14: Gütesiegel, Zertifizierung (Christian Prietz) - Unabhängiges ...

www.datenschutzzentrum.de 

Audit und Gütesiegel 

Christian Prietz 

Unabhängiges Landeszentrum für Datenschutz 

Schleswig-Holstein 

14.01.2014 

1


Gütesiegel über Gütesiegel 

2


Warum braucht der Datenschutz ein 

eigenes Gütesiegel? 

• Betroffene: Fehlendes Vertrauen in die ordnungsgemäße 

Verarbeitung ihrer Daten und das Gefühl, keine Kontrolle 

mehr über die (eigenen) Daten zu besitzen 

• Unklarheit bei Anwendern / Beschaffern über die 

Anforderungen im Bereich Datenschutz 

 

 

Stand der Technik? 

Recht? 

• Datenschutz für beinahe alle Bereiche / Produkte relevant 

3


§ 9a Bundesdatenschutzgesetz: 

Gesetzliche Regelungen 

Zur Verbesserung des Datenschutzes und der 

Datensicherheit können Anbieter von 

Datenverarbeitungssystemen und -programmen und Daten 

verarbeitende Stellen ihr Datenschutzkonzept sowie ihre 

technischen Einrichtungen durch unabhängige und 

zugelassene Gutachter prüfen und bewerten lassen sowie 

das Ergebnis der Prüfung veröffentlichen. Die näheren 

Anforderungen an die Prüfung und Bewertung, das 

Verfahren sowie die Auswahl und Zulassung der Gutachter 

werden durch besonderes Gesetz geregelt. 

4


Vergleichbare Regelungen 

• Bundesrecht 

 

§ 78 c Sozialgesetzbuch X 

• Landesrecht 

§ 11 b Abs. 2 Brandenburgisches Datenschutzgesetz 

§ 7 b Bremisches Datenschutzgesetz 

§ 5 Abs. 2 Landesdatenschutzgesetz Mecklenburg-Vorpommern 

§ 4 Abs. 2 Datenschutzgesetz Nordrhein-Westfalen 

§ 4 Abs. 2 Landesdatenschutzgesetz Schleswig-Holstein 

5


Audit / Zertifizierung 

• Auditierung 

 

 

 

Verfahrensbezogen 

Datenverarbeitung in einem Unternehmens oder einer Behörde oder einem 

Teilbereich dieser Organisation 

Datenschutzmanagement 

• Zertifizierung 

 

 

 

Produktbezogen 

„Produkt“ eines Anbieters (Hardware, Software oder IT-Dienstleistung) 

Ermöglichung oder Erzwingung des datenschutzgerechten Einsatzes beim Anwender 

durch technische oder organisatorische Vorgaben 

6


Datenschutzaudit nach dem 

Landesdatenschutzgesetz 

Schleswig-Holstein 

§ 43 Abs. 2 LDSG SH 

Öffentliche Stellen können ihr 

Datenschutzkonzept durch das Unabhängige 

Landeszentrum für Datenschutz prüfen und 

beurteilen lassen. 

7


• Auf freiwilliger Basis (Vertrag mit dem ULD) 

• Gegenstand des Audits: 

Behörden 

Abgrenzbare Teile von Behörden 

Einzelne Verfahren 

• Voraudit und Hauptaudit 

• Durchführung des Auditverfahrens in 3 Schritten 

Bestandsaufnahme 

Festlegung der Datenschutzziele 

Einrichtung eines Datenschutzmanagementsystems 

• Begutachtung des Prozesses durch das ULD 

• Auditverleihung 

Veröffentlichung des Kurzgutachtens des ULD 

Befristung des Audits für 3 Jahre 

Auditverfahren 

8


Zertifizierung 

9


Wichtige Faktoren /Anforderung an 

Zertifizierungen 

Transparenz der Zertifizierung 

• Kriterien 

• Zertifizierungsprozess 

• Zertifizierungsergebnisse 

Nachprüfbarkeit der Zertifizierung 

• Wird erreicht durch Transparenz 

Glaubwürdigkeit 

• Durch unabhängige, neutrale und kompetente Zertifizierungsstelle 

• Transparenz der Prüfergebnisse (ermöglicht Vergleich ähnlicher 

Produkte/Dienste) 

