vorheriges Dokument
nächstes Dokument

§ 11 ZeStAkk-V

Aktuelle FassungIn Kraft seit 08.4.2021

Evaluierung

§ 11.

(1) Die Zertifizierungsstelle hat unter Einhaltung der Vorgaben des Punktes 7.4 ISO/IEC 17065:2012 standardisierte Bewertungsmethoden festzulegen, welche ihr die Beurteilung der Übereinstimmung der Verarbeitungsvorgänge mit den Zertifizierungskriterien ermöglicht. Zusätzlich zu den Vorgaben des Punktes 7.4.6 ISO/IEC 17065:2012 hat die Zertifizierungsstelle Modalitäten festzulegen, wie der Zertifizierungswerber über allfällige Abweichungen von Zerfizierungskriterien informiert wird. In diesem Rahmen sind jedenfalls Art und Zeitpunkt der Informationsmitteilung zu regeln.

(2) Die Zertifizierungsstelle hat in den standardisierten Bewertungsmethoden gemäß Abs. 1 festzulegen, inwiefern Instrumente wie Verhaltensregeln gemäß Art. 40 DSGVO, an denen der Zertifizierungswerber teilnimmt, oder Zertifizierungen gemäß Art. 42 DSGVO, die ein Zertifizierungswerber bereits besitzt, zum Nachweis der Übereinstimmung der Verarbeitungsvorgänge mit den Zertifizierungskriterien herangezogen werden können. Die Zertifizierungsstelle ist jedenfalls verpflichtet, die Konformität der Verarbeitungsvorgänge des Zertifizierungswerbers mit den Zertifizierungskriterien zu überprüfen. Der vollständige Ersatz dieser Überprüfung durch Verweis auf derartige Instrumente ist nicht möglich.

(3) Die Zertifizierungsstelle hat die Vorgaben des Punktes 6.2 ISO/IEC 17065:2012 für die Ressourcen der Evaluierung zu erfüllen.

(4) Die Betrauung von externen Sachverständigen zur Durchführung der erforderlichen Evaluierungstätigkeiten ist nach Maßgabe der folgenden Bestimmungen zulässig:

  1. 1. Die extern Betrauten verfügen gemeinsam über das Fachwissen und die Erfahrung gemäß § 7 Abs. 2 bis Abs. 5,
  2. 2. die Tätigkeit erfolgt nach den Anforderungen der relevanten internationalen (insbesondere ISO/IEC) Normen,
  3. 3. Unvereinbarkeitsbestimmungen und Maßnahmen zur Sicherstellung der Vertraulichkeit unter sinngemäßer Anwendung von § 5 und § 6 wurden vertraglich vereinbart,
  4. 4. der Zertifizierungswerber wurde vorab informiert und ihm wurde die Möglichkeit zur Erhebung einer Ablehnung eingeräumt, und
  5. 5. die Verantwortung für die übertragenen Tätigkeiten verbleibt bei der Zertifizierungsstelle.

(5) Die Zertifizierungsstelle hat, insbesondere unter Berücksichtigung von Änderungen der Rechtslage, des Risikos für die Verarbeitung, des Standes der Technik und der Kosten für die Durchführung technischer und organisatorischer Maßnahmen, Verfahren festzulegen, nach denen die Bewertungsmethoden gemäß Abs. 1 fortentwickelt werden.

(6) Die Zertifizierungsstelle hat gemäß Punkt 7.4.9 ISO/IEC 17065:2012 die Ergebnisse aller Evaluierungstätigkeiten in einem Verzeichnis zu dokumentieren und der Datenschutzbehörde jederzeit Zugang zu diesem zu gewähren.

Zuletzt aktualisiert am

08.04.2021

Gesetzesnummer

20011478

Dokumentnummer

NOR40232419

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)