TE Dsk BescheidAkkreditierungZertifizierung 2021/12/30 2021-0.916.436

1. ZeStAkk-V § 4 heute
2. ZeStAkk-V § 4 gültig ab 18.02.2021

GZ: 2021-0.916.436 vom 30. Dezember 2021 (Verfahrenszahl: DSB-D163.003)

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über den Antrag von Emanuel A*** (Antragsteller) vom 30. November 2021 auf Billigung von datenschutzrechtlichen Zertifizierungskriterien wie folgt:

-    Der Antrag wird zurückgewiesen.

Rechtsgrundlagen: Art. 42 Abs. 5, Art. 57 Abs. 1 lit. n und Art. 58 Abs. 3 lit. f der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), ABl. Nr. L 119 vom 4.5.2016, S. 1; Art. 8 Abs. 1 des Bundes-Verfassungsgesetz (B-VG), BGBl. Nr. 1/1930 idgF.

BEGRÜNDUNG

A. Verfahrensgang

A.1. Mit Eingabe vom 30. November 2021 stellte der Antragsteller einen Antrag auf Billigung von datenschutzrechtlichen Zertifizierungskriterien.

A.2. Mit Stellungnahme vom 1. Dezember 2021 teilte die Datenschutzbehörde Folgendes mit:

„Betrifft: Mitteilung der Datenschutzbehörde

Die Datenschutzbehörde hat Ihren Antrag auf Genehmigung von Zertifizierungskriterien gemäß Art. 42 DSGVO („XYZ Katalog“) vom 30. November 2021 erhalten und hält dazu Folgendes fest:

1)   Der gegenständliche Antrag enthält (nur) eine abstrakte Beschreibung des Vorhabens. Zertifizierungskriterien gemäß Art. 42 DSGVO müssen jedoch konkrete Vorgaben enthalten, die ein Verantwortlicher oder Auftragsverarbeiter einzuhalten hat und die seitens einer Zertifizierungsstelle im Rahmen einer Konformitätsbewertung überprüft werden.

Wenngleich diese noch nicht seitens des Europäischen Datenschutzausschusses genehmigt wurden, wird beispielhaft auf die vorgesehenen Zertifizierungskriterien („GDPR-CARPA“) der Aufsichtsbehörde in Luxemburg hingewiesen:

https://www.dataguidance.com/news/luxembourg-cnpd-launches-second-public-consultation

https://cnpd.public.lu/dam-assets/fr/actualites/national/2018/GDPR-CARPA-Criteria-v10.pdf

2)   Es wird daher angeregt, dass der gegenständliche Antrag zurückgezogen wird und Sie konkrete Zertifizierungskriterien im Sinne der obigen Überlegungen ausarbeiten.

3)   Unabhängig davon ist festzuhalten, dass Amtssprache gemäß Art. 8 Abs. 1 B-VG die deutsche Sprache ist und der gegenständliche Antrag (jedenfalls auch) in deutscher Sprache vorzulegen wäre.

Sie erhalten Gelegenheit, dazu innerhalb einer Frist von zwei Wochen ab Erhalt dieses Schreibens Stellung zu nehmen.

Bitte geben Sie bei jeder Eingabe an die Datenschutzbehörde die Geschäftszahl D163.003 an.“

A.3. Der Antragsteller hat hierzu keine Stellungnahme mehr abgegeben. Ein entsprechender Weiterleitungsbericht sowie eine Lesebestätigung liegen dem Akt bei. Es liegt keine Fehlermeldung eines E-Mail-Servers vor.

B. Verfahrensgegenstand

Zu überprüfen ist, ob die Voraussetzungen für die Billigung von datenschutzrechtlichen Zertifizierungskriterien gemäß Art. 42 Abs. 5 iVm Art. 58 Abs. 3 lit. f DSGVO vorliegen.

C. Sachverhaltsfeststellungen

Der unter Punkt A. beschriebene Verfahrensgang sowie der vorgelegte Antrag („XYZ Katalog“) in der Fassung vom 30. November 2021 werden den Sachverhaltsfeststellungen zugrunde gelegt.

Beweiswürdigung: Die getroffenen Feststellungen sind unstrittig und ergeben sich aus dem Akteninhalt zur Verfahrenszahl DSB-D163.003.

D. In rechtlicher Hinsicht folgt daraus:

D.1. Allgemeines

Die Datenschutzbehörde hat gemäß Art. 42 Abs. 5 iVm Art. 58 Abs. 3 lit. f DSGVO datenschutzrechtliche Zertifizierungskriterien zu billigen.

D.2. Amtssprache

Die vorgelegten Zertifizierungskriterien sind nicht in deutscher Sprache verfasst, welche gemäß Art. 8 B-VG als verfassungsmäßige Amtssprache der Republik in allen Eingaben bei österreichischen Behörden zwingend zu verwenden ist.

Der Antragsteller hat – trotz eingeräumter Möglichkeit – die vorgelegten Zertifizierungskriterien nicht in deutscher Sprache vorgelegt, keine Fristerstreckung beantragt und sich auch sonst nicht mehr gemeldet.

Der gegenständliche Antrag war daher bereits aus diesem Grund zurückzuweisen.

D.3. Zum Antrag

Unabhängig davon ist festzuhalten, dass akkreditierte Zertifizierungsstellen iSd Art. 43 Abs. 1 DSGVO eine datenschutzrechtliche Zertifizierung gemäß Art. 43 Abs. 2 lit. b leg. cit. iVm § 4 Abs. 3 Z 3 ZeStAkk-V, BGBl. II Nr. 79/2021 idgF. ausschließlich auf Grundlage von gebilligten Zertifizierungskriterien erteilen.

Daraus folgt, dass Zertifizierungskriterien hinreichend konkrete Vorgaben beinhalten müssen, die es ermöglichen, die Einhaltung gewisser Aspekte der DSGVO überprüfen zu können (vgl. hierzu ausführlich die EDSA Leitlinien 1/2018 für die Zertifizierung und Ermittlung von Zertifizierungskriterien nach den Artikeln 42 und 43 der Verordnung [EU] 2016/679 Version 3.0 Rz 32 ff).

Der vorgelegte Antrag enthält jedoch (nur) eine abstrakte Beschreibung des Vorhabens ohne hinreichend konkreter Vorgaben, die ein Verantwortlicher oder Auftragsverarbeiter bei der Datenverarbeitung (konkret: der vorgeschlagenen Methode für eine „Anonymisierung“) einzuhalten hat.

Der gegenständliche Antrag war daher auch deshalb zurückzuweisen.

D.4. Ergebnis

Aufgrund dieser Überlegungen erweist sich der gegenständliche Antrag auf Billigung von datenschutzrechtlichen Zertifizierungskriterien als unzulässig.

Der Antrag war daher spruchgemäß zurückzuweisen.

Dem Antragsteller steht es naturgemäß frei – unter Berücksichtigung der Ausführungen des gegenständlichen Bescheids – neuerlich einen Antrag auf Billigung von datenschutzrechtlichen Zertifizierungskriterien einzubringen.