Datenschutzkonformität objektiv nachweisen – Mit einer Zertifizierung nach Trusted Site Privacy
Mit Trusted Site Privacy (TSP) verfolgt TÜVIT einen ganzheitlichen Ansatz. IT-Systeme werden im Rahmen dieses weithin respektierten Zertifikats unter rechtlichen und technischen Aspekten im Hinblick auf einen verantwortungsbewussten Umgang mit personenbezogenen Daten der Kunden geprüft.
Dabei legen unsere Experten die Bewertungskriterien für die Qualität im betrieblichen Datenschutz zugrunde, die über einen Zeitraum von zwei Jahren von über 80 Spitzenkräften verschiedener Branchen im Rahmen eines EU-Forschungsprojekts entwickelt wurden.
Trusted Site Privacy: Ganzheitliche Prüfung in 4 Schritten
Diese Ganzheitlichkeit schlägt sich auch im Prüfverfahren nieder, welches einer TSP-Zertifizierung vorausgeht. Zu einem TSP-Zertifikat gehören drei umfangreiche Evaluationen. Zunächst eine Bewertung der Datenschutzkonformität (rechtlich und technisch) und zusätzlich eine Sicherheitstechnische Untersuchung.
Die Prüfung erfolgt in mehreren Schritten:
Im Rahmen der Ist-Analyse evaluieren erfahrene Experten den gegenwärtigen Zustand Ihres Produkts. Dies passiert im Rahmen eines Vorgesprächs, in dem eine umfangreiche Bestandsaufnahme anhand bewährter Kriterien vorgenommen wird. Dieser Schritt der Zertifizierung beinhaltet üblicherweise auch einen Workshop. Hier werden Ihnen vor dem eigentlichen Audit die Grundlagen unserer Arbeit und der ihr zugrundeliegenden Gesetze erklärt.
Zudem wird im Rahmen der Ist-Analyse in enger Absprache mit Ihnen das exakte Scope des späteren Auditierungsprozesses und letztendlich auch der Zertifizierung festgelegt. Dabei ist Präzision von äußerster Bedeutung und wird von unseren Experten konsequent forciert.
Unsere Experten prüfen die von Ihnen eingereichte Dokumentation auf Herz und Nieren. Dabei wird beachtet ob die von Ihnen benannten Maßnahmen ausreichen um den materiell-rechtlichen gesetzlichen Anforderungen an den Datenschutz zu genügen und ob die eingereichten Dokumente diese Maßnahmen auch hinreichend belegen um im Ernstfall einer Prüfung durch eine Aufsichtsbehörde standzuhalten.
Wir inspizieren Ihre Anlagen Vor-Ort und stellen durch Begehung, Begutachtung und Befragung sicher, dass die erforderlichen und von Ihnen angeordneten Maßnahmen auch konsequent und flächendeckend umgesetzt werden. Zusätzlich testen wir im Rahmen einer Sicherheitstechnischen Untersuchung (SU), ob die von Ihnen eingesetzten Systeme auch technisch das angestrebte Level an Kundendatenschutz gewährleisten können. Dies geschieht zum Beispiel durch eine technische Begutachtung der verwendeten Komponenten oder durch umfangreiche Penetrationstests, die Schwachstellen der eingesetzten Infrastruktur aufdecken können.
Den Abschluss der Inspektion stellt ein umfangreicher Prüfbericht dar, der die Ergebnisse der Auswertung der Dokumente und des Audits umfasst. Dieser Bericht dokumentiert die Erfüllung der Anforderungen und dient als Grundlage für die Ausstellung des Zertifikats durch die Zertifizierungsstelle.
Bewertungskriterien im Rahmen einer Zertifizierung nach Trusted Site Privacy
Die Bewertung der Datenschutzkonformität wird durch rechtliche und technische Gutachter der TÜVIT Prüfstelle für Datenschutz vorgenommen. Sie basiert auf der Analyse der Dokumente und der Ergebnisse der Umsetzungsprüfung vor Ort.
