Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

9    Audit und Gütesiegel

9.1          Datenschutzaudits

Das Datenschutz-Behördenaudit ist ein Erfolgsmodell. Das ULD führt kontinuierliche Auditverfahren durch. Fortschritt und Erfolg hängen hierbei immer direkt von den Ressourcen der datenverarbeitenden Stellen ab.

Auditverfahren unterliegen denselben Herausforderungen wie alle anderen IT-Projekte: Sie konkurrieren mit dem Tagesgeschäft, müssen sich geänderten Rahmenbedingungen anpassen und manchmal auch abgebrochen werden. Erfolgreiche Auditverfahren zeichnen sich dadurch aus, dass stetig und gleichmäßig am Audit gearbeitet wird. Die Auditverfahren in der Hansestadt Lübeck, der Stadt Glinde und der Unfallkasse Nord werden durch alle Beteiligten kontinuierlich bearbeitet und zielen auf einen erfolgreichen Abschluss hin.

Manchmal müssen Auditverfahren neu gestartet werden. Häufig liegt dies daran, dass sich der Auditgegenstand aufgrund neuer Anforderungen oder der technischen Weiterentwicklung stark geändert hat. Das vom Umweltministerium betriebene Auditverfahren „K3“ ist hierfür ein Beispiel. Das ULD und das Umweltministerium haben erkannt, dass der Auditgegenstand stark erweitert werden muss, um den Anforderungen an das Datenschutz-Behördenaudit zu genügen. Die bisher geleistete Arbeit in solchen Auditverfahren ist jedoch nicht vergebens. Die Ergebnisse können direkt im anschließenden neuen Auditverfahren verwendet werden und beschleunigen die Bearbeitung und Fertigstellung des Audits.

Selten müssen Auditverfahren ausgesetzt oder beendet werden, weil die ursprünglichen Annahmen zum betroffenen Verfahren oder zur Zertifizierungsfähigkeit sich bei der Durchführung als falsch erweisen. Aufgrund von engen personellen Ressourcen muss das Audit beim azv Südholstein weiterhin ruhen (33. TB, Tz. 9.1.7). Das Auditverfahren an der Christian-Albrechts-Universität musste ausgesetzt werden, weil ein neues Verwaltungsverfahren eingeführt wird. Die zuständigen Mitarbeiterinnen und Mitarbeiter müssen sich zunächst primär um die Einführung des Verfahrens kümmern. Das ULD und die Universität sind weiterhin bemüht, Datenschutz und Datensicherheit bei der Verwaltung von Studierendendaten mit einem Datenschutz-Behördenaudit zu prüfen.

 

9.1.1       KVSH

Seit Jahren arbeitet die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) intensiv mit dem ULD zusammen. Da war es nur folgerichtig, dass diese Zusammenarbeit irgendwann in Form einer Zertifizierung Früchte tragen würde. Bei der Einführung eines sicheren E-Mail-Dienstes für die in Schleswig-Holstein zugelassenen Ärztinnen und Ärzte hat die KVSH die Chance ergriffen. Das ULD hat das Datenschutz-Behördenaudit im November 2012 erfolgreich abgeschlossen.

Als Körperschaft öffentlichen Rechts nutzt die KVSH seit Jahren die Möglichkeit, sich vom ULD unentgeltlich in Sachen Datenschutz und Datensicherheit beraten zu lassen. Die dadurch immer datenschutzgerechter werdenden IT-Strukturen und -Verfahren der KVSH forderten die Verantwortlichen geradezu heraus, dieser Entwicklung ein öffentlichkeitswirksames Ziel zu geben. Da die KVSH plante, einen neuen sicheren E-Mail-Dienst für Arztpraxen aus Schleswig-Holstein anzubieten, wurde mit dem ULD ein Datenschutzbehördenaudit vereinbart. Wunsch der KVSH war es, die Konzeption und Umsetzung dieses neuen Dienstes nach datenschutzgerechten Gesichtspunkten offiziell überprüfen und bewerten zu lassen.

Für die KVSH ist Datenschutz von hoher Bedeutung, da die Verarbeitung von Patientendaten sehr sensibel ist. Um den Erfordernissen eines erfolgreichen Datenschutzaudits gerecht zu werden, mussten im Bereich der hauseigenen IT viele Dokumente überarbeitet werden, die nicht den Datenschutzanforderungen genügten. Die gesamte IT-Dokumentation ist nun auf dem aktuellen Stand. Die Umsetzung der Konzeption des eKVSH E-Mail-Dienstes umfasst angemessene und wirksame technische und organisatorische Sicherheits- und Datenschutzmaßnahmen nach aktuellem Stand der Technik. Das Datenschutz- und Sicherheitsmanagement orientiert sich an internationalen Standards.

Datenschutz-Behördenaudit gemäß § 43 Abs. 2 LDSG Schleswig-Holstein: Konzeption und Umsetzung des „eKVSH E-Mail-Dienstes“, Prüfnummer 28/2012, befristet bis 13. November 2015. Das Kurzgutachten mit den Ergebnissen der Auditierung ist veröffentlicht unter:

https://www.datenschutzzentrum.de/audit/register.htm

Der eKVSH E-Mail-Dienst ermöglicht es den teilnehmenden Arztpraxen, innerhalb eines geschlossenen Systems elektronische Nachrichten und Dokumente sicher zu versenden. Die Daten werden hierbei sowohl auf Inhaltsebene als auch auf Transportebene durch eine Ende-zu-Ende Verschlüsselung nach aktuellem Stand der Technik gegen den Verlust der Vertraulichkeit und der Integrität gesichert. Der Gegenstand des Audits umfasst das Konzept und die Umsetzung des Datenschutz- und Informationssicherheitsmanagementsystems. Ausdrücklich ausgenommen ist die netzwerktechnische Anbindung der Arztpraxen über das geschlossene Netzwerk „KV SafeNet“. Ebenso nicht erfasst ist die korrekte Umsetzung der technischen und organisatorischen Sicherheitsmaßnahmen bei der Nutzung des Dienstes innerhalb der Arztpraxen.

Nach Übergabe der Auditurkunde im November 2012 prüfen die Verantwortlichen der KVSH, ob weitere Verfahren auditiert werden sollen. Der Datenschutz- sowie der IT-Sicherheitsbeauftragte der KVSH arbeiten mit einem Managementsystem für den Datenschutz und die Informationssicherheit, welches durch regelmäßige und anlassbezogene Kontrollen ein hohes Maß an Datenschutz sicherstellt. Definierte Prozesse zur Bearbeitung von Datenschutz- und Sicherheitsvorfällen sowie eine funktionierende Einbindung in IT-Projekte bereits in der Planungsphase sind geeignet, das hohe Niveau zu halten. Weitere Datenschutzauditierungen verursachen somit weniger Aufwand als beim ersten Mal und sind für die KVSH eine lohnende Option.

 

9.1.2       Kreis Plön

Der Landkreis Plön hat sein im Jahr 2007 zertifiziertes Kreisnetz wiederholt durch das ULD überprüfen lassen und verlängert so sein Datenschutzzertifikat um weitere drei Jahre. Damit setzt der Landkreis Plön seine IT-Sicherheitsstrategie konsequent fort und bleibt Vorreiter bei der Umsetzung von Datenschutz und Datensicherheit.

