31. Juli 2008 - Das europäische Datenschutz-Gütesiegel EuroPriSe

Prädikat: besonders vertrauenswürdig

Das europäische Datenschutz-Gütesiegel – European Privacy Seal (EuroPriSe) – bestätigt, dass ein IT-Angebot in Vereinbarkeit mit europäischem Datenschutzrecht eingesetzt werden kann. Datenschutzrechtlich korrekte und technisch sichere Produkte, etwa Internet-Angebote aus dem Gesundheitsbereich oder bei der Kundendatenverarbeitung, sollen dadurch einen Wettbewerbsvorteil erhalten.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Das EU-Projekt EuroPriSe ist ein europäisches Datenschutz-Gütesiegel für IT-Produkte und IT-Dienstleistungen.

Führender Partner und Leiter des Projekts ist das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD).

Pilotprojekt in verschiedenen Ländern

Im Moment läuft das Pilotprojekt in verschiedenen Mitgliedsstaaten der Europäischen Union wie Deutschland, Österreich, Großbritannien, Slowakei, Spanien und Schweden.

Bei der Zertifizierung muss nicht immer ein Gesamtprodukt geprüft werden. Es ist möglich, abgeschlossene Teile eines Produkts oder einer Dienstleistung zu zertifizieren.

Der Zertifizierungsablauf im Überblick
    1. Zunächst muss der Interessent einen rechtlichen und einen technischen Experten aus dem Pool der zertifizierten Experten von EuroPriSe auswählen. Eine Liste der zuge-lassenen Experten des Pilotprojekts finden Sie auf der Website http://www.european-privacy-seal.eu/experts/pilot-experts. Während der Pilotphase ist die Zertifizierung durch das EuroPriSe-Team selbst kostenlos, nur die Experten sind zu bezahlen.
    2. Nachdem die Experten kontaktiert wurden, wird mit ihnen eine Zertifizierungsvereinbarung geschlossen. Die Evaluierungsschritte, die in einem gesonderten Katalog aufgelistet sind, werden gemeinsam mit den Experten besprochen.
    3. Im dritten Schritt sollte ein erster Kontakt mit dem ULD vereinbart werden. Er soll abklären, ob das Produkt oder die Dienstleistung aus Sicht von EuroPriSe überhaupt zertifizierungsfähig ist.

Die Experten prüfen danach entsprechend den Vorgaben des Katalogs die einzelnen Punkte der Evaluierung des IT-Produkts und/oder der IT-Dienstleistung.

  1. Als weiterer Schritt muss die Zertifizierung beim ULD beantragt werden. Das entsprechende Formular ist online unter http://www.european-privacy-seal.eu abrufbar.
  2. Der nächste Schritt ist, dass das EuroPriSe-Konsortium das IT-Produkt oder die IT-Dienstleistung für die Pilotzertifizierung zulässt.
  3. Sind all diese Schritte erledigt, hat der Hersteller des Produkts die Zertifizierungsvereinbarung mit den Experten, den Evaluierungsreport sowie einen kurzen öffentlichen Bericht beim ULD einzureichen.
  4. Jetzt prüft das ULD den Expertenbericht und entscheidet, ob das Gütesiegel überreicht werden kann oder nicht.

Zwei-Phasen-Zertifizierung

Die Zertifizierung erfolgt in Form einer „Zwei-Phasen-Zertifizierung“. Zunächst findet eine Evaluierung der Produkte durch zugelassene technische und juristische Experten statt.

Anschließend wird der Evaluierungsbericht der Experten durch ein unabhängiges Beurkundungsteam – derzeit durch das ULD – überprüft.