=> Vertrauen in die Zertifizierung 

10


Einführung des Gütesiegels 2001 

Vorrangiger Einsatz von Produkten, deren Vereinbarkeit 

mit den Vorschriften über den Datenschutz und die 

Datensicherheit in einem förmlichen Verfahren festgestellt 

wurden. 

11


Datenschutzauditverordnung 2001 

• Zertifizierungsfähige IT-Produkte: 

„Hardware, Software und automatisierte Verfahren, die 

zur Nutzung durch öffentliche Stellen geeignet sind“ 

• Regelung des Zertifizierungsverfahrens: 

 

 

 

Begutachtung durch externe Sachverständige 

Inhalt des Gutachtens 

Kurzgutachten zur Veröffentlichung 

• Regelung der Anerkennung von Sachverständigen 

• Ermächtigung zur Erhebung von Gebühren 

12


-Ablauf des Verfahrens 

Produkt 

8Eignung für s.-h. Verwaltung 

8Herstellungsort beliebig 

8Realer Einsatz überall 

Gutachter 

8Akkreditiert 

8Eignung geprüft 

8Recht und Technik 

Zertifizierung durch ULD 

8Überprüfung des Gutachtens 

8Verleihung des Gütesiegels 

Begutachtung 

8Zugrundelegung der 

Kriterien 

8Kurzgutachten 

13


Besonderheiten nationaler /regionaler 

Regelungen 

• Nationale / Regionale Regelungen im Bereich der 

Zertifizierung weisen eine Reihe von Problemen auf 

Keine einheitliche Umsetzung der Datenschutzrichtlinie 

in den einzelnen Mitgliedsländern bzw. unterschiedliche 

LDSG in den Bundesländern 

Keine vergleichbaren Reglungen in anderen 

Bundesländern 

=> Fehlende oder unzureichende Anerkennung der 

Zertifizierung in anderen Staaten / Bundesländern 

• Mögliche Lösung: Zertifizierungsschema aufbauend auf 

europäischer Grundlage (Richtline, Rechtsprechung, Art. 29 

Gruppe etc.) 

14


EuroPriSe 

Einführung als Projekt Juni 07 – Februar 09 

EU-Förderung 1.3 Mio. 

Projekt-Partner aus 8 Ländern 

Markteinführung seit März 2009 durch das ULD 

Mehr als 100 zugelassene Experten in 13 Ländern 

15 + 1 abgeschlossene Verfahren 

Unterstützt vom EDPS 

Vorbildlich lt. französischem Senatsbericht (06/09) 

Neues Logo seit 08/09 

Projekt-Partner: 

BORKING 

CONSULTANCY 

15


Scope der Zertifizierung 

The European Privacy Seal certifies that an IT product 

or IT-based service facilitates the use of that product or 

service in a way compliant with European regulations on 

privacy and data protection. 

16


Zertifizierung nach EuroPriSe 

• Geeigneter Gegenstand einer Zertifizierung (Target of 

Evaluation [ToE]) ist hier ein IT-Produkt oder ein ITbasierter 

Dienst 

• Begutachtung durch externe Sachverständige 

• Zulassung der Sachverständigen durch die 

Zertifizierungsstelle 

Teilnahme an Zulassungsworkshop 

Erfolgreicher Nachweis der Sachkunde in Form eines 

Trainingsgutachtens 

Nachweis von ausreichend Berufserfahrung im Bereich Datenschutz 

und Zertifizierung 

17


Ablauf einer EuroPriSe Zertifizierung 

Manufacturers or 

service providers 

commission admitted 

EuroPriSe Experts of of 

their choice 

IT Product 

or IT-based Service 

Monitoring of 

IT-based Services 

Award of European 

Privacy Seal 

Validity: 2 Years 

• Determination of of Target of of 

Evaluation (ToE) 

