So testen und bewerten wir
Mit dem ePrivacyseal bestätigen wir dem Antragsteller, dass sein Produkt oder seine Dienstleistung in der Form, wie es bzw. sie uns zur Begutachtung gestellt wird, mit den Anforderungen unseres Kriterienkataloges übereinstimmt. Den Kriterienkatalog können Sie hier abrufen.
Der Kriterienkatalog ist der aktuellen Fassung der DSGVO (Datenschutzgrundverordnung) nachgebildet. Mit dieser Verordnung hat Europäischen Union die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Datenverarbeiter, sowohl private wie auch öffentliche, europaweit vereinheitlicht. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt und andererseits aber auch der freie Datenverkehr innerhalb der Europäischen Binnenmarktes gewährleistet werden. Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr.
Wonach suchen wir unsere Gutachter aus?
Unsere Gutachter, Techniker wie Juristen, überprüfen die jeweiligen Produkte bzw. Dienstleistungen neutral, objektiv und sachkundig. Wir arbeiten mit technischen Experten zusammen, die über eine langjährige Erfahrung im Bereich der von ihnen zu evaluierenden Datenverarbeitungsvorgänge besitzen. Entsprechendes gilt für unsere Juristen, die auf den Bereich des Datenschutzrechtes seit vielen Jahren spezialisiert sind. Um für uns gutachtlich tätig zu werden, muss ein Techniker oder Jurist von unserem Unternehmen seinerseits bewertet und bei uns akkreditiert wurden. Hierdurch stellen wir sicher, dass die Gutachter über ausreichende Sachkunde für die von ihnen zu untersuchenden Datenverarbeitungsvorgänge verfügen.
Was überprüfen wir?
Im Rahmen der Evaluierung untersuchen die technischen und juristischen Gutachter insbesondere die den Produkten oder Dienstleistungen zugrundeliegenden Datenverarbeitungsvorgänge.
Sie überprüfen, soweit technisch möglich, ob personenbezogene Daten erhoben und verarbeitet werden und ob dies insbesondere auch auf der Basis einer nachvollziehbaren gesetzlichen Grundlage geschieht.
Im Rahmen der technischen Evaluierung werden die Datenverarbeitungsvorgänge nachvollzogen und daraufhin überprüft, ob sie einerseits den Angaben des Antragstellers und andererseits den Anforderungen unseres Kriterienkatalogs entsprechen.
Im Rahmen der rechtlichen Bewertung werden die Datenverarbeitungsvorgänge dahingehend untersucht, ob sie rechtmäßig erfolgen und ob insbesondere die gesetzlichen Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden.
Denn personenbezogene Daten müssen nach den gesetzlichen Vorgaben auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Sie müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und sie dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Verarbeitung personenbezogener Daten muss überdies dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“). Die verarbeiteten Daten müssen sachlich richtig und erforderlichenfalls auf dem neusten Stand sein. Es sind darüber hinaus angemessene Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht und berichtigt werde („Grundsatz der Richtigkeit“). Personenbezogene Daten müssen ferner in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Schließlich müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder rechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder unbeabsichtigter Schädigung, und zwar durch geeignete technische und organisatorische Maßnahmen.
Um diese Fragen zu überprüfen, werden sämtliche von dem Antragsteller vorzulegenden juristischen Dokumente auf ihren Einklang mit unserem Kriterienkatalog überprüft. Es betrifft insbesondere die jeweiligen Datenschutzerklärungen, Einwilligungserklärungen, Verträge, soweit sie personenbezogene Daten betreffen uvm.
Sollten Auftragsverarbeiter eingeschaltet werden, werden auch die der Beauftragung zugrundeliegenden Auftragsverarbeitungsverträge oder, sollte ein Fall gemeinsamer Verantwortlichkeit vorliegen, die jeweiligen Verträge über gemeinsame Verantwortlichkeit überprüft.
Unsere Kunden haben keinen Einfluss auf die Testkriterien oder die Methodik, nach denen unsere Gutachter prüfen und bewerten. Unsere Gutachter testen und bewerten die Produkte ausschließlich auf der Basis des von uns veröffentlichten Kriterienkataloges, der hier verfügbar ist. Zu den Kriterien, die wir beispielsweise überprüfen, gehören insbesondere
- die Grundsätze für die Verarbeitung personenbezogener Daten
- die Rechtmäßigkeit der Verarbeitung
- die Bedingungen für eine evtl. Einwilligung
- die Bedingungen für die Einwilligungen eines Kindes
- die Verarbeitung besonderer Kategorien personenbezogener Daten
- die Anforderungen an transparente Informationen und Informationspflichten bei Erhebung von personenbezogener Daten
- die Gewährleistung der Auskunftsrechte der betroffenen Personen
- die Gewährleistung des Rechtes auf Berichtigung der betroffenen Person
- die Gewährleistung des Rechtes auf Löschung und des Rechtes auf „Vergessen werden“
- die Gewährleistung des Rechtes auf Einschränkung der Verarbeitung
- die Gewährleistung des Rechtes auf Datenübertragbarkeit
- die Gewährleistung der gesetzlich zustehenden Widerspruchsrechte
- die Anforderungen an automatisierte Entscheidungen einschl. des Profilings
- die Anforderungen an die Zusammenarbeit mit Auftragsverarbeitern und gemeinsam Verantwortlichen
- die Angemessenheit der technischen und organisatorischen Maßnahmen
- das Vorhandensein etwaiger Datenschutzfolgenabschätzungen
- das Vorhandensein eines Datenschutzbeauftragten
- das Vorhandensein etwaiger Zertifizierungen
Testen wir wirklich jedes Produkt und jeden Service selbst?
Auch unseren Gutachtern ist es manchmal aufgrund der Globalisierung der internationalen Datenströme nicht möglich, jedes Produkt und jeden Service tatsächlich selbst zu testen. Dafür sind die aufgrund der Globalisierung existierenden Datenströme inzwischen zu komplex und zu verschachtelt. Ist unseren Gutachtern daher das eigenständige Testen einzelner Datenverarbeitungsschritte nicht möglich, stützen diese ihre Bewertung auf die Analyse der vom Antragsteller zugelieferten Informationen und Dokumente.
Dabei beziehen unsere Gutachter bereits vorhandene Gutachten, Experteneinschätzungen, Berichte von Testinstitutionen, etwa erhaltene Zertifikate und vorhandene Veröffentlichungen in der einschlägigen Literatur mit ein, soweit sie ihnen vorliegen. Nach den Lizenzbedingungen zur Vergabe des ePrivacyseal ist der Antragsteller verpflichtet, die Informationen zu den betreffenden Datenverarbeitungsvorgängen wahrheitsgemäß zu erbringen und keinerlei irreführende Angaben zu machen. Sollte dies doch geschehen, besitzt unsere Gesellschaft das Recht, das jeweilige Siegel wieder zu entziehen.
Dennoch können wir nicht ausschließen, dass trotz dieser Vorsichtsmaßnahmen auch die von uns eingeschalteten Gutachter durch den jeweiligen Antragsteller getäuscht werden und dadurch zu einer unrichtigen Einschätzung des jeweiligen Sachverhaltes gelangen könnten. Wir sind jedoch der Meinung, mit unseren Vorkehrungsmaßnahmen das damit verbundene Risiko auf ein vertretbares Maß reduziert zu haben. Ohne dieses Restrisiko einzugehen, wäre es überhaupt nicht möglich, vergleichbare Datenschutzgütesiegel zu vergeben.
Zudem glauben wir, dass es auch für die angesprochenen Verbraucher hilfreich ist, die Rechtmäßigkeit der von uns begutachteten Datenverarbeitungsvorgänge durch ein Datenschutzgütesiegel nachvollziehen. Wir schätzen den mit der Vergabe eines derartigen Datenschutzgütesiegels verbundenen Vorteil höher ein als den Nachteil durch das theoretische Risiko, dass ein Antragsteller ein Datenschutzgütesiegel im Einzelfall durch Vortäuschung falscher Tatsachen erlangt. Dennoch möchten wir es nicht versäumen, diese Problematik zu benennen.
Nehmen Sie Kontakt mit uns auf
Möchten Sie uns Anregungen oder Kritik mitteilen, haben Sie einen Fehler entdeckt oder eine Frage zu den jeweiligen Produkten auf unserer Website? Wir freuen uns über Ihr Feedback und beantworten Ihre Fragen. Schreiben Sie uns an info@eprivacy.eu.