Amtliche Mitteilung: Keine Nutzungspflicht der Datenbank IAF-CertSearch
I.
Gemäß dem IAF-Dokument „IAF MD 28:2023“, das seit Oktober 2024 in Kraft ist, soll die Datenbank „iafcertsearch.org“ von Zertifizierungsstellen nach den Vorgaben von IAF genutzt werden.
Die DAkkS stellt hiermit klar, dass sie die Anforderungen des IAF MD 28:2023 im Akkreditierungsverfahren für akkreditierte Stellen nicht berücksichtigt. Die Nichtanwendung durch nach ISO/IEC 17021-1 akkreditierte Zertifizierungsstellen mit Sitz in Deutschland führt daher nicht zu Beanstandungen durch die DAkkS im Akkreditierungsverfahren.
II.
Die DAkkS weist zudem darauf hin, dass eine freiwillige Veröffentlichung von Zertifikatsdaten auf iafcertsearch.org und damit eine Speicherung in einem Drittstaat akkreditierungsrechtlich unzulässig sein kann. Die Konformitätsbewertungsstellen sind aufgefordert, die rechtliche Zulässigkeit sorgfältig rechtlich zu prüfen, bevor eine Veröffentlichung auf iafcertsearch.org vorgenommen wird.
Hinweise
Dazu gibt die DAkkS folgende Hinweise:
A.
Grundsätzlich unterliegen akkreditierte Konformitätsbewertungsstellen einer strikten Vertraulichkeitspflicht. So regelt Ziffer 4.6 ISO/IEC 17021-1 (Vertraulichkeit)
„Um bevorrechtigten Zugang zu Informationen zu erhalten, ist es unbedingt erforderlich, dass eine Zertifizierungsstelle keine vertraulichen Informationen offenlegt.“
Ziffer 8.4.3 ISO/IEC 17021-1 lautet: „Informationen über einen bestimmten zertifizierten Kunden oder eine Person dürfen ohne schriftliches Einverständnis des betreffenden zertifizierten Kunden oder der betreffenden Person Dritten nicht offengelegt werden (…)“
Die Konformitätsbewertungsstelle darf also Informationen aus dem Zertifizierungsprozess, wie Auditberichte (Ziffer 9.4.8 ISO/IEC 17021-1) oder die Zertifizierungsdokumente (Ziffer 8.2 ISO/IEC 17021-1) nicht allgemein öffentlich zugänglich machen oder an Dritte übertragen.
Eine Weitergabe von Zertifikatsdaten (Ziffer 8.2 ISO/IEC 17021-1) an die IAF Database LLC in den USA und die Weiterübertragung an die Firma QUALITY TRADE PTY. LTD. über die Internetseite iafcertsearch.org wäre unzulässig, sofern kein schriftliches Einverständnis des Kunden vorliegt und dieser auf sein Recht auf Vertraulichkeit verzichtet und die Bedingungen der Fa. IAF Database LLC und Fa. QUALITY TRADE PTY. LTD. akzeptiert hat.
B.
Wenn eine Konformitätsbewertungsstelle auf ihrer Website eine Gültigkeitsverifikation von Zertifikaten anbieten will, muss ein Prozess etabliert werden, mit dem sie in jedem Einzelfall das berechtigte Interesse der anfragenden Person überprüfen kann.
Ziffer 8.1.2 lautet deshalb: „Die Zertifizierungsstelle muss auf Anfrage Informationen zur Verfügung stellen (…)“
Im Rahmen der „Anfrage“ ist das „berechtigte Interesse“ des Anfragenden zu klären. Die Vertraulichkeitsabrede zwischen Zertifizierungsstelle und Kunde muss dann vertraglich wirksam auf den über die Datenbank der Zertifizierungsstelle Anfragenden übertragen werden. Bei Auslandsbezug sind die rechtliche Wirksamkeit einer vertraglichen Abrede und eine gerichtliche Durchsetzbarkeit gesondert zu prüfen und zu dokumentieren. Eine Veröffentlichung von Zertifikatsdaten (Ziffer 8.2 ISO/IEC 17021-1) ohne einen solchen Abfrageprozess kommt nur in nichtsicherheitskritischen Bereichen und nur dann in Betracht, wenn der Kunde der Zertifizierungsstelle ausdrücklich im Vertrag gemäß Ziffer 5.1.2 (Zertifizierungsvereinbarung) diesem Vorgehen vorab zugestimmt hat.
