Datenschutz-Gütesiegel

 

Über die ePrivacycert GmbH bieten wir unseren Kunden in Kürze ein staatlich anerkanntes Datenschutz-Gütesiegel.

Das Datenschutz-Siegel „ePrivacycert“ befindet sich zur Zeit im Prozess der staatlichen Anerkennung. Es wird von der ePrivacycert GmbH, einer zukünftig akkreditierten Zertifizierungsstelle, vergeben. Es entspricht den Anforderungen der DSGVO und wird deshalb auch die in den Art. 42 ff. DSGVO festgelegten Rechtsfolgen haben.

 

Was bedeutet Akkreditierung?

Verlässlichkeit durch Konformitätsprüfung

Die Anforderungen an die Qualität von Datenschutz-Siegeln steigen täglich. Objektive Prüfungen und Zertifizierungen gewinnen zunehmend an Bedeutung.

Diese Bewertungen stellen sicher, dass die überprüften Produkte, Verfahren, Dienstleistungen oder Systeme hinsichtlich ihrer Qualität und Sicherheit verlässlich sind, sie einem technischen Mindestniveau entsprechen und mit den Vorgaben entsprechender Normen, Richtlinien und Gesetze konform sind. Diese objektiven Bestätigungen werden als „Konformitätsbewertung“ bezeichnet.

Zentrale Voraussetzung für einen zugelassenen Zertifizierungsmechanismus ist zunächst die Überprüfung des Zertifizierungsprogramms. Dieser erste Schritt auf dem Weg zu einem staatlich anerkannten Datenschutz-Siegel ist die Bestätigung des Konformitätsbewertungsprogrammes durch die Deutsche Akkreditierungsstelle (DAkkS).

Diesen wesentlichen Meilenstein auf dem Weg zu einem staatlichen Siegel, hat die ePrivacycert GmbH erreicht. Die Bestätigung der DAkkS haben wir bereits 2020 erhalten.

Weitere Schritte zum Datenschutzsiegel „ePrivacycert“

In einem nächsten Schritt prüft nun die für uns zuständige Datenschutzbehörde Hamburg das Programm inhaltlich. Liegen die Ergebnisse vor, kann die abschließende Bestätigung durch den Europäischen Datenschutz-Ausschuss eingeholt werden.

Sobald die ePrivacy Gruppe weitere Meilensteine in der staatlichen Anerkennung des ePrivacycert-Datenschutzsiegels erreicht hat, werden wir Sie an dieser Stelle informieren.

 

Zertifizierung mit dem staatlich anerkannten Datenschutz-Gütesiegel „ePrivacycert“

1.    Pre-Assessment (=„Ready for certification“)

Das neue Siegel erfordert die Durchführung eines sogenannten „Pre-Assessments“. Mit diesem wird die Zertifizierungsfähigkeit des zu untersuchenden Produktes bzw. der Dienstleistung vorbereitet („ready for certification“).

Der Prozess des „Pre-Assessments“ für das „ePrivacycert-Siegel“ enthält dieselben Anforderungen, die aktuell im Rahmen der Prüfung und Zertifizierung für das bestehende Datenschutz-Siegel „ePrivacyseal“ gestellt werden.

Durchläuft ein Antragsteller das Verfahren für das „ePrivacyseal“ also erfolgreich, erspart er sich später ein weiteres, zeitintensives „Pre-Assessment“ für das staatliche Gütesiegel „ePrivacycert“. Für unsere Kunden bedeutet dies erhebliche Kosten- und Zeitvorteile bei der Erlangung des staatlichen Gütesiegels. Denn sobald das staatlich anerkannte Siegel erworben werden kann, haben „ePrivacyseal“ Kunden den Vorteil, das Pre-Assessment bereits erfolgreich abgeschlossen zu haben.

Auch Sie können schon in Kürze mit ePrivacy zusammen das Pre-Assessment beginnen. Sprechen Sie uns dazu gerne an.

2.    Zertifizierung

Nach Abschluss des „Pre-Assessments“ wird von den unabhängigen Auditoren der ePrivacycert geprüft, ob die Datenverarbeitungsprozesse des Produktes bzw. der Dienstleistung mit dem staatlichen Datenschutz-Siegel zertifiziert werden können.

Diese Prüfung kann durchgeführt werden, sobald das Datenschutz-Siegel „ePrivacycert“ staatlich anerkannt ist.

Zertifizierungsprozess für das Datenschutz-Gütesiegel „ePrivacycert“

Die Auditierung und die spätere Zertifizierung werden organisatorisch getrennt durchgeführt, die Teams sind personell unabhängig voneinander. Der Zertifizierungsprozess entspricht den Anforderungen der DSGVO: Veröffentlichung der Kriterienkataloge, Akkreditierung von Gutachtern, Veröffentlichung und Begründung der Siegelverleihungen, Trennung von Audit und Zertifizierung (zweistufiger Prozess). Im Rahmen der Tätigkeiten der ePrivacycert findet keine Beratung statt.

Der Audit- und Zertifizierungsprozess wird gemäß der Zertifizierordnung der ePrivacycert in der jeweils gültigen Fassung folgendermaßen durchgeführt:

1.  Erfassung des Status Quo

Unser Expertenteam macht sich im ersten Schritt mit den technischen und rechtlichen Aspekten Ihres Geschäftsmodells und des Gegenstands vertraut.

2.  Prüfungen der Auditoren

Die von ePrivacy anerkannten Auditoren führen die technischen und rechtlichen Prüfungen unabhängig und selbstständig durch.

3.  Prüfungs-Workshop

In dem detaillierten Prüfungs-Workshop werden die einzelnen technischen und rechtlichen Prüfungsschritte durchgesprochen. Nicht erfüllte Anforderungen, weitere Abweichungen und mögliche Risikofaktoren werden besprochen.

4.  Erstellung eines detaillierten Prüfberichts

Die technischen und datenschutzrechtlichen Prüfungen werden von den akkreditierten Auditoren unter Prüfung des umfassenden ePrivacycert-Kriterienkataloges durchgeführt. Die Ergebnisse der technischen und rechtlichen Audits fassen die Auditoren in einem detaillierten Prüf-Bericht zusammen.

5.  Zertifizierung

Ist dem Prüfbericht zu entnehmen, dass die datenschutzrechtlichen Vorgaben, die in dem Kriterienkatalog der ePrivacycert GmbH zusammengefasst wurden, eingehalten werden, wird das Datenschutzgütesiegel i.d.R. für drei Jahre verliehen. Innerhalb dieser Zeit ist einmal jährlich eine Überwachung durchzuführen. Nach Ablauf der Gültigkeit des Siegels ist eine Rezertifizierung erforderlich.

Haben Sie Fragen oder anregungen an uns?

Sprechen Sie uns gerne an