Seite 2 Zusammenfassende Bewertung: Die BAK erhebt gegen den Entwurf keinen Einwand, er- laubt sich aber, im Folgenden einige Anregungen zu geben, die der Klarstellung und Trans- parenz gegenüber interessierten Betroffenen dienen. Anmerkungen Zu § 4 Abs 1 (Akkreditierungsverfahren): Um akkreditiert zu werden und die Funktion einer Zertifizierungsstelle auszuüben, bedarf es eines schriftlichen Antrages an die Datenschutz- behörde als zuständige Aufsichtsbehörde. Im Akkreditierungsverfahren ist nicht angeführt, ob im Falle einer Absage ein neuerlicher Antrag möglich ist und wenn ja, in welchem Zeitraum. Zu § 4 Abs 6 (Akkreditierungsverfahren): Es wird begrüßt, dass der maximale Geltungs- zeitraum für Akkreditierungen nach der DSGVO nicht undifferenziert übernommen wird. Die vorgenommene Unterscheidung in einen grundsätzlichen Zeitraum von fünf Jahren, von dem zugunsten von 3 Jahren abgewichen werden kann, erscheint zweckmäßig. Auf diese Weise kann darauf geachtet werden, ob Zertifizierungsverfahren auch in Hinblick auf Prüfschema und Technik noch der Marktentwicklung entsprechen. Der kürzere Zeitraum ist vorgesehen, wenn sich „der Gegenstand der Akkreditierung auf die Verarbeitung besonderer Kategorien personenbezogener Daten bezieht“. Weitere Ausnahmen für „heikle“ Datenanwendungen wären sachgerecht (bei Verarbeitungen, die allgemein einer Folgenabschätzung unterliegen, bei massenhaft verarbeiteten Daten, strafrechtsrelevanten Daten etc). Zu § 6 Abs 4 (Fachwissen): Die juristischen und technischen Fachkenntnisse können auch in Form einer mindestens fünfjährigen einschlägigen Berufserfahrung nachgewiesen werden. Hier wäre es wünschenswert, die einschlägige Berufserfahrung näher zu konkretisieren. Zu § 8 Abs 1 (Zertifizierungsverfahren): Die Zertifizierung erfolgt auf Grundlage eines An- trags des Zertifizierungswerbers an die Zertifizierungsstelle; es wird nicht ausgeführt, ob und wann im Falle einer Absage ein erneuter Antrag vom Zertifizierungswerber möglich ist. Zu § 13 Abs 2 lit 4 (Zertifizierungsentscheidung): Die schriftliche Bescheinigung im Falle der Zertifizierung hat folgende Angaben zu enthalten: Den Geltungsbereich der Zertifizierung und eine aussagekräftige Beschreibung des Zertifizierungsgegenstandes. „Aussagekräftige Beschreibung“ ist etwas vage formuliert. Außerdem ist in den Erläuterungen zu § 4 Abs 3 Z 2 angeführt, dass klar ersichtlich sein muss, welche konkreten Verarbeitungsvorgänge Gegen- stand der Zertifizierung sind und welche Komponenten bewertet werden. Die Formulierung „konkrete Verarbeitungsvorgänge“ sollte auch im Normtext verwendet werden. Zu § 15 (Zertifizierungsverzeichnis): Die Zertifizierungsstelle hat eine Zusammenfassung der Bewertungsberichte in geeigneter Form zu veröffentlichen und auf Anfrage bereitzustellen. Ziel der Zertifizierung ist es, Betroffenen einen raschen Überblick über das Datenschutzniveau eines Produktes oder Dienstes zu ermöglichen. Vor diesem Hintergrund sollte ein zentrales Zertifizierungsverzeichnis bei der Datenschutzbehörde eingerichtet und für jedermann abrufbar sein. Sollten Interessierte doch nur an die Verzeichnisse einzelner