Abschnitt 1 Zertifizierungsstellen
Artikel 1Anforderungen Artikel 2Akkreditierungsverfahren Artikel 3Ausländische Zertifizierungsstellen
Art. 14 VDSZ (Schweiz) Inkrafttreten
Diese Verordnung tritt am 1. September 2023 in Kraft.
Art. 13 VDSZ (Schweiz) Aufhebung eines anderen Erlasses
Die Verordnung über die Datenschutzzertifizierungen vom 28. September 2007[5] wird aufgehoben. [5] AS 2007 5003 ; 2010 949 ; 2016 3447
Art. 12 VDSZ (Schweiz) Verfahren bei Aufsichtsmassnahmen des EDÖB
Stellt der EDÖB bei einem Hersteller von Datenbearbeitungssystemen oder -programmen, einem Verantwortlichen oder einem Auftragsbearbeiter, der über eine Zertifizierung verfügt, schwere Mängel fest, so informiert er die Zertifizierungsstelle darüber. Die Zertifizierungsstelle fordert den Hersteller von Datenbearbeitungssystemen oder -programmen, den Verantwortlichen oder den Auftragsbearbeiter unverzüglich auf, den Mangel innerhalb von 30 Tagen, nachdem sie vom EDÖB […]
Art. 11 VDSZ (Schweiz)Sistierung und Entzug der Zertifizierung
Die Zertifizierungsstelle kann eine Zertifizierung sistieren oder entziehen, insbesondere wenn sie im Rahmen der Überprüfung schwere Mängel feststellt. Ein schwerer Mangel liegt insbesondere vor, wenn: wesentliche Voraussetzungen der Datenschutzzertifizierung nicht mehr erfülltsind; oder eine Zertifizierung irreführend oder missbräuchlich verwendet wird. Bei Streitigkeiten über die Sistierung oder den Entzug richten sich die Beurteilungund das Verfahren nach […]
Art. 10 VDSZ (Schweiz) Ausnahme von der Pflicht zur Erstellung einer Datenschutz-Folgenabschätzung
Der private Verantwortliche kann von der Erstellung einer Datenschutz-Folgenabschätzung gemäss Artikel 22 Absatz 5 DSG nur absehen, wenn die Zertifizierung die Bearbeitung, die im Rahmen der Datenschutz-Folgenabschätzung zu prüfen wäre, einschliesst.
Art. 9 VDSZ (Schweiz) Anerkennung ausländischer Datenschutzzertifizierungen
Der EDÖB anerkennt nach Rücksprache mit der SAS ausländische Zertifizierungen, wenn gewährleistet ist, dass die Anforderungen der schweizerischen Gesetzgebung erfüllt sind.
Art. 8 VDSZ (Schweiz) Erteilung und Gültigkeit der Datenschutzzertifizierung
Die Zertifizierungsstelle zertifiziert das Managementsystem, das Produkt, die Dienstleistung oder den Prozess, wenn die datenschutzrechtlichen Anforderungen und die Voraussetzungen nach dieser Verordnung, nach den vom EDÖB erlassenen Richtlinien oder nach anderen gleichwertigen Normen erfüllt sind. Die Zertifizierung kann mit Auflagen verbunden werden. Die Zertifizierung ist drei Jahre gültig. Die Zertifizierungsstelle muss jährlich prüfen, ob die […]
Art. 7 VDSZ (Schweiz) Anforderungen an die Zertifizierung von Produkten, Dienstleistungen und Prozessen
Gegenstand der Prüfung von Produkten, Dienstleistungen und Prozessen ist insbesondere die Gewährleistung: der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der bearbeiteten Personendaten; der Vermeidung der Bearbeitung von Personendaten, die im Hinblick auf den Verwendungszweck des Produkts, der Dienstleistung oder des Prozesses nicht erforderlich sind; der Transparenz der Bearbeitung von Personendaten; von technischen Massnahmen zur Unterstützung der […]
Art. 6 VDSZ (Schweiz) Anforderungen an die Zertifizierung von Managementsystemen
Gegenstand der Prüfung von Managementsystemen sind insbesondere: die Datenschutzpolitik; die Dokumentation von Zielen, Risiken und Massnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit; die organisatorischen und technischen Vorkehrungen zur Umsetzung der festgelegten Ziele und Massnahmen, insbesondere zur Behebung von Mängeln. Der EDÖB erlässt Richtlinien über die Mindestanforderungen an das Managementsystem. Er berücksichtigt dabei die internationalen […]