• Herstellung einer für das Kreisgebiet flächendeckenden Kommunikationsinfrastruktur für die Kommunen,
• Datentransport im abgeschotteten Kreisnetz,
• Schutz der im Kreisnetz übertragenen Daten vor Angriffen aus dem Internet und aus angeschlossenen Nutzernetzen,
• einfache und revisionssichere Kontrolle der festgelegten Sicherheitsmaßnahmen durch die Nutzenden,
• Einhaltung der in der IT-Sicherheitsleitlinie festgelegten Sicherheitsziele und die damit verbundene Gewährleistung der Umsetzung des festgelegten Sicherheitsniveaus sowie
• Einrichtung einer IT-Sicherheitsorganisation durch die Festlegung von Zuständigkeiten.

Alle kreisangehörigen Kommunen sind am Kreisnetz Plön angeschlossen und nutzen die vom Kreis Plön zur Verfügung gestellten Dienste. Dazu zählt z. B. der zentrale Zugriff auf Fachprogramme und Daten der Kommunen und des Kreises. Im Rahmen der Rezertifizierung stellten wir fest, dass die Kreisverwaltung Plön die im Sicherheitskonzept festgelegten Sicherheitsmaßnahmen dauerhaft umgesetzt hat. Im Jahr 2010 wurde die IT-Basisinfrastruktur der Kreisverwaltung Plön nach dem Zertifizierungsschema „ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz“ durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert. Das Zertifikat ist drei Jahre gültig, sofern jeweils nach einem bzw. zwei Jahren nach Zertifizierung ein sogenanntes Überwachungsaudit erfolgt. Dabei wird überprüft, ob das IT-Sicherheitsmanagement weiterhin wirksam ist und ob Änderungen an den IT-Systemen oder der Organisation so erfolgen, dass die IT-Sicherheit gewährleistet bleibt. Diese Überwachungsaudits im Sommer 2011 und im Sommer 2012 wurden erfolgreich abgeschlossen.

9.1.3       „ZIAF “ – Landwirtschaftsministerium

Das Ministerium für Energiewende, Landwirtschaft, Umwelt und ländliche Räume (MELUR) hat 2009 für die sichere Konzeption und den sicheren Betrieb seiner Agrarförderungszahlstelle (ZIAF) ein IT-Sicherheitszertifikat des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten. Diese Zertifizierung auf der Basis von IT-Grundschutz nach dem Standard ISO 27001 (32. TB, Tz. 9.2.4) ist drei Jahre gültig, sofern jeweils nach einem bzw. zwei Jahren ein sogenanntes Überwachungsaudit erfolgt (Tz. 9.1.2).

Zur Erinnerung: Die Europäische Union (EU) macht sicherheitstechnische Vorgaben für Stellen, die EU‑Fördermittel für die Agrarförderung auszahlen. Damit sollen Ausfällen der Informationstechnik und Manipulationen vorgebeugt werden. Die Zahlstelle des MELUR umfasst auf der Seite der Vorgangsbearbeitung Client-Systeme im Ministerium, in nachgeordneten Behörden sowie weiteren beteiligten Stellen. Der Dienstleister Dataport betreibt die zentrale Server-Infrastruktur, auf der die relevanten Daten verarbeitet und gespeichert werden. Die Umsetzung der Vorgaben wurde überprüft und zertifiziert.

Im Rahmen von Überwachungsaudits erfolgt lediglich eine kursorische Überprüfung, ob das IT‑Sicherheitsmanagement weiterhin wirksam ist und ob Änderungen an den IT-Systemen oder der Organisation so erfolgen, dass die IT-Sicherheit weiterhin gewährleistet ist. Eine nach drei Jahren mögliche Rezertifizierung hingegen erfordert wieder eine Auditierung, die im Umfang der Prüfung bei der Erstzertifizierung gleicht: Die Dokumentation – die Leitlinien, Komponentenlisten, Sicherheitsanalysen, Sicherheitskonzepte enthält – wird auf Vollständigkeit und Konsistenz überprüft. An mehreren Standorten erfolgt eine stichprobenartige Überprüfung der konkreten Sicherheitsmaßnahmen, die im Sicherheitskonzept festgelegt wurden. 2011 wurde das zweite Überwachungsaudit (33. TB, Tz. 9.1.3) und 2012 die Rezertifizierung erfolgreich abgeschlossen.

 

9.1.4       Nordbits

Die Nordbits erhielt als Dienstleister für die Kreise Nordfriesland und Schleswig-Flensburg für die Implementierung eines übergreifenden Datenschutz- und IT-Sicherheitsmanagements ein Auditzertifikat.

• die Unterstützung des technischen Leiters der Nordbits AöR bei der Umsetzung der IT‑Sicherheitskonzeption der Kreise,
• die Unterstützung und Beratung der Fachbereiche in Datenschutzrechtsfragen,
• die Überwachung der Einhaltung der internen Datenschutzvorschriften,
• die Mitwirkung im gesamten Sicherheitsprozess, insbesondere bei der Erstellung des IT-Sicherheitskonzepts und der Systemsicherheitsrichtlinien,
• die Erstellung eines Realisierungsplans für IT-Maßnahmen einschließlich der Überwachung von deren Umsetzung,
• die Entgegennahme von Meldungen über IT-Sicherheitsvorfälle und Einleitung der für die Bearbeitung und Beseitigung erforderlichen Schritte sowie
• die Erstellung von Berichten für die jeweilige Leitungsebene auf Nachfrage über den Status quo der IT-Sicherheit.

Zu den im Rahmen des Datenschutzaudits geprüften Aspekten gehörten u. a. die Wirkungsweise des IT-Sicherheitsmanagements, die wichtigsten Handlungsfelder im IT-Sicherheitsprozess und die Erreichung der festgelegten Datenschutzziele.

 

9.1.5       Statistikamt Nord

Das Statistikamt Nord beauftragte das ULD, sein Landesinformationssystem (LIS) auf der Basis des IT-Grundschutzstandards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu begutachten.

LIS ist ein Verfahren zur zentralen Speicherung und Auswertung von verdichteten Statistikdaten. Die Daten werden in die LIS-Kernapplikation aus Anwendungen der amtlichen Statistik übernommen. Das LIS wird auf Servern des Dienstleisters Dataport in einem abgeschotteten Netzsegment betrieben. Der Zugriff erfolgt über Clients im Statistikamt Nord an den Standorten Kiel und Hamburg. Darüber hinaus werden aggregierte Daten für die Öffentlichkeit in einer sogenannten LIS Online-Datenbank zum Abruf bereitgestellt. Der Startschuss für die Freigabe der LIS Online-Datenbank erfolgte nach Übergabe des vom ULD erstellten Gutachtens.

• Prüfung der Dokumentation nach den Anforderungen des IT-Grundschutzstandards,
• Vor-Ort-Prüfung über den ordnungsgemäßen Einsatz des LIS beim Statistikamt Nord,
• Überprüfung des Auftragnehmers Dataport im Rahmen der Auftragsdatenverarbeitung (hierzu zählten die Begutachtung der Dokumentation sowie die stichprobenartige Prüfung der Umsetzung von Grundschutzmaßnahmen vor Ort),
• datenschutzrechtliche Bewertung der Datenverarbeitung durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit.

Die stichprobenartige Überprüfung ergab, dass die Anforderungen des IT-Grundschutzstandards vom Statistikamt Nord und von dem Dienstleister Dataport vorbildlich erfüllt werden. Auch die datenschutzrechtliche Überprüfung des HmbBfDI wurde erfolgreich abgeschlossen.

