2017-03-08 11:13:15 +01:00
|
|
|
Artikel 43 - Zertifizierungsstellen
|
|
|
|
|
-----------------------------------
|
|
|
|
|
|
2017-03-27 11:03:41 +02:00
|
|
|
1. Unbeschadet der Aufgaben und Befugnisse der zuständigen
|
|
|
|
|
Aufsichtsbehörde gemäß den Artikeln 57 und 58 erteilen oder
|
|
|
|
|
verlängern Zertifizierungsstellen, die über das geeignete Fachwissen
|
|
|
|
|
hinsichtlich des Datenschutzes verfügen, nach Unterrichtung der
|
|
|
|
|
Aufsichtsbehörde — damit diese erforderlichenfalls von ihren
|
|
|
|
|
Befugnissen gemäß Artikel 58 Absatz 2 Buchstabe h Gebrauch machen
|
|
|
|
|
kann — die Zertifizierung. Die Mitgliedstaaten stellen sicher, dass
|
|
|
|
|
diese Zertifizierungsstellen von einer oder beiden der folgenden
|
|
|
|
|
Stellen akkreditiert werden:
|
|
|
|
|
|
|
|
|
|
a. der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde;
|
|
|
|
|
|
|
|
|
|
b. der nationalen Akkreditierungsstelle, die gemäß der
|
|
|
|
|
Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des
|
|
|
|
|
Rates (20) im Einklang mit EN-ISO/IEC 17065/2012 und mit den
|
|
|
|
|
zusätzlichen von der gemäß Artikel 55 oder 56 zuständigen
|
|
|
|
|
Aufsichtsbehörde festgelegten Anforderungen benannt wurde.
|
|
|
|
|
|
|
|
|
|
2. Zertifizierungsstellen nach Absatz 1 dürfen nur dann gemäß dem
|
|
|
|
|
genannten Absatz akkreditiert werden, wenn sie
|
|
|
|
|
|
|
|
|
|
a. ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des
|
|
|
|
|
Gegenstands der Zertifizierung zur Zufriedenheit der zuständigen
|
|
|
|
|
Aufsichtsbehörde nachgewiesen haben;
|
|
|
|
|
|
|
|
|
|
b. sich verpflichtet haben, die Kriterien nach Artikel 42 Absatz 5,
|
|
|
|
|
die von der gemäß Artikel 55 oder 56 zuständigen
|
|
|
|
|
Aufsichtsbehörde oder — gemäß Artikel 63 — von dem Ausschuss
|
|
|
|
|
genehmigt wurden, einzuhalten;
|
|
|
|
|
|
|
|
|
|
c. Verfahren für die Erteilung, die regelmäßige Überprüfung und den
|
|
|
|
|
Widerruf der Datenschutzzertifizierung sowie der
|
|
|
|
|
Datenschutzsiegel und -prüfzeichen festgelegt haben;
|
|
|
|
|
|
|
|
|
|
d. Verfahren und Strukturen festgelegt haben, mit denen sie
|
|
|
|
|
Beschwerden über Verletzungen der Zertifizierung oder die Art
|
|
|
|
|
und Weise, in der die Zertifizierung von dem Verantwortlichen
|
|
|
|
|
oder dem Auftragsverarbeiter umgesetzt wird oder wurde,
|
|
|
|
|
nachgehen und diese Verfahren und Strukturen für betroffene
|
|
|
|
|
Personen und die Öffentlichkeit transparent machen, und
|
|
|
|
|
|
|
|
|
|
e. zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen
|
|
|
|
|
haben, dass ihre Aufgaben und Pflichten nicht zu einem
|
|
|
|
|
Interessenkonflikt führen.
|
|
|
|
|
|
|
|
|
|
3. Die Akkreditierung von Zertifizierungsstellen nach den Absätzen 1
|
|
|
|
|
und 2 erfolgt anhand der Kriterien, die von der gemäß Artikel 55
|
|
|
|
|
oder 56 zuständigen Aufsichtsbehörde oder — gemäß Artikel 63 — von
|
|
|
|
|
dem Ausschuss genehmigt wurden. Im Fall einer Akkreditierung nach
|
|
|
|
|
Absatz 1 Buchstabe b des vorliegenden Artikels ergänzen diese
|
|
|
|
|
Anforderungen diejenigen, die in der Verordnung (EG) Nr. 765/2008
|
|
|
|
|
und in den technischen Vorschriften, in denen die Methoden und
|
|
|
|
|
Verfahren der Zertifizierungsstellen beschrieben werden,
|
|
|
|
|
vorgesehen sind.
|
|
|
|
|
|
|
|
|
|
4. Die Zertifizierungsstellen nach Absatz 1 sind unbeschadet der
|
|
|
|
|
Verantwortung, die der Verantwortliche oder der Auftragsverarbeiter
|
|
|
|
|
für die Einhaltung dieser Verordnung hat, für die angemessene
|
|
|
|
|
Bewertung, die der Zertifizierung oder dem Widerruf einer
|
|
|
|
|
Zertifizierung zugrunde liegt, verantwortlich. Die Akkreditierung
|
|
|
|
|
wird für eine Höchstdauer von fünf Jahren erteilt und kann unter
|
|
|
|
|
denselben Bedingungen verlängert werden, sofern die
|
|
|
|
|
Zertifizierungsstelle die Anforderungen dieses Artikels erfüllt.
|
|
|
|
|
|
|
|
|
|
5. Die Zertifizierungsstellen nach Absatz 1 teilen den zuständigen
|
|
|
|
|
Aufsichtsbehörden die Gründe für die Erteilung oder den Widerruf der
|
|
|
|
|
beantragten Zertifizierung mit.
|
|
|
|
|
|
|
|
|
|
6. Die Anforderungen nach Absatz 3 des vorliegenden Artikels und die
|
|
|
|
|
Kriterien nach Artikel 42 Absatz 5 werden von der Aufsichtsbehörde
|
|
|
|
|
in leicht zugänglicher Form veröffentlicht. Die Aufsichtsbehörden
|
|
|
|
|
übermitteln diese Anforderungen und Kriterien auch dem Ausschuss.
|
|
|
|
|
Der Ausschuss nimmt alle Zertifizierungsverfahren und
|
|
|
|
|
Datenschutzsiegel in ein Register auf und veröffentlicht sie in
|
|
|
|
|
geeigneter Weise.
|
|
|
|
|
|
|
|
|
|
7. Unbeschadet des Kapitels VIII widerruft die zuständige
|
|
|
|
|
Aufsichtsbehörde oder die nationale Akkreditierungsstelle die
|
|
|
|
|
Akkreditierung einer Zertifizierungsstelle nach Absatz 1, wenn die
|
|
|
|
|
Voraussetzungen für die Akkreditierung nicht oder nicht mehr erfüllt
|
|
|
|
|
sind oder wenn eine Zertifizierungsstelle Maßnahmen ergreift, die
|
|
|
|
|
nicht mit dieser Verordnung vereinbar sind.
|
|
|
|
|
|
|
|
|
|
8. Der Kommission wird die Befugnis übertragen, gemäß Artikel 92
|
|
|
|
|
delegierte Rechtsakte zu erlassen, um die Anforderungen festzulegen,
|
|
|
|
|
die für die in Artikel 42 Absatz 1 genannten datenschutzspezifischen
|
|
|
|
|
Zertifizierungsverfahren zu berücksichtigen sind.
|
|
|
|
|
|
|
|
|
|
9. Die Kommission kann Durchführungsrechtsakte erlassen, mit denen
|
|
|
|
|
technische Standards für Zertifizierungsverfahren und
|
|
|
|
|
Datenschutzsiegel und -prüfzeichen sowie Mechanismen zur Förderung
|
|
|
|
|
und Anerkennung dieser Zertifizierungsverfahren und
|
|
|
|
|
Datenschutzsiegel und -prüfzeichen festgelegt werden. Diese
|
|
|
|
|
Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz 2
|
|
|
|
|
genannten Prüfverfahren erlassen.
|
2017-03-08 11:13:15 +01:00
|
|
|
|
|
|
|
|
|
