsweise auf den Anforderungskatalog «European Privacy Seal» (Euro-PriSe) - unter finanziellen Gesichtspunkten - in einem kleinen Markt wie dem unseren kaum in Frage käme, und dass ihr ausserdem verschiedene technische und rechtliche Hindernisse im Wege ständen. Überdies äusserten mehrere Teilnehmer das Bedürfnis nach der Einführung einer Zertifizierung von Dienstleistungen, die eine Bearbeitung von Personendaten mit sich bringen. Technisch gesehen wäre eine solche Zertifizierung ohne weiteres realisierbar, zum Beispiel durch eine Ausweitung der Norm ISO/IEC 20000 für Service-Managementsysteme auf den Datenschutz, wie das bei der Zertifizierung von Organisationen geschehen ist, die auf der Grundlage von ISO/IEC 27001 erfolgreich durchgeführt wurde. Vom juristischen Standpunkt aus stellt indessen die Zertifizierung von Dienstleistungen den Auftraggeber oder Leistungsbezüger, der grundsätzlich der Inhaber der Datensammlung ist, dem Auftragnehmer oder Leistungserbringer, also einem Dritten im Sinne von Artikel 10a Absatz 2 des Datenschutzgesetzes (DSG) gegenüber. Gemäss dieser Bestimmung muss sich der Auftraggeber insbesondere vergewissern, dass der Dritte die Datensicherheit gewährleistet, was als Aufforderung zur Zertifizierung des Dritten in Sachen Informationssicherheit (ISO/IEC 27001) verstanden werden kann. Da jedoch der Auftraggeber für die Einhaltung der Grundsätze des Datenschutzes verantwortlich ist (gegebenenfalls über eine Organisationszertifizierung), ist eine Zertifizierung im Bereich des Datenschutzes für den Leistungserbringer schwerlich denkbar.

Es muss auch festgestellt werden, dass die geltende Gesetzgebung Lücken oder Ungenauigkeiten aufweist: Artikel 11 Absatz 1 DSG sieht nur die Zertifizierung von Systemen, nicht aber von Dienstleistungen vor; Artikel 5 der Verordnung über die Datenschutzzertifizierungen (VDSZ), der die Zertifizierung von Produkten regelt, könnte durch eine neue Bestimmung betreffend die Zertifizierung von Dienstleistungen ersetzt oder ergänzt werden. In Artikel 11 Absatz 2 DSG wiederum heisst es, der Bundesrat erlasse Vorschriften über die Einführung eines Datenschutz-Qualitätszeichens; in der Verordnung wurde jedoch keine solche Bestimmung vorgesehen.

Angesichts dieser Probleme und unter Berücksichtigung der Tatsache, dass unsere Nachbarländer wie Deutschland und Frankreich ebenfalls Schwierigkeiten haben, eine Zertifizierung von Produkten und/oder Dienstleistungen einzuführen, haben wir im Sommer 2010 beschlossen, unsere Arbeiten in diesem Bereich vorläufig einzustellen. Wir haben das Bundesamt für Justiz um eine Klärung der Gesetzesfragen, gegebenenfalls im Rahmen der Revision des DSG, gebeten.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/18--taetigkeitsbericht-2010-2011/entwicklung-der-zertifizierung-von-produkten-und-dienstleistunge.html