9.2          Datenschutz-Gütesiegel  Schleswig-Holstein

9.2.1       Abgeschlossene Gütesiegelverfahren

In den Jahren 2011 und 2012 wurde sieben Produkten erstmalig ein Datenschutz-Gütesiegel verliehen. Sechzehn weitere Produkte wurden nach Fristablauf der bestehenden Zertifizierung in einem vereinfachten Verfahren rezertifiziert.

Die Zahl von Rezertifizierungen zeigt, dass sich für die Hersteller das Gütesiegel lohnt. In einigen Branchen, etwa bei Schredderunternehmen, hat das Gütesiegel eine hohe Marktdurchsetzung. Nach Inkrafttreten der neuen Norm für Akten- und Datenträgervernichtung DIN 66399 haben sich aktuelle und zukünftige Zertifizierungsverfahren in diesem Bereich nun hieran zu orientieren. Für Produkte, die Teil eines Krankenhausinformationssystems sind, legt die unter den Datenschutzaufsichtsbehörden abgestimmte „Orientierungshilfe Krankenhausinformationssysteme“ (OH KIS) einen neuen Prüfmaßstab fest. Im Rahmen der Rezertifizierung des Produkts „Galileo 1.5“ konnten wir hiermit erste Erfahrungen sammeln.

Bei Anbietern von Targeting-Lösungen kam es zu Verzögerungen und Verschiebungen von zunächst angestrebten (Re-)Zertifizierungen. Grund hierfür ist die europäische E-Privacy-Richtlinie, die in Deutschland trotz Ablauf der Frist noch nicht vollständig umgesetzt ist und für das Setzen von Cookies durch Werbeanbieter in der Regel die ausdrückliche Einwilligung des Betroffenen verlangt (Tz. 7.3). Die dadurch notwendige Diensteanpassung wurde von den Anbietern bisher nicht ausreichend umgesetzt.

Folgende Produkte wurden u. a. neu zertifiziert:

• „ImmoSolve Central – Edition ImmoSolve Professional“, Version 3: Customer-Relationship-Management-System zur Unterstützung des Vertriebs von Immobilien (Vermietung),
• „RWAS (Archivsoftware)“, Version 1.2: Lagerverwaltungssoftware, die Prozesse der Aktenarchivierung in strukturierten Lagern unterstützt,
• „E-POSTBRIEF Kern“, Release 2.2: Plattform zur verbindlichen, vertraulichen und verlässlichen elektronischen Kommunikation für Privat- und Geschäftskunden,
• „ProCampaign“, Version 2.0: Multifunktionale, webbasierte Anwendung zur Unterstützung des Customer Relationship Managements bzw. Permission Marketings,
• „Codira PACS“, Version 9.1: Digitales Bildarchiv- und Kommunikationssystem für radiologische Bilder,
• „Verfahren zur Vernichtung von Akten“, Stand April 2012: Verfahren zur Vernichtung von Datenträgern in Papierform (inkl. Datenträger mit Informationsdarstellung in Originalgröße und Ordner) durch die REISSWOLF Deutschland GmbH,
• „DC+, DCM+, DC4, DCM4“, Stand Januar 2012: Lesegeräte zur Altersverifikation der Firma ICT Europe GmbH.

Nachdem 2011 eine relativ geringe Zahl an Anträgen für Neuzertifizierungen beim ULD einging, zogen die Nachfragen 2012 merklich an. Dennoch ist die Möglichkeit der Datenschutzzertifizierung in vielen Branchen noch unbekannt, insbesondere auch in Bereichen, in denen sensible Daten verarbeitet werden.

Weitere Informationen für Hersteller befinden sich im Internet unter:

https://www.datenschutzzentrum.de/guetesiegel/infos_hersteller.htm

9.2.2       Sachverständige  und Prüfstellen

2011 und 2012 wurden wieder zahlreiche Sachverständige für das Verfahren zur Erlangung des Datenschutz-Gütesiegels Schleswig-Holstein anerkannt.

Im Rahmen des zweistufigen Gütesiegelverfahrens erfolgt die Begutachtung der zu zertifizierenden Produkte durch beim ULD anerkannte Datenschutzsachverständige. Wer sich anerkennen lassen möchte, kann dieses für die Bereiche Recht oder Technik beantragen. Bei entsprechender Qualifikation ist auch eine Doppelzulassung möglich. Entsprechendes gilt für Prüfstellen. Voraussetzung für eine Anerkennung ist neben der Zuverlässigkeit und Unabhängigkeit der Nachweis der erforderlichen Fachkunde. Diese muss sich insbesondere auf den Datenschutzbereich und auf jahrelange praktische Erfahrungen erstrecken.

Die Attraktivität der Anerkennung als Sachverständiger bzw. sachverständige Prüfstelle hat dadurch zugenommen, dass diese auch dazu berechtigt, Gutachten zur Akkreditierung von De-Mail-Anbietern zu erstellen. De-Mail-Anbieter müssen im Rahmen ihrer Zulassung und Akkreditierung nachweisen, dass sie die datenschutzrechtlichen Anforderungen erfüllen. Als Nachweis dient ein Zertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), wofür der De-Mail-Anbieter dem BfDI ein Sachverständigengutachten vorlegen muss. Beim ULD anerkannte Sachverständige bzw. sachverständige Prüfstellen sind berechtigt, diese Gutachten zu erstellen.

• Mathias Reinis, Bonn (Recht/Technik),
• Karsten U. Bartels, LL.M., Berlin (Recht),
• Prof. Dr. Christoph Bauer, Hamburg (Technik),
• activeMind AG (Leitung: Klaus Foitzick), München (Recht/Technik),
• Marcus Reinberg, LL.M., Hamburg (Recht),
• Ulf Neumann, LL.M., Stuttgart (Recht),
• Kedua GmbH – Bereich Begutachtungen (Leitung: Frank Jander), Berlin (Recht),
• Dr. Peter Katko, München (Recht),
• Dr. Thomas H. Lenhard, Rotalben (Technik),
• Andreas Ebbersmeyer, Geesthacht (Recht/Technik),
• Dr. Robert Kazemi, Bonn (Recht),
• ditis Systeme, Niederlassung der JMV GmbH & Co. KG (Leitung: Andreas Zeller (Recht) und Monika Egle (Technik)), Bonn (Recht/Technik),
• Dr. Bruno Wildhaber, Schwerzenbach/Schweiz (Technik),
• PERSICON cert AG (Leitung: Prof. Dr. Rainer Rumpel (Technik) und Stefanie Brandis (Recht)), Berlin (Recht/Technik),
• Karsten Neumann, Stralsund (Recht),
• Prof. Dr. Lambert Grosskopf, LL.M. Eur., Bremen (Recht),
• Mission 100 e.V. (Leitung: Michael J. Erner (Recht) und Friedrich K. Abraham (Technik)), Bad Wörishofen (Recht/Technik),
• Dr. Frank Eickmeier, Hamburg (Recht),
• Intersoft consulting services AG (Leitung: Matthias Lindner), Hamburg (Recht/Technik),
• Dipl.-Inf. Friedrich Abraham, Hürth (Technik),
• SiCoDa GmbH (Leitung: Oliver Gönner (Recht) und Holger Filges (Technik)), Alfter (Recht/Technik).

Inzwischen sind beim ULD 56 Einzelsachverständige und 16 Prüfstellen registriert.

