- Stellt der EDÖB bei einem Hersteller von Datenbearbeitungssystemen oder -programmen, einem Verantwortlichen oder einem Auftragsbearbeiter, der über eine Zertifizierung verfügt, schwere Mängel fest, so informiert er die Zertifizierungsstelle darüber.
- Die Zertifizierungsstelle fordert den Hersteller von Datenbearbeitungssystemen oder -programmen, den Verantwortlichen oder den Auftragsbearbeiter unverzüglich auf, den Mangel innerhalb von 30 Tagen, nachdem sie vom EDÖB informiert wurde, zu beheben.
- Wird der Mangel nicht innerhalb von 30 Tagen behoben, so sistiert die Zertifizierungsstelle die Zertifizierung. Besteht keine Aussicht darauf, dass innerhalb eines angemessenen Zeitraums ein rechtskonformer Zustand geschaffen oder wiederhergestellt wird, so wird die Zertifizierung entzogen.
- Wird der Mangel nicht innerhalb der Frist nach Absatz 2 behoben und hat die Zertifizierungsstelle die Zertifizierung nicht sistiert oder entzogen, so trifft der EDÖB eine Massnahme nach Artikel 51 Absatz 1 DSG. Er kann namentlich anordnen, die Zertifizierung zu sistieren oder zu entziehen. Richtet er die Verfügung an die Zertifizierungsstelle, so informiert er die SAS darüber.