• Determination of of applicable 

Admitted certification Experts criteria Evaluate 

from 

Product or Service 

EuroPriSe Criteria Catalogue 

• Composition of of evaluation 

report and short public report 

Accredited Certification 

Authority checks evaluation 

© EuroPriSe ® 

18


Einsatzbereiche der zertifizierten Produkte 

Haupteinsatzbereiche: 

Targeting-Lösungen (Gütesiegel S.-H. und EuroPriSe) 

Sicherer Internetanschluss (Gütesiegel S.-H.) 

Archivierungssystem (Gütesiegel S.-H.) 

Betrugsbekämpfungssoftware im Bankenbereich (EuroPriSe) 

Medizinbereich (Gütesiegel S.-H. und EuroPriSe) 

Datenträgervernichtung (Gütesiegel S.-H.) 

Software für die Verfremdung von Bilder einer 

Videoüberwachung (EuroPriSe) 

19


Dauer und Kosten der Gütesiegelverfahren 

• Phase 1: Begutachtung durch Sachverständigen 

Dauer und Kosten abhängig von: 

Qualität des Produkts 

 

Qualität und Vollständigkeit der Dokumentation 

Kosten frei verhandelbar 

• Phase 2: Überprüfung durch Zertifizierungsstelle 

Dauer und Kosten abhängig von: 

Qualität des Produkts und der Dokumentation 

 

 

Qualität des Gutachtens 

Kosten nach Gebührensatzung (gültig für Gütesiegel S.-H., nicht für EuroPriSe!) 

Grundgebühr (in der Regel 1280,- bis 3840,- Euro) 

Erstattung zusätzlichen Aufwands durch 

Zusatzgebühren 

Kosten für EuroPriSe Zertifizierung abhängig von Komplexität des ToE 

20


Rezertifizierung 

• Beide Zertifizierungen sind auf 2 Jahre befristet 

• Regelfall: Rezertifizierung in vereinfachtem 

Verfahren nach Ablauf der Gültigkeitsdauer: 

Lediglich Änderungen des Produktes, der Technikund 

Rechtslage und der Bewertung werden 

berücksichtigt. 

• bei umfangreicheren, erheblichen Änderungen des 

Produktes oder der Technik- und Rechtslage: 

Rezertifizierung auch während der Laufzeit 

• bei unerheblichen Veränderungen des Produktes: 

Anzeige gegenüber dem ULD 

21


Nutzen und Vorteile eines Datenschutz- 

Gütesiegels I 

Für den Beschaffer / Anwender: 

• Sicherheit darüber, ein datenschutzgerechtes Produkt zu nutzen (inkl. 

Rechtskonformität im Rahmen der Anwendungshinweise) 

• Soweit das Produkt die datenschutzgerechte Anwendung durch 

Technik erzwingt: Keine Datenschutzverletzungen durch 

Handlungsspielräume der Anwender, Risikoverminderung 

• Geprüfte Produktdokumentation in der Regel mit Hinweisen zur 

datenschutzgerechten Anwendung für Administratoren und Anwender 

(inkl. Einsatzumgebung) 

• Erleichterungen bei der Vorabkontrolle sowie beim Test und der 

Freigabe neuer Verfahren und Programme 

• Transparenz über Vorgänge der Datenverarbeitung 

• Erleichterung bei der Beschaffung durch Vergleichbarkeit und Nutzung 

der Zertifizierungsergebnisse (Kurzgutachten, ggf. ausführliches 

Gutachten) 

22


Nutzen und Vorteile eines Datenschutz- 

Gütesiegels II 

Für den Hersteller: 

• Wettbewerbsvorteile durch 

Vorrangiger Einsatz bei Ausschreibungen in Schleswig-Holstein (und 

ggf. anderen Bundesländern) (Gütesiegel S.-H.) 

einfacherer Nachweis von Datenschutz- und 

Sicherheitseigenschaften des Produktes gegenüber Kunden 

Imagegewinn: Nachweis von „Verantwortungsbewusstsein“ 

• Eigenrevision und „Zwang“ zur Qualitätssicherung und 

Produktdokumentation (Dokumentation auch von Produktänderungen!) 

23


Berücksichtigung des Gütesiegels SH bei 

Vergabeentscheidungen in SH 

• § 4 Abs. 2 LDSG SH: Zertifizierte Produkte sollen vorrangig eingesetzt 

werden. 

• Gütesiegel ist als Kriterium bei der Vergabe zu berücksichtigen. 

• Datenschutzgerechte Einsatzmöglichkeit als Leistungsmerkmal des 

Produkts. 

• Wird in der Praxis bei Ausschreibungen berücksichtigt. GMSH als 

zentrale Beschaffungsstelle z.B. erkennt das Gütesiegel als 

Vergabekriterium an. 

• Führt in Bereichen dazu, dass Wettbewerber sich ebenfalls 

zertifizieren lassen (z.B. Aktenvernichtung, Meldeauskunft). 

• Es wurden auch Vergabeentscheidung gegen zertifizierte Produkte 

getroffen – andere Kriterien waren Ausschlag gebend. Gütesiegel ist 

kein allgemeines Qualitätsmerkmal. 

24

Konkrete Prüfung


Ablauf und Kriterien der Prüfung 

• Festlegen des Prüfungsgegenstandes 

Produkt / Dienst (ToE) 

Hardware, Software, IT-basierte Dienste 

zur Verarbeitung personenbezogener Daten 

Der einzureichenden Produktdokumentation (nicht abschließend) 

Administratorhandbuch 

Benutzerhandbuch 

Information über Schwachstellen 

Hinweise zum Umgang mit Schwachstellen 

Hinweise zum datenschutzgerechten Einsatz 

Privacy Policy 

26


• Inhalt der Prüfung: 


Kann der ToE in einer Weise eingesetzt werden, dass die Vorschriften / 

Anforderungen im Bereich Datenschutz und Datensicherheit bei der Anwendung des 

Produkts eingehalten werden können? Wird der Anwender hierbei durch den ToE 

oder dessen Dokumentation aktiv unterstützt? 

Überprüfung der oben aufgeworfenen Frage im Hinblick auf 

Recht (welches sind die Anforderungen an Datenschutz und 

Datensicherheit?) 

Technik (wie sind diese Anforderungen durch den ToE umgesetzt?) 

27



• 1. Schritt: Festlegung des ToE 

 

Abgrenzung von der Einsatzumgebung, z. B. Betriebssystem bei der Prüfung eines 

Programms 

 

Definition der Schnittstellen (rechtlich und technisch) 

 

Überlegung, welche Datenverarbeitungsschritte mit dem ToE durchgeführt werden 

und welche unabhängig vom Einsatz des ToE erfolgen (bspw. im Rahmen der 

Erbringung eines Dienstes). 

28



• 2. Schritt: Bildung des Anforderungsprofils 

 

 

1. Ermittlung des Einsatzbereichs des ToE - Beispiele: 

Medizinbereich: Verarbeitung von Patientendaten im Krankenhaus 

Sozialwesen: Verarbeitung der Daten von Sozialhilfeempfängern 

Meldewesen: Auskunft aus dem Melderegister 

Internet: Verarbeitung von Kundendaten im Rahmen von Online- 

Transaktionen 

2. Ermittlung der Datenarten, die mit dem Produkt verarbeitet werden 

Primärdaten (oben z.B.: Patientendaten) 

Sekundärdaten (Protokolldaten, oben z.B. IP-Adresse des 

Internetnutzers) 

29



3. Ermittlung der bei der Anwendung einzuhaltenden 

Rechtsvorschriften über Datenschutz und Datensicherheit für jede 

Datenart 

Vorschriften ergeben sich aus den für den Einsatzbereich anwendbaren 

Gesetzen - bereichsspezifisches Recht (Landesmeldegesetz, 

Bundessozialhilfegesetz, Teledienstedatenschutzgesetz), allgemeines 

Datenschutzrecht (Landesdatenschutzgesetz, 

Bundesdatenschutzgesetz) oder die zugrundeliegenden Europäischen 

Richtlinien (95/46/EC, 2002/58/EC [2009/136/EC] und andere) 

30



• In einer Datenflussanalyse ist zu untersuchen, welche 

Arten von Daten überhaupt verarbeitet werden: 

 

 

 

 

Daten von Betroffenen 

technische Daten (z. B. Kommunikation, IP-Adresse, etc.) 

Protokolldaten (Protokollierung) 

Dokumentation (z. B. von der Vergabe von Nutzerrechten) 

• Eigene Anforderungsprofile für 

 

 

Primärdaten (i.d.R. Daten der Betroffenen) 

Sekundärdaten (Daten, die aufgrund der automatisierten Verarbeitung anfallen 

oder generiert werden sollten, in erster Linie Protokolldaten) 

• Fokus liegt auch auf den Daten der Mitarbeiterinnen 

und Mitarbeitern 

• Dokumentation und Handbücher sind Gegenstand der 

Begutachtung 

31



• 4. Schritt: Prüfung der Umsetzung der Anforderungen 

 

 

 

Rechtliche / Technische Umsetzung, z.B.: 

Sind ADV Verträge vorhanden und entsprechend ausgestaltet 

Ist die Privacy Policy in Ordnung 

Eingabefelder sind auf das Notwendige beschränkt -> keine 

überschießende Datenerhebung 

Automatische Löschung der Daten 

Protokollierung von verändernden oder löschenden Zugriffen auf Daten 

Berechtigungskonzept, durch das der Zugriff auf Daten auf die 

berechtigten Nutzer beschränkt werden kann 

Keine technische Umsetzung: Hinweise zur organisatorischen Lösung: 

Hinweise in der Produktdokumentation über notwendige 

organisatorische Maßnahmen 

Technische Lösung grundsätzlich vorzuziehen 

32


• Der Prüfung liegt Kriterienkatalog zugrunde 

Kriterienkatalog 

Aufzählung aller möglichen in Betracht kommenden 

Prüfpunkte 

Sichert die vollständige Prüfung durch die Gutachter 

Nicht für jeden ToE sind alle Kriterien relevant 

33


Kriterienkatalog mit 4 Komplexen: 


• Komplex 1: übergreifende Anforderungen an die 

Technikgestaltung (insbesondere Datenvermeidung, 

Transparenz des Produktes, Dokumentation), 

• Komplex 2: Zulässigkeit der angestrebten 

Datenverarbeitung (materielles Recht), 

• Komplex 3: technisch-organisatorischen Maßnahmen zum 

Schutz der Betroffen, 

• Komplex 4: Rechte der Betroffenen (z.B. Benachrichtigung, 

Auskunft, Transparenzgebote, Löschung). 

34



• Komplex 1: Grundsätzliche technische Ausgestaltung von 

IT-Produkten 

 

Datensparsamkeit 

 

Frühzeitiges Löschen, Anonymisieren oder Pseudonymisieren 

 

Transparenz und Produktbeschreibung 

35



• Komplex 2: Zulässigkeit der Datenverarbeitung 

Allgemeine Voraussetzungen der Zulässigkeit 

Datenverarbeitung im Auftrag 

Einwilligung 

Zulässigkeit in den einzelnen Phasen der Datenverarbeitung 

Erhebung beim Betroffenen 

Zweckbindung 

Trennungsgebot 

Übermittlung 

Löschung nach Wegfall der Erfordernis 

36



• Komplex 3: Technisch-Organisatorische Maßnahmen 

 

 

 

 

 

 

 

 

Zugangskontrolle 

Zugriffskontrolle 

Protokollierung von Datenverarbeitungsvorgängen 

Maßnahmen zur Sicherung der Verfügbarkeit (Backup, Recovery etc.) 

Datenschutz- und Datensicherheitsmanagement (Security Policy, Risikoanalyse etc.) 

Löschung von Daten und Vernichtung von Datenträgern 

Verschlüsselung bei Nutzung mobiler Geräte und der Übertragung von Daten 

Pseudonymisierung und Anonymisierung 

37



• Komplex 4: Rechte der Betroffenen 

 

 

 

 

 

 

Aufklärung und Benachrichtigung 

Auskunft 

Berichtigung 

Löschung 

Sperrung 

Widerspruch gegen die Datenverarbeitung 

 

Bei einer EuroPriSe Zertifizierung werden hier speziell die Rechte des Betroffenen 

nach den Richtlinien 95/46/EC (siehe oben) und 2002/58/EC (Recht auf Information 

über Datenschutzvorfälle [Breach Notification], oder Sicherheitsrisiken etc.) geprüft. 

38


• 4 Bewertungsstufen (Gütesiegel SH): 

 

 

 

 

vorbildlich 

adäquat 

unzureichend 

Nicht 

• 5 Bewertungsstufen (EuroPriSe) 

 

 

 

 

 

Excellent 

Adequate 

Additional safeguards needed 

Barely passing 

Fail 

Bewertung der Erfüllung der 

Voraussetzungen 

• Technische Umsetzung ist grundsätzlich einer organisatorischen Lösung 

vorzuziehen 

• Ausgleich von Defiziten möglich bei unzureichender Umsetzung durch 

Gesamtbewertung der Eigenschaften 

39


Noch Fragen? 

www.datenschutzzentrum.de/audit/ 

www.datenschutzzentrum.de/guetesiegel/ 

www.european-privacy-seal.eu 

40


Informationen zur Klausur 

41


• Prüfungsleistung 1: Klausur 

Datum: 04. Februar 2014 

Beginn: 08:00 Uhr s.t. 

Bearbeitungszeit: 1 Stunde 

Ort: ULD, Holstenstraße 98, 24103 Kiel 

Prüfungstermine (I) 

Anmeldung: Beim Prüfungsamt der Fachhochschule Kiel! 

Studentenausweis zum Prüfungstermin mitbringen 

Erlaubte Hilfsmittel: Gesetzessammlung 

"Datenschutzrecht in Schleswig-Holstein", 5. Aufl. 2012 

Achtung: Unterstreichungen und Verweise zwischen Paragrafen 

sind o. k., Definitionen oder sonstige Hilfstexte sind verboten 

42


Prüfungstermine (II) 

Stoff: Grundrechte, Sieben Goldene Regeln, 

IT-Sicherheit, bereichsspezifisches Datenschutzrecht 

alle in den Vorlesungen behandelten Themen 

Aufgaben: Multiple Choice, Freitexte und Fälle 

Vorbereitung: Lehrbücher sind in Vorlesung Nr. 1 

empfohlen worden, Vorlesungsfolien sind abrufbar unter 

https://www.datenschutzzentrum.de/vorlesungen/ 

• Prüfungsleistung 2: Voraussichtlich mündl. Prüfung 

Prüfungszeitraum: ??? 

Achtung: Bei einer mündlichen Prüfung wird das 

Nichterscheinen eines Prüflings als „nicht bestanden“ 

gewertet (laut Prüfungsordnung) 

43

14: Gütesiegel, Zertifizierung (Christian Prietz) - Unabhängiges ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?