Die bisherige Praxis, mit dem Kunden vertraglich vereinbaren zu können, dass aus der Tatsache, dass der Anfragende ein Identifizierungsmerkmal (Kennnummer) besitzt, auf dessen berechtigte Interessen geschlossen werden kann, ist unverändert zulässig.
In sicherheitskritischen Bereichen kann sich die Zertifizierungsstelle regelmäßig nicht auf die Anmerkung 2 zu Ziffer 8.1.2 berufen, denn soweit die Zertifikatsdaten gemäß Ziffer 8.2 ISO/IEC 17021-1 Informationen wiedergeben wie:
- den Namen und den geographischen Ort des zertifizierten Kunden
- den geographischen Ort des Hauptsitzes und jeden Standorts innerhalb des Geltungsbereichs einer Mehrfach-Standort-Zertifizierung
- den eindeutigen und unmissverständlichen Geltungsbereich der Zertifizierung im Hinblick auf Tätigkeiten, Produkte und Dienstleistungen soweit an dem jeweiligen Standort anwendbar
und es sich bei dem zertifizierten Kunden z. B. um eine Kritische Infrastruktur im Sinne der BSI-Kritisverordnung vom 22. April 2016 (BGBl. I S. 958, BGBl. 2023 I Nr. 339) oder um eine Einrichtung der Bundeswehr / des BMVg oder um ein Rüstungsunternehmen handelt, muss in jeden Fall der KRITIS Betreiber bzw. die Einrichtung mit Relevanz für die Landes- und Bündnisverteidigung die Möglichkeit erhalten, ihre zuständigen Sicherheitsbehörden im Hinblick auf die Beurteilung des Risikos der Veröffentlichung oder Weitergabe von Zertifikatsdaten vorab zu konsultieren (vgl. Anmerkung 1 zu Ziffer 8.1.2 ISO/IEC 17021-1).
Als besonders sensibel werden folgende Zertifizierungsprogramme bewertet:
- ISO 9001 Qualitätsmanagementsysteme in den EA-Branchencodes:
11. Herstellung und Verarbeitung von Spalt- und Brutstoffen
21. Luft- und Raumfahrzeugbau
25. Elektrizitätsversorgung
26. Gasversorgung
27. Wasserversorgung, Fernwärmeversorgung
31. Verkehr- und Nachrichtenübermittlung
32. Kredit- und Versicherungsgewerbe, Grundstücks- und Wohnungswesen, Vermietung beweglicher Sachen (ohne Bedienungspersonal)
33. Datenverarbeitung, Informationstechnik
36. Öffentliche Verwaltung, Verteidigung, Sozialversicherung
38. Gesundheits-, Veterinär- und Sozialwesen
39. Erbringung von sonstigen öffentlichen und persönlichen Dienstleistungen und bei KRITIS und Einrichtungen der Bundeswehr oder Rüstungsindustrie oder deren Zulieferern
- ISO/IEC 27001 Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme
- ISO 50001 Energiemanagementsysteme
- EN 9104-001 Luft- und Raumfahrt – Qualitätsmanagementsysteme
- ISO 19443 Qualitätsmanagementsysteme für Organisationen in der Lieferkette auf dem Sektor der Kernenergie
- ISO 13485 Medizinprodukte – Qualitätsmanagementsysteme – Anforderungen für regulatorische Zwecke
- DIN EN 15224 Qualitätsmanagementsysteme für die Gesundheitsversorgung
- ISO 7101 Qualitätsmanagementsysteme im Gesundheitswesen
- ISO/IEC 42001 Informationstechnik – Künstliche Intelligenz – Managementsystem
- DIN EN ISO 22163 Bahnanwendungen – Eisenbahn-Qualitätsmanagementsystem
- DIN EN ISO 22301 Sicherheit und Resilienz – Business Continuity Management System
- DIN EN ISO 22000 Managementsysteme für die Lebensmittelsicherheit
- DIN EN ISO 41001 Facility Management – Managementsysteme
- DIN EN ISO 29001 Erdöl-, petrochemische und Erdgasindustrie – Sektorspezifische Qualitätsmanagementsysteme
Die Zertifizierungsstellen müssen sowohl mit den Kunden als auch mit den zuständigen Aufsichtsbehörden vor der Veröffentlichung von Daten auf iafcertsearch.org deren Zulässigkeit abklären und dokumentieren.
Ing. Prof. Dr. iur. Raoul Kirmes
Leiter Stabsbereich Akkreditierungsgovernance, Forschung und Innovation