22. Juli 2022

Datenschutz Zertifizierungen in der Schweiz

  • Artikel
  • Legal
  • Daten / Technologie / IP
  • Regulatory Compliance

Mit der Totalrevision des Bundesgesetzes über den Datenschutz (DSG) wird nicht nur die Verordnung zum Datenschutzgesetz (VDSG) überarbeitet, sondern auch die Verordnung über die Datenschutzzertifizierungen (VDSZ).

Neben Datenbearbeitungssystemen (Verfahren, Organisation) und Produkten (Programme, Systeme, Apps) sollen mit der überarbeiteten Verordnung über die Datenschutzzertifizierungen (VDSZ) neu auch Dienstleistungen zertifiziert werden können. Damit soll bspw. die Transparenz der Datenbearbeitung erhöht oder das Risiko von Datenschutzverletzungen reduziert werden, was das Vertrauen in eine Dienstleistung verbessern kann. Zertifizierte Datenbearbeiter sind von der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung entbunden. Die Zertifizierung schliesst alle Komponenten der Datenbearbeitung ein, die mittels Datenschutz-Folgenabschätzung zu prüfen gewesen wären.

Neu wird gemäss EDÖB im Art. 6 VDSZ die ISO Norm 27701 erwähnt sein. Diese ist eine Erweiterung der ISO/IEC 27001 um den Datenschutz und kann nur in Verbindung mit jener erreicht werden. ISO/IEC 27001 normiert Managementsysteme für Informationssicherheit. Mit der Ergänzung dieser Norm um datenschutzrelevante Komponenten (ISO 27701) soll der Datenschutz bei Dienstleistungsangeboten weltweit verbessert werden. Das Zertifizierungsverfahren bleibt weiterhin fakultativ. In die Revision involviert sind Bundesamt für Justiz, der EDÖB und weitere Bundesstellen, wie die Schweizerische Akkreditierungsstelle (SAS) sowie private Zertifizierungsstellen. Der Entwurf der VDSZ liegt noch nicht definitiv vor.