Die Experten prüfen zunächst die grundsätzlichen Aspekte

Der erste Teil des Evaluierungsberichts gibt einen Überblick über die rechtlichen Aspekte des Produkts. Es werden die grundsätzlichen Aspekte der Datenverarbeitung geprüft wie

  • Zweck der Verarbeitung
  • Liste der verarbeiteten Daten
  • Benennung des Auftraggebers
  • Vorliegen etwaiger internationaler Übermittlungen
  • Einhaltung der Prinzipien der Datenvermeidung und -minimierung

Im 2. Schritt geht es in die Details

Im nächsten Schritt werden die folgenden Punkte geprüft:

Zulässigkeit der Datenverarbeitung

Als Erstes wird die Zulässigkeit der Datenverarbeitung untersucht. Dazu sind Angaben über die rechtlichen Grundlagen der Verarbeitung der personenbezogenen Daten zu machen, etwa ob die Verarbeitung auf Grundlage einer Zustimmung der betroffenen Person oder aufgrund der Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erfolgt.

Spezielle Anforderungen an die Datenverarbeitung

In diesem Unterpunkt werden Fragen zum Thema Datensammlung, interne Datenoffenlegung, Offenlegung der Daten an Dritte sowie Datenlöschung geprüft und beantwortet.

Übereinstimmung mit den allgemeinen Datenverarbeitungsprinzipien

Es wird geprüft, ob die verarbeiteten Daten zweckentsprechend spezifiziert und eingeschränkt sind. Daneben wird gefragt, ob es Dienstleister in Drittstaaten (= Nicht-Mitgliedstaaten der EU) gibt und ob Daten an sie übermittelt werden.

Spezielle Datenverarbeitungstypen

Es wird abgeklärt, ob ein Informationsverbundsystem oder andere spezielle Typen der Datenverarbeitung vorliegen und ob die erforderlichen Voraussetzungen vorliegen.

Formalitäten

In diesem Punkt wird die Erfüllung der Formalvoraussetzungen (wie die Erfordernis einer Meldung an oder Genehmigung der Datenschutzbehörde) in den einzelnen Staaten untersucht.

Technisch-organisatorische Begutachtung

Hier werden allgemeine technische Angaben gemacht. Etwa zur Verhinderung eines unerlaubten Datenzugriffs, zur Verwendung von Passwörtern, zur Netzwerksicherheit, zu den Backup-Regelungen oder zur Datenlöschung.

Daneben wird einerseits die Verschlüsselung genau unter die Lupe genommen. Andererseits untersuchen die Experten eine etwaige Pseudonymisierung und Anonymisierung sowie die technischen Datensicherheitsmaßnahmen und die Datentransparenz.

Sie kontrollieren, ob das geprüfte Produkt oder die Dienstleistung die Rechte der Betroffenen nach der EU-Datenschutzrichtlinie gewährleistet.

Zertifizierung durch EuroPriSe-Team

Der fertige Evaluierungsbericht wird beim ULD eingereicht. Das ULD überprüft ihn in der zweiten Zertifizierungsphase. Es kann den Bericht bestätigen, Klärungen verlangen oder zusätzliche Informationen anfordern.

Sollte das ULD der Ansicht sein, die Evaluierung sei fehlerhaft oder unvollständig oder das Produkt erfülle die Voraussetzungen nicht, kann es das Gütesiegel verweigern.

Den Schlusspunkt bildet die öffent­liche Verleihung des Gütesiegels

Wenn auch die EuroPriSe-Autorität zur Ansicht gelangt, dass das zertifizierte Produkt oder die Dienstleistung den Anforderungen des Gütesiegels entspricht, so wird in einer feierlichen öffentlichen Zeremonie das „Europäische Gütesiegel“ überreicht. Es bleibt dann zwei Jahre lang gültig.

Lisa-Maria Fidesser, Dr. Rainer Knyrim
Mag. Lisa-Maria Fidesser ist Rechtsanwaltsanwärterin bei Preslmayr Rechtsanwälte OG. RA Dr. Rainer Knyrim ist Partner bei Preslmayr Rechtsanwälte OG (knyrim@preslmayr.at).

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln