- Stellen, die Datenschutzzertifizierungen nach Artikel 13 DSG durchführen (Zertifizierungsstellen), müssen akkreditiert sein. Die Akkreditierung richtet sich nach der Akkreditierungs- und Bezeichnungsverordnung vom 17. Juni 1996[2] (AkkBV), soweit die vorliegende Verordnung keine abweichenden Vorschriften enthält.
- Je eine separate Akkreditierung ist erforderlich für die Zertifizierung:
- der Organisation und der Verfahren (Managementsysteme) im Zusammenhang mit Datenbearbeitungen;
- von Produkten, namentlich Datenbearbeitungssystemen oder -programmen und Hardware, sowie von Dienstleistungen und Prozessen im Zusammenhang mit Datenbearbeitungen.
- Die Zertifizierungsstellen müssen über eine festgelegte Organisation sowie ein festgelegtes Zertifizierungsverfahren (Zertifizierungsprogramm) verfügen.
- Die Mindestanforderungen an die Qualifikation des Personals, das Zertifizierungen durchführt, richten sich nach dem Anhang. Die Zertifizierungsstellen müssen nachweisen, dass sie über entsprechend diesen Kriterien qualifiziertes Personal verfügen.
