DAS PROGRAMM ZUR ZERTIFIZIERUNG MIT DEM

EPRIVACYCERT-DATENSCHUTZ-GÜTESIEGEL

(aktuell im Akkreditierungsprozess)

 

Wozu dient ein staatlich akkreditiertes Datenschutz-Gütesiegel?

 

Die Erlangung des staatlich akkreditierten ePrivacycert-Datenschutz-Gütesiegels (gem. Art. 42 DSGVO) ermöglicht Unternehmen in der EU in der Öffentlichkeit und damit insbesondere in der Marketingkommunikation nachzuweisen, dass ihre Datenverarbeitungsprozesse im Einklang mit der DSGVO stehen. Auch dienen Datenschutz-Gütesiegel dazu, gegenüber Aufsichtsbehörden etwaige Nachweispflichten zu erfüllen, wie auch als Beleg des Vorhandenseins erforderlicher Garantien für die Datenübermittlung in Drittländer.

Eine Zertifizierung mit dem ePrivacycert-Datenschutz-Gütesiegel ist daher die Möglichkeit, über einen staatlich akkreditieren Prozess eine Compliance mit der DSGVO zu dokumentieren.

 

Nutzen Sie die Vorteile des akkreditierten ePrivacycert-Datenschutz-Gütesiegels:

 

  • Nachweis der Übereinstimmung mit den Regeln der DSGVO
  • Erhöhung der Reputation des Unternehmens in Deutschland und darüber hinaus
  • Nachweis der Zulässigkeit von Datenübertragungen in Drittländer
  • Erlangung der Rechtswirkungen der Art. 42, 43 DSGVO
  • Öffentlichkeitswirksame Transparenz der Prüfungsergebnisse durch unabhängige Zertifizierungsstelle
  • Sichtbarkeit der Datenschutz-Compliance in der Marktkommunikation
  • Daraus resultierende Wettbewerbsvorteile im Markt
  • Nachweis der DSGVO Konformität des eigenen Produktes bei Pitches, Ausschreibungen, gegenüber Investoren und anderen Stakeholdern

 

Die Erlangung eines solchen Zertifikates erfolgt in mehreren Schritten:

Phase A/ ePrivacy: Pre-Assessment (kann jetzt schon durchgeführt werden)

Nach Ihrer Kontaktaufnahme erfolgt zum Start zunächst ein Gespräch zwischen Ihnen und unseren Experten. Vor dem eigentlichen Zertifizierungsprozess muß zwingend ein Pre-Assessment  zur Schaffung der notwendigen Voraussetzungen erfolgen. So eine vergleichbare Vorprüfung kann das (staatlich nicht akkreditierte) ePrivacyseal sein. Zur Durchführung dieses Verfahrens sprechen Sie bitte unsere Partnergesellschaft ePrivacy GmbH an, die viele Jahre Erfahrung in der Beratung hat und entsprechende Referenzen aufweisen kann.


DEFINITION

gemeinsame Zielfindung des Zertifizierungs-Prozesses

WORKSHOP

Produkt-Check, technische, organisatorische + juristische Anforderungen

OPTIMIERUNG

wenn notwendig, technischer Produkt-Check, rechtliche Nachbesserungen

FINALER CHECK

Prüfung durch Gutachter, ggf. Verbesserungsvorschläge oder für Gütesiegel relevante Auflagen

FERTIG!


Folgende Aspekte werden typischerweise im Rahmen eines Pre-Assessment besprochen:

 

1 Definition (gemeinsam)

Unternehmens- und/oder produktspezifische Zielfindung des Zertifizierungsprozesses.

 

2 Workshop

Ein Produkt-Check wird vollzogen hinsichtlich der technischen, organisatorischen und juristischen Anforderungen durch erfahrene Experten von ePrivacy. An dieser Stelle erfolgen auch

Hinweise zum Stand der Technik und eventuellen Optimierungsbedarf.

 

3 Optimierung (wenn notwendig)

Es wird ein technisches Tune-Up beim Produkt durchgeführt wie auch eine rechtliche Nachbesserung bei Verträgen und Einwilligungen. Setzen Sie auf das Beratungs-Potenzial des ePrivacy-Team.

 

4 Finaler Check 

Es erfolgt eine Produktprüfung durch Gutachter von ePrivacy nach technischen, organisatorischen und rechtlichen Kriterien des ePrivacyseal-Kriterienkatalogs. Bei Bedarf gibt es Empfehlungen für weitere Verbesserungen oder Erteilung von Auflagen, die für die Verleihung des Gütesiegels noch zu erfüllen sind. Viele Unternehmen nutzen ein solches Pre-Assessment als Test, ob überhaupt den strengen Anforderungen einer Zertifizierung mit einem Datenschutzgütesiegel nach Art. 42 DS GVO genügt werden kann.

Phase B/ ePrivacycert: Zertifizierung (geplant)

Ist das Pre-Assessment erfolgreich bestanden, beginnt das Verfahren der Zertifizierung im eigentlichen Sinne.

OBJEKT DER ZERTIFIZIERUNG

Festlegung mit Lead Auditor/Projektleiter des Zertifizierungs-Gegenstandes, Anlage aller Evaluierungs-Dokumente

AUDIT

IST-Analyse + Evaluation, Evaluierungsbericht + Kurzgutachten durch Auditor, Veröffentlichung auf ePrivacycert-Website

ERGEBNISSE

Validierung durch Leiter der Zertifizierungs-Stelle, Bewertung der Zertifizierfähigkeit

ENTSCHEIDUNG

Zertifizierungs-Entscheidung durch Leiter der Zertifizierungs-Stelle, Dokumentation, Zertifikat 3 Jahre gültig

AUTORISIERUNG

Zertifikat und Gütesiegel (mit Nutzungsrechten) werden dem Antragsteller geschickt

ÜBERPRÜFUNG+MONITORING

Verfahren + Zertifizierungs-Vereinbarung beinhalten eine 2-monatige, zukünftige Überprüfung durch Auditoren

FERTIG!

1 Objekt der Zertifizierung

Innerhalb der ePrivacycert wird zunächst ein Lead Auditor als Projektleiter und Ansprechpartner für Ihr Unternehmen mit dem entsprechenden Zertifizierungsauftrag vom Zertifizierungsleiter ausgewählt. Dieser Lead Auditor legt im gemeinsamen Gespräch mit Ihnen den eigentlichen Zertifizierungsgegenstand des Programms TOE (Target of Evaluation) fest. Der TOE bezeichnet die Verarbeitung von personenbezogenen Daten (Datenverarbeitungsvorgänge), beispielsweise in digitalen Produkten und Services bzw. generell alle Datenverarbeitungsvorgänge, bei denen nach Art. 4 DSGVO personenbezogene Daten erhoben, gespeichert, verarbeitet etc. werden. 

 

Der Lead Auditor legt weiterhin die Evaluationsdokumente an und führt Sie und Ihr Unternehmen durch das gesamte Programm. Er unterstützt Sie darin, Ihre einzelnen Datenverarbeitungsschritte in einer Datenflußanalyse zusammenzufassen.

Eine weitere Quelle für die Dokumentation ist ein ausführlicher Fragebogen, den Sie ausfüllen müssen.

 

Aufgrund dieser Informationen und der Datenflußanalyse erfaßt der Lead Auditor Datenverarbeitungsvorgänge.

Im Anschluß werden vom Lead Auditor Datenarten benannt, um sämtliche Datenkategorien präzise zu erfassen und herauszuarbeiten,

 

  • welche Daten überhaupt verarbeitet werden
  • welchem Zweck die jeweilige Verarbeitung dient
  • wo diese Daten lokal gespeichert werden
  • welcher Speicherdauer die jeweiligen Daten unterliegen, bzw. welche Löschfristen diesbezüglich existieren.

 

Im folgenden Schritt wird durch die Auditoren erfasst, ob und welche Cookies für das jeweilige Produkt überhaupt eingesetzt werden, welchen Zweck diese besitzen, von wem Cookie-Inhalte zur Verfügung gestellt werden, wie ein Coo- kie aufgebaut ist, welche Lebensdauer er besitzt und in welche Kategorie er fällt.

 

Anschließend wird der Aspekt Third Parties dokumentiert. Hintergrund ist der Umstand, dass viele Unternehmen insbesondere in der Digitalbranche oftmals mit Subdienstleistern zusammenarbeiten. Sämtliche Dienstleister und die dazu gehörenden Prozesse werden in einer Tabelle erfasst.

 

Abschließend wird hier die Schutzbedarfsklasse ermittelt. So führen beispielsweise gesundheitsbezogene Datenarten zu einem höheren Schutzbedarf als Cookie-IDs.

 

Ferner legen die Auditoren gemeinsam die jeweilige Ermittlungsmethode für das jeweilige Kriterium fest. Hierfür stehen den Auditoren eine Reihe von Ermittlungs-methoden zur Auswahl, wie Interview, technische Prüfung, Prozessprüfung etc.

 

2 Audit

Anschließend beginnt die eigentliche IST-Analyse und Evaluation im Kern, der Audit. Zu diesem Zweck erstellen Auditoren den Evaluierungsbericht.

Kongruent zu den zuvor festgelegten Prüfobjekten und der angewendeten

Ermittlungsmethode wird der Evaluierungsbericht von beiden Auditoren auf der Basis der in den vorangegangenen Phasen ermittelten Unterlagen und Informationen dokumentiert. Zudem erstellt der Lead Auditor ein Kurzgutachten zur Verdichtung der wesentlichen Ergebnisse. Das Kurzgutachten wird zum Ende des Verfahrens auf der Website der ePrivacycert GmbH publiziert.

 

3 Ergebnisse

Im nächsten Schritt des Verfahrens wird der Leiter der Zertifizierungsstelle die obligatorische Validierung der durch die Auditoren gefundenen Ergebnisse durchführen. Ihm obliegt die Bewertung der Zertifizierfähigkeit und Überprüfung der Ergebnisse aus der vorangegangenen Ermittlungsphase auf die Erfüllung der Zertifizieranforderungen. Gelangt der Verantwortliche zu dem Ergebnis, dass das Zertifikat zu erteilen ist, wird diese Entscheidung von ihm dokumentiert.

 

4 Entscheidung

Zum Abschluß des Verfahrens fällt der Leiter der Zertifizierungsstelle die eigentliche Zertifizierungs-Entscheidung, die zu dokumentieren ist:

 

  • die Erteilung des Zertifikats
  • eine eventuelle Erweiterung
  • eine Einschränkung
  • die Aussetzung oder
  • die Rücknahme des jeweiligen Zertifikats

 

Das Zertifikat wird üblicherweise für drei Jahre vergeben. Die inhaltliche

Entscheidung teilt der Leiter der Zertifizierungsstelle anschließend dem Antragsteller mit und leitet die Veröffentlichung des Zertifikats ein.

 

5 Autorisierung 

Gleichzeitig wird das Zertifikat ausgestellt und dem Antragsteller geschickt. Das jeweilige Zertifikat wird auch öffentlich auf der Website publiziert. Ferner werden dem Antragsteller die Nutzungsrechte am Zertifikat und am Gütesiegel eingeräumt.

 

6 Überprüfung + Monitoring

Das Verfahren, und insbesondere die Zertifizierungs-Vereinbarung zwischen der ePrivacycert GmbH und dem Antragsteller, beinhalten eine zweimalige, zukünftige Überprüfung der Ergebnisse der Evaluierung innerhalb des jeweiligen zertifizierten Zyklus durch die Auditoren.