- Ermächtigungsgrundlagen der Datenverarbeitung
- Rechtmäßigkeit einzelner Phasen der Datenverarbeitung
- Einhaltung der Datenschutzgrundsätze
- Regelungen zur Auftragsverarbeitung
- Einhaltung der Betroffenenrechte
- Benachrichtigung, Informations- und Hinweispflichten
- Transparenz der Datenschutzpolitik
- Transparenz der Datenschutzdokumentation
- Unterstützung der Betroffenen bei der Wahrnehmung ihrer Rechte
- technische Sicherheit und für den Prüfgegenstand spezifische, organisatorische Anforderungen
- Datenschutzpolicy und Arbeitsanweisungen
- Risikoanalyse
- regelmäßige Überprüfung zur Verbesserung der Datenschutzmaßnahmen, kontinuierlicher Verbesserungsprozess
- Qualifizierung der Mitarbeiter
- Funktionsbedingungen des Datenschutzbeauftragten
- Dokumentation der Datenschutzmaßnahmen
- Systeme müssen bereits bei der Entwicklung den Gedanken des Datenschutzes beachten
- sie müssen von Grund auf so geschaffen sein, dass nur die absolut notwendigen Daten erhoben werden
- wenn ein System Voreinstellungen anbietet, so sind als Default die datenschutzfreundlicheren anzuwenden
- ein etwaig erweiterter Zugriff auf personenbezogene Daten muss per explizitem Opt-in freigegeben werden
Die Sicherheitstechnische Untersuchung umfasst u.a.:
- Prüfung der verwendeten Komponenten sowie Netzwerk- und Transportsicherheit
- Prüfung der Konfigurationsmöglichkeiten
- Prüfung der eingesetzten Werkzeugen
- Durchführung von Penetrationstests
Der Zertifizierungsablauf im Überblick
FAQ zur Datenschutz-Zertifizierung Trusted Site Privacy
Was ist der Vorteil von TSP gegenüber anderen Siegeln im Bereich Datenschutz?
TSP arbeitet mit Kriterien, die von Experten aus Wissenschaft, Wirtschaft von staatlichen und privaten Datenschutzorganisationen im Rahmen eines EU Forschungsprojekts erarbeitet wurden. Die Prüfungen und die Verleihungen der Zertifikate werden unmittelbar von TÜVIT durchgeführt, sodass das jeweilige Projekt ganzheitlich von einem Unternehmen der renommierten TÜV NORD Gruppe betreut wird. Gerade in Deutschland ist die Abkürzung TÜV ein Synonym für höchste Ansprüche und gründlichste Prüfungen mit dem Blick auf die Sicherheit von Produkten und Dienstleistungen aller Art.
Was wird im Rahmen von TSP geprüft?
Zum Erwerb des TSP Zertifikats wird ein Prüfgegenstand zunächst auf die rechtmäßige Verarbeitung personenbezogener Daten und deren ausreichende Sicherheit durch angemessene Schutzmaßnahmen geprüft. Zusätzlich werden diese technisch-organisatorischen Maßnahmen zur Sicherung der verarbeiteten Daten im Rahmen einer Sicherheitstechnischen Untersuchung (SU) auf den Prüfstand gestellt und durch gezielte Suche nach Schwachstellen einem Stresstest unterzogen, der mögliche Angriffstaktiken unbekannter Angreifer simuliert.
Auf welcher Grundlage basiert die TSP-Zertifizierung?
Die Kriterien für das TSP-Zertifikat wurden zum Teil als Ergebnis eines zweijährigen EU-Forschungsprojekts von über 80 Experten diverser Hintergründe (Wirtschaft, Wissenschaft, staatliche und private Datenschutzorganisationen) entwickelt. Mit der Aufgabe der Zertifizierung aufgrund dieser Kriterien wurde TÜVIT als einziger Anbieter betraut.
