Artikel 43

Zertifizierungsstellen

(1)   Unbeschadet der Aufgaben und Befugnisse der zustĂ€ndigen Aufsichtsbehörde gemĂ€ĂŸ den Artikeln 57 und 58 erteilen oder verlĂ€ngern Zertifizierungsstellen, die ĂŒber das geeignete Fachwissen hinsichtlich des Datenschutzes verfĂŒgen, nach Unterrichtung der Aufsichtsbehörde — damit diese erforderlichenfalls von ihren Befugnissen gemĂ€ĂŸ Artikel 58 Absatz 2 Buchstabe h Gebrauch machen kann — die Zertifizierung. Die Mitgliedstaaten stellen sicher, dass diese Zertifizierungsstellen von einer oder beiden der folgenden Stellen akkreditiert werden:

  • a) der gemĂ€ĂŸ Artikel 55 oder 56 zustĂ€ndigen Aufsichtsbehörde;
  • b) der nationalen Akkreditierungsstelle, die gemĂ€ĂŸ der Verordnung (EG) Nr. 765/2008 des EuropĂ€ischen Parlaments und des Rates (20) im Einklang mit EN-ISO/IEC 17065/2012 und mit den zusĂ€tzlichen von der gemĂ€ĂŸ Artikel 55 oder 56 zustĂ€ndigen Aufsichtsbehörde festgelegten Anforderungen benannt wurde.
  • (2)   Zertifizierungsstellen nach Absatz 1 dĂŒrfen nur dann gemĂ€ĂŸ dem genannten Absatz akkreditiert werden, wenn sie
  • a) ihre UnabhĂ€ngigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Zertifizierung zur Zufriedenheit der zustĂ€ndigen Aufsichtsbehörde nachgewiesen haben;
  • b) sich verpflichtet haben, die Kriterien nach Artikel 42 Absatz 5, die von der gemĂ€ĂŸ Artikel 55 oder 56 zustĂ€ndigen Aufsichtsbehörde oder — gemĂ€ĂŸ Artikel 63 — von dem Ausschuss genehmigt wurden, einzuhalten;
  • c) Verfahren fĂŒr die Erteilung, die regelmĂ€ĂŸige ÜberprĂŒfung und den Widerruf der Datenschutzzertifizierung sowie der Datenschutzsiegel und -prĂŒfzeichen festgelegt haben;
  • d) Verfahren und Strukturen festgelegt haben, mit denen sie Beschwerden ĂŒber Verletzungen der Zertifizierung oder die Art und Weise, in der die Zertifizierung von dem Verantwortlichen oder dem Auftragsverarbeiter umgesetzt wird oder wurde, nachgehen und diese Verfahren und Strukturen fĂŒr betroffene Personen und die Öffentlichkeit transparent machen, und
  • e) zur Zufriedenheit der zustĂ€ndigen Aufsichtsbehörde nachgewiesen haben, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt fĂŒhren.
  • (3)   Die Akkreditierung von Zertifizierungsstellen nach den AbsĂ€tzen 1 und 2 erfolgt anhand der Kriterien, die von der gemĂ€ĂŸ Artikel 55 oder 56 zustĂ€ndigen Aufsichtsbehörde oder — gemĂ€ĂŸ Artikel 63 — von dem Ausschuss genehmigt wurden. Im Fall einer Akkreditierung nach Absatz 1 Buchstabe b des vorliegenden Artikels ergĂ€nzen diese Anforderungen diejenigen, die in der Verordnung (EG) Nr. 765/2008 und in den technischen Vorschriften, in denen die Methoden und Verfahren der Zertifizierungsstellen beschrieben werden, vorgesehen sind.
  • (4)   Die Zertifizierungsstellen nach Absatz 1 sind unbeschadet der Verantwortung, die der Verantwortliche oder der Auftragsverarbeiter fĂŒr die Einhaltung dieser Verordnung hat, fĂŒr die angemessene Bewertung, die der Zertifizierung oder dem Widerruf einer Zertifizierung zugrunde liegt, verantwortlich. Die Akkreditierung wird fĂŒr eine Höchstdauer von fĂŒnf Jahren erteilt und kann unter denselben Bedingungen verlĂ€ngert werden, sofern die Zertifizierungsstelle die Anforderungen dieses Artikels erfĂŒllt.
  • (5)   Die Zertifizierungsstellen nach Absatz 1 teilen den zustĂ€ndigen Aufsichtsbehörden die GrĂŒnde fĂŒr die Erteilung oder den Widerruf der beantragten Zertifizierung mit.
  • (6)   Die Anforderungen nach Absatz 3 des vorliegenden Artikels und die Kriterien nach Artikel 42 Absatz 5 werden von der Aufsichtsbehörde in leicht zugĂ€nglicher Form veröffentlicht. Die Aufsichtsbehörden ĂŒbermitteln diese Anforderungen und Kriterien auch dem Ausschuss. Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel in ein Register auf und veröffentlicht sie in geeigneter Weise.
  • (7)   Unbeschadet des Kapitels VIII widerruft die zustĂ€ndige Aufsichtsbehörde oder die nationale Akkreditierungsstelle die Akkreditierung einer Zertifizierungsstelle nach Absatz 1, wenn die Voraussetzungen fĂŒr die Akkreditierung nicht oder nicht mehr erfĂŒllt sind oder wenn eine Zertifizierungsstelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind.
  • (8)   Der Kommission wird die Befugnis ĂŒbertragen, gemĂ€ĂŸ Artikel 92 delegierte Rechtsakte zu erlassen, um die Anforderungen festzulegen, die fĂŒr die in Artikel 42 Absatz 1 genannten datenschutzspezifischen Zertifizierungsverfahren zu berĂŒcksichtigen sind.
  • (9)   Die Kommission kann DurchfĂŒhrungsrechtsakte erlassen, mit denen technische Standards fĂŒr Zertifizierungsverfahren und Datenschutzsiegel und -prĂŒfzeichen sowie Mechanismen zur Förderung und Anerkennung dieser Zertifizierungsverfahren und Datenschutzsiegel und -prĂŒfzeichen festgelegt werden. Diese DurchfĂŒhrungsrechtsakte werden gemĂ€ĂŸ dem in Artikel 93 Absatz 2 genannten PrĂŒfverfahren erlassen.