Wir sind sehr stolz darauf, dass uns das europäische Datenschutzgütesiegel EuroPriSe zur Datenschutz-Zertifizierung verliehen wird. Wir erklären, was EuroPriSe bedeutet, wie das Zertifizierungs-Verfahren abläuft und welche Schritte Unternehmen einhalten sollten, um das Gütesiegel zu erhalten.

Was bedeutet die EuroPriSe Zertifizierung?

EuroPriSe steht im Englischen für „European Privacy Seal“ und bedeutet übersetzt: „Europäisches Datenschutz-Gütesiegel“. EuroPriSe ist die einzige EU-weite, unabhängige Datenschutz-Zertifizierungsstelle für IT-Produkte und IT-basierende Dienstleistungen. Im Rahmen der Zertifizierungsverfahren erhalten IT-Dienstleistungen, IT-Produkte und Webseiten ein Gütesiegel, welches zur Bescheinigung der Einhaltung datenschutzkonformer Richtlinien dient.

Die heutige Basis für die Datenschutz-Zertifizierung bildet das europäische Datenschutzrecht mit den aktuellen Gesetzen der DSGVO (Datenschutz-Grundverordnung). Durch die DSGVO soll sichergestellt werden, dass personenbezogene Daten langfristig einem Schutz unterliegen.

Das Datenschutz-Gütesiegel wurde im Jahr 2007 von dem Unabhängigen Landeszentrum für Datenschutz (ULD) ins Leben gerufen und wurde seitdem zusätzlich von der Europäischen Union unterstützt. Seit 2005 hat TeamDrive bereits das ULD Datenschutzgütesiegel als höchstes unabhängiges Datenschutzzertifikat in Deutschland erhalten. Inzwischen liegt es in der Hand der Aufsichtsbehörde EuroPriSe GmbH. Die Aufsichtsbehörde hat ihren Sitz in Bonn und trägt heutzutage die komplette Verantwortung über das Zertifizierungsverfahren. Das ULD vergibt das Gütesiegel nur noch in Schleswig Holstein

Wofür steht das Gütesiegel?

Das Gütesiegel ermöglicht es IT-Unternehmen die Einhaltung aktueller Datenschutz-Vorgaben nachzuweisen. Damit können sich Firmen auf dem europäischen Markt besser behaupten und von Wettbewerbsvorteilen gegenüber Konkurrenten profitieren, welche keine Prüfungen zum Datenschutz vorgenommen haben.

Zusätzlich unterstützt die Zertifizierung, nach den aktuellen DSGVO-Anforderungen, Unternehmen die Qualität ihrer angebotenen Produkte und Dienstleistungen aufzuzeigen.

Nutzer und Kunden sollen sich darauf verlassen können, dass zertifizierte Produkte mit dem Datenschutz-Gütesiegel im Einklang mit der DSGVO stehen und rechtlichen Anforderungen unterliegen. Durch eine erhöhte Transparenz können demnach das Vertrauen der Kunden und Verbraucher sowie die gesamte Kundenbindung gesteigert werden.

Insgesamt besteht das große europäische Ziel, den Markt für datenschutzkonforme Technologien zu fördern und ein generelles Vertrauen in die IT-Sicherheit aufzubauen.

Das geschieht bei der Zertifizierung

Alle Hersteller und Dienstleister, welche das Datenschutz-Gütesiegel erhalten möchten, müssen zunächst akkreditierte Zertifizierungsstellen kontaktieren. Die Auditstellen müssen durch die EuroPrise GmbH zugelassen sein und bestehen aus Prüfungsteams bzw. Gutachtern, die auch als „Experts“ bezeichnet werden.

Anschließend beginnt ein zweistufiges Zertifizierungs-Verfahren. Hier prüft der zugewiesene Gutachter organisatorische Maßnahmen zum Datenschutz, welche das entsprechende Unternehmen eingerichtet hat. Die Kriterien werden hinsichtlich rechtlicher und technischer Aspekte geprüft.

Die Basis dafür bieten ausreichende und aussagekräftige Informationen zum Datenschutz, Sicherheitskonzepte und Testdokumentationen, welche das zu zertifizierende Unternehmen bis zum Audit eingerichtet hat. Kann die jeweilige IT-Firma alle Gütesiegel-Anforderungen des Gutachtens erfüllen, erteilt die Aufsichtsbehörde das Zertifikat.

So lange gilt die Zertifizierung – Überprüfung des Gütesiegels

Ab dem Zeitpunkt der Zertifizierung ist das Datenschutz-Gütesiegel zwei Jahre lang gültig und kann anschließend in den jeweiligen Zertifizierungsstellen neu beantragt bzw. „rezertifiziert“ werden.

Während dieser Zeit sind die Firmen dazu verpflichtet, Datenschutz relevante Veränderungen mitzuteilen. Hier ist darauf zu achten, dass mögliche Neuheiten noch den Richtlinien der DSGVO entsprechen und diese gewährleisten. Des Weiteren darf sich währenddessen nichts an der IT-Sicherheit der Daten geändert haben.

Sollten beispielsweise größere Software-Überarbeitungen, Funktionserweiterungen oder Neuerungen von Sicherheitskriterien vorliegen, müssen sich die jeweiligen Anbieter im Rahmen eines „Monitoring-Verfahrens“ bzw. „Überwachungs-Audits“ die Änderungen erneut von den Zertifizierungsstellen bzw. Aufsichtsbehörden überprüfen lassen.

Diese Unternehmen können mit dem Gütesiegel zertifiziert werden

Die Bandbreite der in Betracht kommenden Firmen und Dienste ist groß. Von Online-Shops, über verschlüsselte Cloud-Dienste und Cloud Computing, soziale Netzwerke bis hin zu digitalen Foto-Portalen – eine große Palette von Online-Diensten kommt für das „European Privacy Seal“-Zertifikat infrage. Hier ist es unerheblich, ob die jeweiligen Anbieter selbst personenbezogene Informationen verwenden oder lediglich Auftragsdaten verarbeiten. Handelt es sich bei den IT-basierten Dienstleistungen und Produkten um Hardware oder Software, spielt ebenfalls keine Rolle. Wichtig ist, dass sich die Firmen an die aktuellen Anforderungen der DSGVO halten. Sonst stehen die Chancen für das Zertifikat mit dem Datenschutz-Gütesiegel eher schlecht.

So läuft die EuroPrise Zertifizierung ab

Das Verfahren zur Zertifizierung teilt sich in zwei Stufen auf. Im ersten Schritt (= „Stage 1-Audit„) muss sich der Antragsteller für den aktuellen Zertifizierungs-Gegenstand entscheiden. Das kann eine Software bzw. ein digitales Produkt oder ein IT-basierter Dienst sein.

Daraufhin beauftragt der Gütesiegel-Interessent ein geeignetes Unternehmen, welches die Prüfung anbietet. Für die Auswahl kann ein öffentliches Register aller akkreditierten Gutachter herangezogen werden. Anschließend erfolgt ein Erstgespräch mit dem Gutachter, worin Fragen und die einzelnen Punkte des Verfahrens besprochen werden. Erst danach kann das Antragsformular „Application for Certification“ bei der Aufsichtsbehörde eingereicht werden.

Das offizielle Verfahren bzw. Schritt 2 startet erst dann, wenn die zuständige Aufsichtsbehörde Informationen darüber erhält, welche Evaluierungsmethoden der Sachverständige durchführen wird. Das können beispielsweise Dokumenten-Prüfungen, Vorort-Termine und Workshops sein. Nach der Evaluierung erstellt der Gutachter einen Prüfbericht. Wurden alle Kriterien vollständig geprüft und nachvollziehbar sowie einheitlich eingehalten, wird das Zertifikat von der zuständigen Aufsichtsbehörde verliehen. Zertifizierte Unternehmen werden auf der EuroPriSe-Webseite veröffentlicht.

Wie Unternehmen das Gütesiegel erhalten können

Um die Zertifizierung erfolgreich zu bestehen, ist es bereits vor dem Beginn des Verfahrens zu empfehlen, dass sich die Antragsteller einen Überblick darüber verschaffen, ob ihr Unternehmen alle Richtlinien der DSGVO zur Datensicherung und zum Datenschutz grundlegend einhält.

Nach der sorgfältigen Auswahl des Gutachters ist es ratsam ein frühzeitiges Erstgespräch vorzunehmen, um alle nötigen Fragen zu klären. Hier sollten Sie stichhaltige Aussagen über Ihr Produkt bzw. Ihre Dienstleistung zur Verfügung stellen.

Nach dem Gespräch können im Rahmen der Antragstellung Optimierungen der IT-Produkte und Dienstleistungen vorgenommen werden. Wichtig ist es alle notwendigen Vorgaben der Prüfstelle einzuhalten. Bleiben Sie außerdem im Austausch mit Ihrem Gutachter, denn dann stehen die Chancen sehr gut, das Datenschutz-Gütesiegel der EuroPriSe GmbH zu erhalten.

TeamDrive erhält das Datenschutz-Gütesiegel EuroPriSe

TeamDrive unterzieht sich regelmäßigen umfangreichen Tests. Am 20.01.2020 war es dann soweit – TeamDrive hat das Datenschutz-Gütesiegel erhalten. Damit ist sichergestellt, dass TeamDrive alle Richtlinien der DSGVO zur Datensicherung und zum Datenschutz erfüllt.