Im zeitlichen Zusammenhang mit der jährlich stattfindenden Sommerakademie (Tz. 13) findet jeweils ein Gutachterworkshop in Kiel statt. Von dieser Möglichkeit des Erfahrungsaustausches machen zahlreiche Sachverständige Gebrauch. Diskutiert werden aktuelle Erfahrungen mit Neu- und Rezertifizierungen, die Gestaltung von Gutachten, die Überarbeitung des Kriterienkatalogs, typische Fehler bei der Gutachtenerstellung, die aktuelle Gesetzgebung und Fragen des Marketings.

Weitere Informationen für Sachverständige befinden sich im Internet unter:

https://www.datenschutzzentrum.de/guetesiegel/akkreditierung.htm

9.2.3       Überarbeitung des Gütesiegel-Anforderungskatalogs

Der Gütesiegel-Anforderungskatalog zu IT-Produkten ist Prüfgrundlage für die Sachverständigen. Gesetzesänderungen und die Einführung der Schutzziele im LDSG machten es notwendig, den Kriterienkatalog anzupassen und zu modernisieren.

Die Struktur des Anforderungskatalogs wurde beibehalten. Zu prüfen sind vier Komplexe: grundsätzliche technische Ausgestaltung des Produkts, Zulässigkeit der Datenverarbeitung, technisch-organisatorische Maßnahmen und Rechte der Betroffenen. Dies gewährleistet, dass Prüfungen nach dem alten Katalog mit neuen Untersuchungen vergleichbar sind.

Ein Prüfungsschwerpunkt liegt nunmehr bei den Schutzzielen, an denen sich IT-Produkte ausrichten

müssen, wenn sie zertifiziert werden sollen: Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettbarkeit und Intervenierbarkeit. Die Herausforderung für die Sachverständigen besteht darin, die Gewichtung dieser Schutzziele vorzunehmen und so zu einem angemessenen individuellen Prüfmaßstab für das jeweilige IT-Produkt zu gelangen.

Gesetzesänderungen werden auch künftig in den Anforderungskatalog eingepflegt. Zur Erleichterung der Arbeit der Sachverständigen und zur Vereinheitlichung der Ergebnisse werden regelmäßig Erfahrungen im Zertifizierungsprozess u. a. mittels Beispielen den Sachverständigen zur Verfügung gestellt.

 

9.2.4       Zusammenarbeit mit EuroPriSe

Die Zertifizierungsverfahren des Datenschutz-Gütesiegels Schleswig-Holstein und von EuroPriSe lassen sich verbinden. Für viele Hersteller von IT‑Produkten kann es sich lohnen, ein derartiges Kombiverfahren durchzuführen und damit Synergieeffekte zu nutzen.

Während das Datenschutz-Gütesiegel Schleswig-Holstein die rechtskonforme Einsatzmöglichkeit von IT-Produkten in Schleswig-Holstein nach deutschem Recht bestätigt, hat EuroPriSe vorrangig europäisches Recht – Datenschutzrichtlinien, Rechtsprechung und Auslegungen durch die Artikel-29-Datenschutzgruppe – im Blick. Will ein Hersteller national wie auch international mit seinem Produkt auftreten, kann ein Kombiverfahren sinnvoll sein. Zur Einsparung von Kosten ist es möglich, ein einzelnes Gutachten für beide Verfahren beim ULD als Zertifizierungsstelle einzureichen. Voraussetzung ist, dass die beteiligten Sachverständigen für beide Verfahrensarten anerkannt sind – was für zahlreiche Gutachter und Prüfstellen gilt. 2011 hat die Firma Consultix für ihr Produkt ProCampaign 2.0 ein solches Kombiverfahren erfolgreich durchgeführt. Weitere Anträge werden derzeit im ULD bearbeitet.

 

9.3          EuroPriSe  – europäisches Datenschutz-Gütesiegel

Das europäische Datenschutz-Gütesiegel EuroPriSe ist aus einem von der Europäischen Kommission mit 1,3 Millionen Euro geförderten Projekt hervorgegangen. An seiner Entwicklung 2007 bis 2009 haben neben Partnern aus Forschung und Wirtschaft die französische und die Madrider Datenschutzbehörde (CNIL, APDCM) mitgewirkt (31. TB, Tz. 8.13). Seit 2008 ist das ULD als EuroPriSe-Zertifizierungsstelle tätig.

Vorrangige Arbeitssprache bei EuroPriSe ist Englisch. Seit Herbst 2012 stellt das europäische Datenschutz-Gütesiegel seine Webseite auch in deutscher Sprache zur Verfügung. Damit wird der Zugriff auf bereits vorhandene Fachinformationen in deutscher Sprache erleichtert. Eine Veröffentlichung der EuroPriSe-Kriterien in deutscher Sprache ist für das Frühjahr 2013 geplant.

https://www.european-privacy-seal.eu/criteria/kriterien

 

9.3.1       Zertifizierungskriterien

Das EuroPriSe-Zertifikat bescheinigt die Vereinbarkeit eines IT-Produkts oder einer IT-basierten Dienstleistung mit den Bestimmungen des EU-Datenschutzrechts. Die im Rahmen einer Zertifizierung zu prüfenden Kriterien sind aus den einschlägigen EU-Richtlinien abgeleitet und in einem Anforderungskatalog aufgelistet.

• 1. Komplex: Grundsätzliche Fragestellungen
• 2. Komplex: Rechtmäßigkeit der Datenverarbeitung
• 3. Komplex: Technische und organisatorische Maßnahmen der Datensicherheit
• 4. Komplex: Betroffenenrechte

Der englischsprachige Anforderungskatalog liegt gegenwärtig in der Version vom Mai 2011 vor und kann im Internet abgerufen werden unter:

https://www.european-privacy-seal.eu/criteria/

Eine deutsche Version des Anforderungskatalogs ist in Vorbereitung und wird ebenfalls unter der genannten Internetadresse zum Abruf bereitgestellt werden.

Die letzten inhaltlichen Änderungen der Kriterien erfolgten 2010 (33. TB, Tz. 9.3.1): Als Reaktion auf das Telekom-Reformpaket der EU wurden zwei neue Kriterien eingefügt: das Einwilligungserfordernis bei Cookies (Tz. 7.3) und die Benachrichtigungspflicht im Falle einer Kompromittierung personenbezogener Daten („Data Breach Notification“). Außerdem wurden Fragen zur Sicherheit von Webanwendungen ergänzt.

Nach Abschluss der Reform des Datenschutzrechtsrahmens auf EU-Ebene (Tz. 2.5) wird der Anforderungskatalog an die neue Rechtslage angepasst werden. Grundlegende Änderungen im Kriterienkatalog werden nicht erwartet, da viele der neuen Anforderungen, wie beispielsweise Dokumentationspflichten, bereits im Verfahren berücksichtigt sind.

 

9.3.2       Fachinformationen für EuroPriSe-Gutachter  und Antragsteller

EuroPriSe hat weitere Fachinformationen für Gutachter, Antragsteller und Interessierte veröffentlicht. Hierzu zählen ein Informationsblatt zum Thema „Cloud Computing“, ein Positionspapier zur unmittelbaren Anwendbarkeit der neuen „Cookie-Richtlinie“ und ein Informationsblatt zu den von EuroPriSe-Gutachtern anzuwendenden Evaluationsmethoden.

Das jüngste Telekom-Reformpaket der EU führte zu einer Verschärfung der Anforderungen an eine rechtmäßige Verwendung von Cookies und ähnlichen technischen Hilfsmitteln (Tz. 7.3). Diese dürfen nach den rechtlichen Vorgaben auf EU‑Ebene grundsätzlich nur noch dann verwendet werden, wenn der Nutzer seine Einwilligung hierzu erteilt hat. Der deutsche Gesetzgeber hat die Umsetzungsfrist bis Mai 2011 untätig verstreichen lassen. Wir vertreten die Ansicht, dass die neue Cookie-Richtlinie mangels Umsetzung in nationales Recht unmittelbare Anwendung findet. Gestützt wird diese Argumentation durch die jüngste Rechtsprechung des Europäischen Gerichtshofs (Urteil vom 24. November 2011, C-468/10 und C-469/10, ASNEF/FECEMD). Das Positionspapier ist im Internet abrufbar unter:

https://www.european-privacy-seal.eu/results/Position-Papers

Im Juli 2012 veröffentlichte die Artikel-29-Datenschutzgruppe eine Stellungnahme zum Thema „Cloud Computing“ (Tz. 11.3). Das ULD nahm dies zum Anlass, die von der Gruppe getroffenen Aussagen zu Datenschutzfragen des Cloud Computing in einem Informationsblatt zusammenfassen, welches auch auf Besonderheiten des deutschen Datenschutzrechts hinweist. Das Informationsblatt ist im Internet abrufbar unter:

https://www.european-privacy-seal.eu/results/fact-sheets

Das ULD strebt als EuroPriSe-Zertifizierungsstelle an, dass die Evaluierung durch die Gutachter in verschiedenen Zertifizierungsverfahren insbesondere im Hinblick auf die technischen Gutachten eine vergleichbare Prüftiefe aufweist. So ist zu klären, ob eine Evaluation eine Vor-Ort-Prüfung (z. B. in einem Rechenzentrum) erfordert oder ob Funktionalitätschecks des IT-Produkts oder des Dienstes und die Durchsicht der Dokumentation ausreichen. Vor Beginn der Evaluierung ist das ULD über die geplanten Evaluationsmethoden zu informieren. Gegebenenfalls weist es die Gutachter darauf hin, dass die geplanten Evaluationsmethoden um weitere Prüfmaßnahmen zu ergänzen sind. In dem neuen Informationsblatt zu Evaluationsmethoden bei EuroPriSe-Zertifizierungen gibt das ULD akkreditierten Gutachtern Hilfestellung bei der Auswahl adäquater Evaluationsmethoden.

 

9.3.3       Zertifizierungsverfahren

Für den Aussagegehalt einer Zertifizierung ist die Transparenz des Verfahrens und der Kriterien sowie die Fachkunde und Vertrauenswürdigkeit der verleihenden Stelle maßgeblich. Allein öffentlich zugängliche Kriterien, ein transparentes Verfahren mit relevanten, ebenfalls veröffentlichten Ergebnissen, die eine Prüfbarkeit und Vergleichbarkeit sicherstellen, schaffen Vertrauen. Die finanzielle Unabhängigkeit der Zertifizierungsstelle stellt eine sachgerechte, unabhängige Prüfung und Vergabe der Siegel sicher. Aufbauend auf diesen Erkenntnissen wird das EuroPriSe-Zertifizierungsverfahren für IT-Produkte und IT-basierte Dienstleistungen durchgeführt (31. TB, Tz. 9.4.2). Fachkundige Sachverständige evaluieren den Prüfungsgegenstand, und in einem zweiten Schritt überprüft die unabhängige Zertifizierungsstelle das von den Sachverständigen eingereichte Gutachten auf Vollständigkeit, Nachvollziehbarkeit und Rechtskonformität. Sind alle Zertifizierungskriterien erfüllt, verleiht die Zertifizierungsstelle das EuroPriSe-Zertifikat. Dieses ist zwei Jahre lang gültig. Nach Ablauf dieser Zeitspanne oder bei wesentlichen Änderungen kann ein vereinfachtes Rezertifizierungsverfahren durchgeführt werden.

Alle erfolgreichen Zertifizierungen werden auf der EuroPriSe-Webseite veröffentlicht.

https://www.european-privacy-seal.eu/awarded-seals/

Neben den Angaben zum Produkt und Hersteller erstellt die Zertifizierungsstelle eine Übersicht mit den wesentlichen Angaben und Ergebnissen zum gesiegelten Produkt und Verfahren. Hier finden sich z. B. auch besondere Hinweise zur Nutzung. Über die Webseite kann das Kurzgutachten der Gutachter eingesehen werden.

IT-basierte Dienstleistungen und insbesondere webbasierte Dienste werden oft in kurzen zeitlichen Intervallen geändert, ohne dass dies für die Nutzenden transparent ist. Deshalb ist bei EuroPriSe das sogenannte Monitoring verpflichtend: Wurde ein IT-basierter Dienst zertifiziert, so muss er während der zweijährigen Gültigkeitsdauer des Siegels von den in das Verfahren involvierten Gutachtern auf seine fortwährende Vereinbarkeit mit den Zertifizierungskriterien überprüft werden. Aufgabe der Gutachter ist es zu verfolgen, ob datenschutzrelevante Änderungen an dem jeweiligen Dienst vorgenommen wurden. Die Anbieter von IT-basierten Dienstleistungen sind verpflichtet, acht Monate nach der Zertifizierung den Monitoring-Report bei der Zertifizierungsstelle einzureichen, der alle Änderungen und deren Bewertung beinhaltet. Ein weiterer Report ist nach 16 Monaten vorzulegen. Das Monitoring ersetzt nicht das erfolgreiche Durchlaufen eines Rezertifizierungsverfahrens.

Hersteller bzw. Anbieter können sich nach erfolgter Zertifizierung freiwillig dafür entscheiden, ihr Produkt bzw. ihre Dienstleistung von akkreditierten EuroPriSe-Gutachtern in regelmäßigen Abständen daraufhin prüfen zu lassen, ob es nach wie vor allen relevanten Zertifizierungskriterien genügt. Werden solche sogenannten Update Checks durchgeführt, werden damit besonders hohe Compliance-Anforderungen, wie sie z. B. bei sensiblen Finanz- oder Gesundheitsdaten bestehen, erfüllt. Beim Update Check sind im Anschluss an die Zertifizierung alle sechs Monate von den Gutachtern angefertigte Reports bei der Zertifizierungsstelle einzureichen. Bescheinigen die Gutachter dem IT-Produkt bzw. der -Dienstleistung fortdauernde Compliance mit den EuroPriSe-Zertifizierungskriterien und hat die Zertifizierungsstelle insoweit keine Einwände, so stellt sie nach Überprüfung des letzten, nach 24 Monaten einzureichenden Reports eine Rezertifizierungsurkunde aus. Die Gültigkeit des EuroPriSe-Zertifikats verlängert sich dann um weitere zwei Jahre.

 

9.3.4       Zulassung von Gutachtern

Als EuroPriSe-Gutachter dürfen nur Datenschutzexperten tätig werden, die das strenge EuroPriSe-Akkreditierungsverfahren erfolgreich durchlaufen und somit ihre Fachkunde nachgewiesen haben. Ende 2012 waren 141 Sachverständige aus 18 Ländern zugelassen.

Die Evaluierung der zu zertifizierenden IT-Produkte und -Dienstleistungen wird bei EuroPriSe durch akkreditierte Gutachter vorgenommen. Gutachter können bei Nachweis der nötigen Fachkunde für den Bereich Recht und den Bereich Technik akkreditiert werden.

Seit 2010 können technische und rechtliche Datenschutzexperten, die die für eine Akkreditierung als EuroPriSe-Gutachter erforderliche Berufserfahrung noch nicht in vollem Umfang aufweisen können, aber alle sonstigen Voraussetzungen für eine Zulassung als Gutachter erfüllen, als „EuroPriSe Junior Expert“ akkreditiert werden. Junior-Gutachter dürfen EuroPriSe-Evaluierungstätigkeiten durchführen, wenn ein Gutachter sie beaufsichtigt und die Verantwortung für ihre Tätigkeit übernimmt. Dadurch erhalten Datenschutzexperten die Möglichkeit, schon zu einem frühen Zeitpunkt ihrer beruflichen Karriere an EuroPriSe-Zertifizierungen mitzuwirken.

Datenschutzexperten mit Interesse an einer Akkreditierung müssen zusätzlich zum Nachweis ihrer Fachkunde und Zuverlässigkeit an einem Ausbildungsworkshop teilnehmen und ein Trainingsgutachten anfertigen, das den hohen EuroPriSe-Anforderungen entspricht. In den Jahren 2011 und 2012 wurden in Kiel vier Ausbildungsworkshops durchgeführt. Im November 2012 hat das ULD damit den zehnten Workshop seit der Einführung von EuroPriSe 2007 veranstaltet. An den internationalen Veranstaltungen haben 215 Datenschutzexperten aus 18 Ländern teilgenommen. Begrüßt werden konnten darunter auch Teilnehmer aus Asien, Nord- und Südamerika. In den Jahren 2011 und 2012 wurden 31 neue EuroPriSe-Gutachter aus neun Ländern akkreditiert.

Die Gutachter können für ihre Tätigkeit als Sachverständige mit dem EuroPriSe-Expertenlogo werben.

Eine Liste aller zugelassenen EuroPriSe-Gutachter ist abrufbar unter:

https://www.european-privacy-seal.eu/experts/register-experts/

Die Akkreditierung eines Gutachters ist drei Jahre lang gültig. Ihre Gültigkeit verlängert sich, wenn der Gutachter aktiv an einem EuroPriSe-Verfahren mitwirkt und ein Langgutachten einreicht oder wenn er an einer vom ULD angebotenen Fortbildungsveranstaltung in Gestalt von Workshops („Privacy Trainings“) oder Webinaren teilnimmt. In einem Infoblatt werden die Voraussetzungen für eine Verlängerung der Akkreditierung explizit aufgelistet. Es ist geplant, ab 2013 die Zulassungsbedingungen, insbesondere zur Verlängerung der Gutachterzulassung, weiterzuentwickeln. Es wird dann alle zwei Jahre eine Erklärung der Gutachterinnen und Gutachter verlangt, in der sie bestätigen, dass ein bestimmter Anteil ihrer Arbeit auf dem Gebiet des Datenschutzes erfolgt ist, dass Fortbildungsveranstaltungen besucht wurden und die übrigen Voraussetzungen weiterhin vorliegen.

Im Juni 2011 wurde eine Fortbildungsveranstaltung für Gutachter, ein sogenanntes Privacy Training, zu aktuellen Themen durchgeführt. Der Workshop vermittelte fundierte Kenntnisse zu den wichtigsten Stellungnahmen der Artikel-29-Datenschutzgruppe zur Auftragsdatenverarbeitung und zur datenschutzrechtlichen Verantwortlichkeit sowie zu den Anforderungen der neu eingeführten Cookie-Richtlinie und zu mobilen Apps. Es besteht großes Interesse an Fortbildungsveranstaltungen zur standardisierten Prüfmethodik von EuroPriSe auf der Basis des europäischen Datenschutzrechts. EuroPriSe wird auch 2013 Aus- und Fortbildungsworkshops für Gutachter anbieten.

 

9.3.5       Zertifizierung  und Rezertifizierung

Die Nachfrage nach EuroPriSe-Zertifizierungen ist in den Jahren 2011 und 2012 gestiegen. Es konnten acht Erst- und vier Rezertifizierungen erfolgreich abgeschlossen werden.

• Ixquick, Startpage, Startingpage: Die Suchmaschine Ixquick wurde bereits im Juli 2008 mit dem ersten European Privacy Seal ausgezeichnet (31. TB, Tz. 9.4.4) und 2009 rezertifiziert (32. TB, Tz. 9.4.4). Nach Ablauf der Gültigkeit der Rezertifizierung wurde der Zertifizierungsgegenstand um die kosten- und registrierungsfreien Dienste Startpage und Startingpage erweitert. Anders als die Metasuchmaschine Ixquick nutzt Startpage ausschließlich Suchergebnisse von Google. Wie Ixquick verzichtet auch Startpage völlig auf die Speicherung von IP-Adressen und Suchbegriffen und gibt auch keine personenbeziehbaren Daten an Google weiter. Startingpage wird mittlerweile nicht mehr als eigenständiger Dienst angeboten. Die zertifizierten Dienste bieten eine Proxyfunktion an, die es dem Nutzer oder der Nutzerin ermöglicht, die entsprechende URL durch den Dienst abrufen und sich anzeigen zu lassen. Somit erhält der Webseitenbetreiber nur die IP-Adresse von Ixquick, nicht aber die der anfragenden Person. Bestandteile der zertifizierten Dienste sind Websuche, Bildersuche, Videosuche, Proxydienst, Ixquick-Cache sowie die Interfaces zu Anbietern von Suchmaschinen.
• RISER Service: Die RISER ID Services GmbH betreibt den RISER Service, mit dessen Hilfe Kunden bei der Einholung von einfachen Melderegisterauskünften bei Meldebehörden in bislang zehn verschiedenen Mitgliedstaaten der Europäischen Union unterstützt werden. Kunden können über das RISER-Kundenportal Aufträge zur Einholung von Melderegisterauskünften erteilen, den Status eines Auftrags einsehen und nach dessen Bearbeitung die gelieferten Ergebnisse abrufen. Der RISER-Dienst bietet Schnittstellen zu Meldebehörden, die die gewünschte Melderegisterauskunft erteilen, sofern die gesuchte Person durch die Angaben des Kunden eindeutig identifiziert werden kann und keine Auskunftssperre eingetragen ist. Die Entwicklung des RISER-Dienstes wurde von der Europäischen Kommission im Rahmen des Projektes RISERid (Registry Information Service on European Residents Initial Deployment) gefördert. Das ULD hatte als Projektpartner beratend an der Implementierung des Dienstes mitgewirkt (32. TB, Tz. 8.7). Für die EuroPriSe-Zertifizierung waren Mitarbeiter des ULD verantwortlich, die nicht im Rahmen des Projekts beratend tätig gewesen sind. Der mit dem EuroPriSe-Siegel ausgezeichnete RISER-Dienst hat im Rahmen der Zertifizierung nachgewiesen, dass er die Vorgaben des europäischen Datenschutzrechts vorbildlich umsetzt. Die Evaluierung hat ergeben, dass die RISER ID Services GmbH die erhaltenen Daten über Personen und Wohnorte nicht dauerhaft speichert. Ein sogenanntes Address Pooling findet nicht statt.
• PseudoDat: PseudoDat ist ein IT-basierter Dienst, der es An- und Verkäufern von Adressdaten ermöglicht, ihre Adressdatenbestände nicht im Klartext, sondern nur nach vorheriger Pseudonymisierung miteinander abzugleichen, um auf der Basis dieses Vergleiches Kaufentscheidungen zu treffen. Hierfür wird beim Käufer und beim Verkäufer, dem Adresshändler, eine spezielle Software installiert. Wird ein Adressabgleich initiiert, werden die Adressdatenbestände beim Käufer und Verkäufer in die Applikation eingespielt und mithilfe eines von der Software erzeugten Pseudonymisierungs-Keys pseudonymisiert. Bei den pseudonymisierten Adressdatenbeständen handelt es sich nicht um Datensätze mit Merkmalsdaten im Klartext, sondern um voll verschlüsselte Daten, bei denen der verwendete Schlüssel für jeden Abgleichsvorgang neu generiert wird. Der Abgleich der Adressdatenbestände wird auf einem vom Anbieter des Dienstes, der m-privacy GmbH, betriebenen Server durchgeführt. Nach Beendigung des Abgleichsvorgangs können sich Käufer und Verkäufer dessen Ergebnisse (insbesondere die Anzahl der identifizierten Dubletten) in der PseudoDat-Applikation ansehen. Da der Pseudonymisierungs-Key verschlüsselt zwischen Käufer und Verkäufer ausgetauscht wird, ist sichergestellt, dass die m-privacy GmbH keine Zugriffsmöglichkeit auf die Klartextdaten erhält.
• NOVOCARD-Ampelsystem: Die Austrian Gaming Industries GmbH (AGI) betreibt Spielkasinos in Niederösterreich. Sie hat mit dem NOVOCARD-Ampelsystem ein automationsunterstütztes Zutrittskontrollsystem für Besucher der von ihr betriebenen Kasinos entwickelt, mit dessen Hilfe Häufigkeit und Dauer der Anwesenheit von Besuchern in den Kasinos erfasst werden. Dies dient dazu, spezialgesetzlichen Vorschriften zur Spielsuchtprävention zu genügen. Die AGI verarbeitet nur solche personenbezogenen Daten, die zur Identifizierung der Kasinobesucher, für die Erfassung und Auswertung von Anwesenheitszeiten und für die Verhängung einer (möglichen) Zutrittssperre erforderlich sind. Hervorzuheben ist hierbei, dass nur summarische Werte zu Anwesenheitstagen und -stunden, nicht aber das genaue Datum, die Uhrzeit und der Standort des entsprechenden Kasinos gespeichert und ausgewertet werden. Bei der NOVOCARD handelt es sich um eine kontaktlos auslesbare Karte. Die AGI rät den Besuchern ihrer Kasinos, die Karte durch eine Schutzhülle vor unberechtigtem Auslesen zu schützen. Besucher können solche Schutzhüllen zum Einkaufspreis von der AGI erwerben.
• V3 Self-Certification, Version 1.0 (Vermarktung als VALid-4F Self-Certification): VALid-4F ist ein Softwaretool, mit dem sich Personen gegenüber einer das Tool einsetzenden Stelle authentisieren und nachweisen können, dass sie sich in einem bestimmten Staat aufhalten. Betroffenen wird durch das Tool auf freiwilliger Basis ermöglicht, mithilfe eines Mobiltelefons eine sogenannte Selbstzertifizierung (Authentisierung und Nachweis, dass sie sich im Inland aufhalten) vorzunehmen. Auf diesem Weg können beispielsweise Empfänger von Sozialleistungen ihrer Verpflichtung nachkommen, in festgesetzten Abständen bei der zuständigen Behörde nachzuweisen, dass sie sich im Inland aufhalten. Der Nutzen für die Betroffenen besteht darin, dass sie nicht bei der jeweiligen Stelle vor Ort erscheinen müssen. Die Authentisierung erfolgt mittels Besitz (Mobiltelefon), Wissen (Antworten auf vereinbarte Fragen) und Biometrie (Spracherkennung). Eine bestimmte Spracherkennungssoftware war jedoch nicht Gegenstand der Zertifizierung. Ob sich der Betroffene im Inland aufhält, wird mithilfe eines Partnerunternehmens aus dem Telekommunikationsbereich festgestellt.
• ProCampaign, Version 2.0: Bei ProCampaign handelt es sich um einen IT-basierten Dienst zur Unterstützung des Customer Relationship Managements (CRM) eines Unternehmens. Mithilfe von ProCampaign können Unternehmen personenbezogene Daten ihrer Kunden (Verbraucher) zu Zwecken der Marktanalyse, der Kundenbindung oder der Werbung verarbeiten. Die Daten können auf zwei Arten in die Datenbank von ProCampaign gelangen: Zum einen kann das den Dienst einsetzende Unternehmen bereits vorhandene Kundendaten auf die ProCampaign-Datenbank überspielen, zum anderen können von Verbraucherinnen und Verbrauchern – z. B. in einem Webformular – angegebene Daten (direkt) in die Datenbank von ProCampaign übertragen werden. ProCampaign unterstützt die Einholung, Speicherung und Verwaltung von Einwilligungserklärungen der Verbraucherinnen und Verbraucher in die jeweiligen Datenverarbeitungen (z. B. die Zusendung von Werbung über unterschiedliche Kanäle wie E-Mail, (Mobil-)Telefon oder Post). ProCampaign nutzende Unternehmen werden in einem Informationsblatt in umfassender und gut verständlicher Art und Weise über datenschutzrelevante Fragestellungen, die bei der Nutzung des Dienstes zu beachten sind, informiert.
• SAP Test Data Migration Server (TDMS), Version 4.0: TDMS bietet eine Erweiterungssoftware für SAP-Systeme, mit deren Hilfe Daten für Entwicklungs-, Test-, Qualitätssicherungs- und Schulungszwecke bereitgestellt werden können. Bei der Nutzung von – aus Produktivsystemen übernommenen – Daten müssen besondere datenschutzrechtliche Anforderungen beachtet werden. So ist eine Verwendung unveränderter Echtdaten nur unter ganz bestimmten Voraussetzungen und in sehr engen Grenzen zulässig. Mit dem Einsatz von TDMS haben Nutzerinnen und Nutzer die Möglichkeit, die verwendeten Daten auf ein Minimum zu reduzieren und diese zu verfremden, ohne dass die Konsistenz der Daten verloren geht. Die Software ermöglicht es, personenbezogene Daten so zu löschen oder zu modifizieren, dass die Identifizierbarkeit der Betroffenen entweder vollständig verhindert (Anonymisierung) oder zumindest erschwert wird (Pseudonymisierung). Hierfür bietet TDMS eine Reihe von vordefinierten Regeln, die um eigene Regeln ergänzt werden können. Ob die Verwendung bestimmter Regeln zu einer Anonymisierung bzw. Pseudonymisierung im Sinne des Datenschutzrechts führt, ist von den Nutzerinnen und Nutzern in jedem Einzelfall genau zu prüfen. Vorbildlich ausgestaltete Produkt- und Nutzerinformationen geben Hilfestellungen für den rechtskonformen Einsatz von TDMS (insbesondere für die einzusetzenden Verfremdungsregeln).
• VALid-SSD (Sim Swap Detection), Version 3.5: Die Software VALid-SSD dient der Erkennung von SIM-Kartenwechseln und unterstützt Organisationen dabei, die Integrität einer Kommunikation mit Handynutzerinnen und -nutzern sicherzustellen. Besondere Bedeutung hat dies bei sogenannten „Out Of Band“-Authentifikationen, wie sie z. B. beim Online-Banking (mobileTAN) zum Einsatz kommen. VALid-SSD betrachtet dabei das folgende Angriffsszenario: Gelingt es einem in betrügerischer Absicht handelnden Angreifer, sich gegenüber einem Mobilfunkanbieter als dessen Kunde auszugeben und diesen dazu zu veranlassen, der Mobilfunknummer des tatsächlichen Kunden eine neue SIM‑Kartennummer zuzuordnen, so erhält im Rahmen einer Banktransaktion der Betrüger und nicht der eigentliche Bankkunde die von der Bank versendete TAN. Durch den Einsatz von VALid-SSD kann ein solches Szenario verhindert werden, denn mithilfe der Software können kürzlich erfolgte (und potenziell verdächtige) SIM-Kartenwechsel festgestellt werden. Datenschutzrechtlich vorbildlich sind bei VALid-SSD die Begrenzung der verarbeiteten Daten auf das absolute Minimum sowie die strikten, dem Datenschutz verpflichteten Nutzungsbedingungen.

Erfolgreich rezertifiziert wurden die folgenden IT-Produkte und IT-basierten Dienstleistungen:

• e-pacs Speicherdienst, Version 3.0 (Erstzertifizierung 2008): e-pacs bietet eine elektronische Archivierung von Röntgenbildern und anderen medizinischen Daten durch einen externen Dienstleister. Der Dienst besteht im Wesentlichen aus dem lokal beim Kunden einzurichtenden Department-Server und dem externen Deep Storage Server im Verantwortungsbereich des Dienstleisters und hat sich seit der Erstzertifizierung (31. TB, Tz. 9.4.4) in datenschutzrelevanten Bereichen nicht verändert.
• KiwiVision Privacy Protector, Version 1.0 (Erstzertifizierung 2009): Das Softwaremodul „Privacy Protector“ ermöglicht die Verschleierung von Videoklardaten in Echtzeit. Bewegte Personen oder personenbeziehbare Objekte (z. B. Kfz-Kennzeichen) können in digitalen Videobildern unkenntlich gemacht werden. Das restliche Videobild bleibt unverändert. Mit dem Modul können Videoüberwachungsanlagen so eingesetzt werden, dass sie weniger intensiv in das Recht auf informationelle Selbstbestimmung eingreifen. Seit der Erstzertifizierung (32. TB, Tz. 9.4.4) sind keine datenschutzrelevanten Änderungen am Privacy Protector vorgenommen worden.
• Predictive Targeting Networking, Version 2.1 (Erstzertifizierung 2009): PTN ist ein Verfahren zur gezielten Ansprache von Internetnutzerinnen und Nutzern im Bereich der Online-Werbung („Online Behavioural Advertising“). Zu beachten war eine Änderung der gesetzlichen Rahmenbedingungen auf europäischer Ebene, die die Einholung einer Einwilligung vor dem Setzen eines Cookies auf einem Endgerät erforderlich macht (33. TB, Tz. 9.3.1). Dazu wurde eine Anpassung der für diesen Bereich geltenden Zertifizierungskriterien und damit auch eine Änderung des Dienstes notwendig. PTN wurde nach den EuroPriSe-Übergangsregelungen für OBA-Verfahren zertifiziert. Wie bei der Erstzertifizierung auch erfolgt die Ansprache der Nutzerinnen und Nutzer auf der Grundlage ihres Surfverhaltens, welches mit Umfragedaten einer kleinen Zahl zufällig ausgewählter Nutzer kombiniert und mithilfe mathematischer Algorithmen ausgewertet wird. Hierbei werden weder anbieterübergreifende Profile von Nutzerinnen und Nutzern erstellt noch sensitive Daten im Sinne des Datenschutzrechts verwendet. Nutzerinnen und Nutzer können den Einsatz des PTN-2.1-Verfahrens durch Verwendung eines sogenannten Block-Cookies („Opt-Out“) unterbinden. Darüber hinaus haben sie in der rezertifizierten Version von PTN die Möglichkeit, explizit in die Verwendung ihrer Daten einzuwilligen und mithilfe eines sogenannten Themenmonitors auf einfache Weise zu erfahren, in welche Kategorien (z. B. Sport oder Fashion) sie durch den Dienst eingeordnet wurden. Ebenfalls neu ist, dass unmittelbar angrenzend an jede mittels PTN eingeblendete Werbeinformation ein Icon angezeigt wird. Dieses Icon ist mit einer Seite verlinkt, die sowohl allgemeine Informationen zum Thema „verhaltensbasierte Online-Werbung“ als auch spezielle Informationen zu PTN bereithält. Wie auch schon bisher können Nutzerinnen und Nutzer auf der Webseite des Anbieters des Dienstes, der nugg.ad AG, eine verständlich formulierte Datenschutzerklärung mit Informationen zu allen relevanten Aspekten von PTN 2.1 einsehen.
• VALid-POS® Standard Edition, Version 2 (Erstzertifizierung 2010): VALid-POS ist eine datensparsame Lösung zur Betrugsbekämpfung beim Vor-Ort-Einsatz von EC‑und Kreditkarten an Geldautomaten und Kassenterminals. Mithilfe des Softwaretools kann festgestellt werden, ob sich ein zuvor registriertes Mobiltelefon des Karteninhabers in der Nähe des Geldautomaten oder Kartenterminals befindet, an dem die Karte eingesetzt wird. Seit der Erstzertifizierung (33. TB, Tz. 9.3.5) sind keine datenschutzrelevanten Änderungen an VALid-POS vorgenommen worden.

Die öffentlichen Kurzgutachten zu allen verliehenen EuroPriSe-Gütesiegeln sind im Internet abrufbar unter:

https://www.european-privacy-seal.eu/awarded-seals/

Ende 2012 liefen bei EuroPriSe mehr als 25 Erst- und Rezertifizierungsverfahren. Bei den Zertifizierungsgegenständen handelt es sich überwiegend um IT-basierte Dienste, aber auch um IT-Produkte, insbesondere Software. Sie sind für unterschiedliche Einsatzbereiche bestimmt, etwa für den Gesundheits-, den Finanz- oder den Werbesektor.

 

9.3.6       Zusammenarbeit mit anderen Datenschutzbehörden

Im Rahmen von EuroPriSe fand ein Informationsaustausch mit Datenschutzbehörden im In- und Ausland zu fallbezogenen wie auch allgemeinen Datenschutzfragen statt, z. B. zum Cloud Computing, zur Umsetzung der Cookie-Richtlinie, zu Tracking und verhaltensbasierter Werbung.

Der Entwurf der EU-Kommission zu einer Datenschutz-Grundverordnung (Tz. 2.5) sieht in Art. 39 eine Regelung vor, die es zukünftig den Datenschutzbehörden in Europa ermöglichen kann, Zer- tifizierungsstelle für EuroPriSe zu werden. Das ULD unterstützt diese Regelung und hat zu deren Konkretisierung Vorschläge bei der Europäischen Kommission und dem Europäischen Parlament vorgelegt.

Im Rahmen des von der Europäischen Kommission geförderten TAIEX-Programms hat das ULD eine Informationsveranstaltung zur Zertifizierung nach EuroPriSe für die Datenschutzkommission Mazedonien ausgerichtet.

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel