DAS PROGRAMM ZUR ZERTIFIZIERUNG MIT DEM

EPRIVACYCERT-DATENSCHUTZ-GÜTESIEGEL

(aktuell im Akkreditierungsprozess)

 

Wozu dient ein staatlich akkreditiertes Datenschutz-Gütesiegel?

Die Erlangung des staatlich akkreditierten ePrivacycert-Datenschutz-Gütesiegels (gem. Art. 42 DSGVO) ermöglicht Unternehmen in der EU in der Öffentlichkeit und damit insbesondere in der Marketingkommunikation nachzuweisen, dass ihre Datenverarbeitungsprozesse im Einklang mit der DSGVO stehen. Auch dienen Datenschutz-Gütesiegel dazu, gegenüber Aufsichtsbehörden etwaige Nachweispflichten zu erfüllen, wie auch als Beleg des Vorhandenseins erforderlicher Garantien für die Datenübermittlung in Drittländer.

Eine Zertifizierung mit dem ePrivacycert-Datenschutz-Gütesiegel ist daher die Möglichkeit, über einen staatlich akkreditieren Prozess eine Compliance mit der DSGVO zu dokumentieren.

Wo stehen wir auf dem Weg zum staatlichen Datenschutz-Gütesiegel?

Ende 2021 wurde bereits die Fachprüfung durch die Deutsche Akkreditierungstelle (DAkkS) bestanden. Anfang 2022 kam die positive Rückmeldung des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (HmbBfDI). Damit ist die zweite wesentliche Hürde auf dem Weg zur Akkreditierung genommen worden. Im nächsten Schritt steht nun die Bestätigung der Europäischen Datenschutzbehörde (EDSA) auf der Agenda. Auch hier ist seitens unseres Teams alles in die Wege geleitet, sodass der formale Prozess der Auditierung demnächst gemeinsam mit der DAkkS und dem HmbBfDI abgeschlossen werden kann.

Nutzen Sie die Vorteile des akkreditierten ePrivacycert-Datenschutz-Gütesiegels:

  • Nachweis der Übereinstimmung mit den Regeln der DSGVO
  • Erhöhung der Reputation des Unternehmens in Deutschland und darüber hinaus
  • Nachweis der Zulässigkeit von Datenübertragungen in Drittländer
  • Erlangung der Rechtswirkungen der Art. 42, 43 DSGVO
  • Öffentlichkeitswirksame Transparenz der Prüfungsergebnisse durch unabhängige Zertifizierungsstelle
  • Sichtbarkeit der Datenschutz-Compliance in der Marktkommunikation
  • Daraus resultierende Wettbewerbsvorteile im Markt
  • Nachweis der DSGVO Konformität des eigenen Produktes bei Pitches, Ausschreibungen, gegenüber Investoren und anderen Stakeholdern

 

Beschreibung des (geplanten) Zertifizierungsprozesses der ePrivacycert

OBJEKT DER ZERTIFIZIERUNG

Festlegung des Zertifizierungs-Gegenstandes, Anlage aller Evaluierungs-Dokumente

EVALUIERUNG

IST-Analyse + Evaluierung, Evaluierungsbericht + Kurzgutachten, Veröffentlichung des Kurzgutachtens auf ePrivacycert-Website

ERGEBNISSE

Bewertung der Ergebnisse des Evaluierungsberichtes, Zertifizierungsempfehlung

ENTSCHEIDUNG

Zertifizierungs-Entscheidung, Dokumentation, Zertifikat 3 Jahre gültig

AUTORISIERUNG

Zertifikat und Gütesiegel (mit Nutzungsrechten) werden dem Antragsteller geschickt

ÜBERPRÜFUNG+MONITORING

Der Zertifizierungszyklus umfasst eine zweimalige Überprüfung

FERTIG!

1 Objekt der Zertifizierung

Innerhalb der ePrivacycert wird zunächst ein Lead Auditor als Projektleiter und Ansprechpartner für Ihr Unternehmen mit dem entsprechenden Zertifizierungsauftrag vom Zertifizierungsleiter ausgewählt. Dieser Lead Auditor legt im gemeinsamen Gespräch mit Ihnen den eigentlichen Zertifizierungsgegenstand des Programms TOE (Target of Evaluation) fest. Der TOE bezeichnet die Verarbeitung von personenbezogenen Daten (Datenverarbeitungsvorgänge), beispielsweise in digitalen Produkten und Services bzw. generell alle Datenverarbeitungsvorgänge, bei denen nach Art. 4 DSGVO personenbezogene Daten erhoben, gespeichert, verarbeitet etc. werden. 

 

Der Lead Auditor legt weiterhin die Evaluationsdokumente an und führt Sie und Ihr Unternehmen durch das gesamte Programm. Er unterstützt Sie darin, Ihre einzelnen Datenverarbeitungsschritte in einer Datenflußanalyse zusammenzufassen.

Eine weitere Quelle für die Dokumentation ist ein ausführlicher Fragebogen, den Sie ausfüllen müssen.

 

Aufgrund dieser Informationen und der Datenflußanalyse erfaßt der Lead Auditor Datenverarbeitungsvorgänge.

Im Anschluß werden vom Lead Auditor Datenarten benannt, um sämtliche Datenkategorien präzise zu erfassen und herauszuarbeiten,

 

  • welche Daten überhaupt verarbeitet werden
  • welchem Zweck die jeweilige Verarbeitung dient
  • wo diese Daten lokal gespeichert werden
  • welcher Speicherdauer die jeweiligen Daten unterliegen, bzw. welche Löschfristen diesbezüglich existieren.

 

Im folgenden Schritt wird durch die Auditoren erfasst, ob und welche Cookies für das jeweilige Produkt überhaupt eingesetzt werden, welchen Zweck diese besitzen, von wem Cookie-Inhalte zur Verfügung gestellt werden, wie ein Coo- kie aufgebaut ist, welche Lebensdauer er besitzt und in welche Kategorie er fällt.

 

Anschließend wird der Aspekt Third Parties dokumentiert. Hintergrund ist der Umstand, dass viele Unternehmen insbesondere in der Digitalbranche oftmals mit Subdienstleistern zusammenarbeiten. Sämtliche Dienstleister und die dazu gehörenden Prozesse werden in einer Tabelle erfasst.

 

Abschließend wird hier die Schutzbedarfsklasse ermittelt. So führen beispielsweise gesundheitsbezogene Datenarten zu einem höheren Schutzbedarf als Cookie-IDs.

 

Ferner legen die Auditoren gemeinsam die jeweilige Ermittlungsmethode für das jeweilige Kriterium fest. Hierfür stehen den Auditoren eine Reihe von Ermittlungs-methoden zur Auswahl, wie Interview, technische Prüfung, Prozessprüfung etc.

 

2 Evaluierung

Anschließend beginnt die eigentliche IST-Analyse und Evaluation im Kern, der Audit. Zu diesem Zweck erstellen Auditoren den Evaluierungsbericht.

Kongruent zu den zuvor festgelegten Prüfobjekten und der angewendeten

Ermittlungsmethode wird der Evaluierungsbericht von beiden Auditoren auf der Basis der in den vorangegangenen Phasen ermittelten Unterlagen und Informationen dokumentiert. Zudem erstellt der Lead Auditor ein Kurzgutachten zur Verdichtung der wesentlichen Ergebnisse. Das Kurzgutachten wird zum Ende des Verfahrens auf der Website der ePrivacycert GmbH publiziert.

 

3 Ergebnisse

Im nächsten Schritt des Verfahrens wird der Leiter der Zertifizierungsstelle die obligatorische Validierung der durch die Auditoren gefundenen Ergebnisse durchführen. Ihm obliegt die Bewertung der Zertifizierfähigkeit und Überprüfung der Ergebnisse aus der vorangegangenen Ermittlungsphase auf die Erfüllung der Zertifizieranforderungen. Gelangt der Verantwortliche zu dem Ergebnis, dass das Zertifikat zu erteilen ist, wird diese Entscheidung von ihm dokumentiert.

 

4 Entscheidung

Zum Abschluß des Verfahrens fällt der Leiter der Zertifizierungsstelle die eigentliche Zertifizierungs-Entscheidung, die zu dokumentieren ist:

 

  • die Erteilung des Zertifikats
  • eine eventuelle Erweiterung
  • eine Einschränkung
  • die Aussetzung oder
  • die Rücknahme des jeweiligen Zertifikats

 

Das Zertifikat wird üblicherweise für drei Jahre vergeben. Die inhaltliche

Entscheidung teilt der Leiter der Zertifizierungsstelle anschließend dem Antragsteller mit und leitet die Veröffentlichung des Zertifikats ein.

 

5 Autorisierung 

Gleichzeitig wird das Zertifikat ausgestellt und dem Antragsteller geschickt. Das jeweilige Zertifikat wird auch öffentlich auf der Website publiziert. Ferner werden dem Antragsteller die Nutzungsrechte am Zertifikat und am Gütesiegel eingeräumt.

 

6 Überprüfung + Monitoring

Das Verfahren, und insbesondere die Zertifizierungs-Vereinbarung zwischen der ePrivacycert GmbH und dem Antragsteller, beinhalten eine zweimalige, zukünftige Überprüfung der Ergebnisse der Evaluierung innerhalb des jeweiligen zertifizierten Zyklus durch die Auditoren.

Informationen

Kontakt

T: +49 40 228 693 620
info@eprivacycert.eu
Holstenwall 13
20355 Hamburg
Kontaktformular