Zum Inhalt springen

TSP – entdeckt, erklärt

Trusted Site Privacy

Mit Trusted Site Privacy (TSP) verfolgt TÜVIT einen ganzheitlichen Ansatz. IT-Systeme werden im Rahmen dieses weithin respektierten Zertifikats unter rechtlichen und technischen Aspekten im Hinblick auf einen verantwortungsbewussten Umgang mit personenbezogenen Daten der Kunden geprüft.

Individuelles Angebot anfordern

Was ist Trusted Site Privacy?

Trusted Site Privacy bezeichnet ein Datenschutzkonzept, bei dem Nutzerinnen und Nutzer darauf vertrauen können, dass ihre persönlichen Daten auf einer Website sicher und verantwortungsvoll behandelt werden. Dabei verpflichtet sich der Betreiber, nur notwendige Daten zu erheben, transparent über deren Verwendung zu informieren und diese vor unbefugtem Zugriff zu schützen. Häufig ist dies mit Zertifizierungen oder Siegeln verbunden, die die Einhaltung bestimmter Datenschutz- und Sicherheitsstandards belegen. Ziel ist es, Vertrauen zu schaffen, Missbrauch zu verhindern und den gesetzlichen Vorgaben – etwa der DSGVO – zu entsprechen. So können Besucher sicher sein, dass ihre Privatsphäre respektiert wird.

Unsere Experten legen die Bewertungskriterien für die Qualität im betrieblichen Datenschutz zugrunde, die über einen Zeitraum von zwei Jahren von über 80 Spitzenkräften verschiedener Branchen im Rahmen eines EU-Forschungsprojekts entwickelt wurden.

Besonderheiten von Trusted Site Privacy

  • Transparente Datennutzung – klare Information, welche Daten gesammelt und wofür sie verwendet werden
  • Minimale Datenerhebung – nur notwendige personenbezogene Daten werden gespeichert
  • Hohe Sicherheitsstandards – Schutz vor unbefugtem Zugriff durch Verschlüsselung und sichere Server
  • Zertifizierungen & Siegel – Nachweis der Einhaltung geprüfter Datenschutzrichtlinien
  • Rechtskonformität – Erfüllung gesetzlicher Anforderungen wie DSGVO
  • Vertrauensbildung – Stärkung der Nutzerbindung durch seriösen Umgang mit Daten

Bewertungskriterien im Rahmen einer Zertifizierung nach Trusted Site Privacy

  • Ermächtigungsgrundlagen der Datenverarbeitung
  • Rechtmäßigkeit einzelner Phasen der Datenverarbeitung
  • Einhaltung der Datenschutzgrundsätze
  • Regelungen zur Auftragsverarbeitung
  • Einhaltung der Betroffenenrechte
  • Benachrichtigung, Informations- und Hinweispflichten

  • Transparenz der Datenschutzpolitik
  • Transparenz der Datenschutzdokumentation
  • Unterstützung der Betroffenen bei der Wahrnehmung ihrer Rechte

  • technische Sicherheit und für den Prüfgegenstand spezifische, organisatorische Anforderungen

  • Datenschutzpolicy und Arbeitsanweisungen
  • Risikoanalyse
  • regelmäßige Überprüfung zur Verbesserung der Datenschutzmaßnahmen, kontinuierlicher Verbesserungsprozess
  • Qualifizierung der Mitarbeiter
  • Funktionsbedingungen des Datenschutzbeauftragten
  • Dokumentation der Datenschutzmaßnahmen

  • Systeme müssen bereits bei der Entwicklung den Gedanken des Datenschutzes beachten
  • sie müssen von Grund auf so geschaffen sein, dass nur die absolut notwendigen Daten erhoben werden
  • wenn ein System Voreinstellungen anbietet, so sind als Default die datenschutzfreundlicheren anzuwenden
  • ein etwaig erweiterter Zugriff auf personenbezogene Daten muss per explizitem Opt-in freigegeben werden

Die Sicherheitstechnische Untersuchung umfasst u.a.:

  • Prüfung der verwendeten Komponenten sowie Netzwerk- und Transportsicherheit
  • Prüfung der Konfigurationsmöglichkeiten
  • Prüfung der eingesetzten Werkzeugen
  • Durchführung von Penetrationstests
TSP-Zertifizierung

Trusted Site Privacy: Ganzheitliche Prüfung in 4 Schritten

Diese Ganzheitlichkeit schlägt sich auch im Prüfverfahren nieder, welches einer TSP-Zertifizierung vorausgeht. Zu einem TSP-Zertifikat gehören drei umfangreiche Evaluationen. Zunächst eine Bewertung der Datenschutzkonformität (rechtlich und technisch) und zusätzlich eine Sicherheitstechnische Untersuchung.

IST-Analyse und Definition Scope

Im Rahmen der Ist-Analyse evaluieren erfahrene Expert:innen den gegenwärtigen Zustand Ihres Produkts. Dies passiert im Rahmen eines Vorgesprächs, in dem eine umfangreiche Bestandsaufnahme anhand bewährter Kriterien vorgenommen wird. Dieser Schritt der Zertifizierung beinhaltet üblicherweise auch einen Workshop. Hier werden Ihnen vor dem eigentlichen Audit die Grundlagen unserer Arbeit und der ihr zugrundeliegenden Gesetze erklärt. 

Zudem wird im Rahmen der Ist-Analyse in enger Absprache mit Ihnen das exakte Scope des späteren Auditierungsprozesses und letztendlich auch der Zertifizierung festgelegt. Dabei ist Präzision von äußerster Bedeutung und wird von unseren Experten konsequent forciert.

Bewertung der Dokumentation

Unsere Expert:innen prüfen die von Ihnen eingereichte Dokumentation auf Herz und Nieren. Dabei wird beachtet ob die von Ihnen benannten Maßnahmen ausreichen um den materiell-rechtlichen gesetzlichen Anforderungen an den Datenschutz zu genügen und ob die eingereichten Dokumente diese Maßnahmen auch hinreichend belegen um im Ernstfall einer Prüfung durch eine Aufsichtsbehörde standzuhalten.

On-Site Audit und sicherheitstechnische Untersuchung

Wir inspizieren Ihre Anlagen Vor-Ort und stellen durch Begehung, Begutachtung und Befragung sicher, dass die erforderlichen und von Ihnen angeordneten Maßnahmen auch konsequent und flächendeckend umgesetzt werden. Zusätzlich testen wir im Rahmen einer Sicherheitstechnischen Untersuchung (SU), ob die von Ihnen eingesetzten Systeme auch technisch das angestrebte Level an Kundendatenschutz gewährleisten können. Dies geschieht zum Beispiel durch eine technische Begutachtung der verwendeten Komponenten oder durch umfangreiche Penetrationstests, die Schwachstellen der eingesetzten Infrastruktur aufdecken können.

Anfertigung eines ausführlichen Prüfberichts

Den Abschluss der Inspektion stellt ein umfangreicher Prüfbericht dar, der die Ergebnisse der Auswertung der Dokumente und des Audits umfasst. Dieser Bericht dokumentiert die Erfüllung der Anforderungen und dient als Grundlage für die Ausstellung des Zertifikats durch die Zertifizierungsstelle.

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie


TÜV NORD IT Secure Communication I Berlin
Ziel erreicht?

Wir prüfen das


TÜV Informationstechnik I Essen

Häufig gestellte Fragen (FAQ)

Was Sie über die Datenschutz-Zertifizierung Trusted Site Privacy wissen müssen

TSP arbeitet mit Kriterien, die von Experten aus Wissenschaft, Wirtschaft von staatlichen und privaten Datenschutzorganisationen im Rahmen eines EU Forschungsprojekts erarbeitet wurden. Die Prüfungen und die Verleihungen der Zertifikate werden unmittelbar von TÜVIT durchgeführt, sodass das jeweilige Projekt ganzheitlich von einem Unternehmen der renommierten TÜV NORD Gruppe betreut wird. Gerade in Deutschland ist die Abkürzung TÜV ein Synonym für höchste Ansprüche und gründlichste Prüfungen mit dem Blick auf die Sicherheit von Produkten und Dienstleistungen aller Art. 

Die Kriterien für das TSP-Zertifikat wurden zum Teil als Ergebnis eines zweijährigen EU-Forschungsprojekts von über 80 Experten diverser Hintergründe (Wirtschaft, Wissenschaft, staatliche und private Datenschutzorganisationen) entwickelt. Mit der Aufgabe der Zertifizierung aufgrund dieser Kriterien wurde TÜVIT als einziger Anbieter betraut.

Zum Erwerb des TSP Zertifikats wird ein Prüfgegenstand zunächst auf die rechtmäßige Verarbeitung personenbezogener Daten und deren ausreichende Sicherheit durch angemessene Schutzmaßnahmen geprüft. Zusätzlich werden diese technisch-organisatorischen Maßnahmen zur Sicherung der verarbeiteten Daten im Rahmen einer Sicherheitstechnischen Untersuchung (SU) auf den Prüfstand gestellt und durch gezielte Suche nach Schwachstellen einem Stresstest unterzogen, der mögliche Angriffstaktiken unbekannter Angreifer simuliert. 

Diese Ganzheitlichkeit schlägt sich auch im Prüfverfahren nieder, welches einer TSP-Zertifizierung vorausgeht. Zu einem TSP-Zertifikat gehören drei umfangreiche Evaluationen. Zunächst eine Bewertung der Datenschutzkonformität (rechtlich und technisch) und zusätzlich eine Sicherheitstechnische Untersuchung.

Die Prüfung erfolgt in mehreren Schritten:

1) IST-Analyse und Definition Scope: 
Im Rahmen der Ist-Analyse evaluieren erfahrene Expert:innen den gegenwärtigen Zustand Ihres Produkts. Dies passiert im Rahmen eines Vorgesprächs, in dem eine umfangreiche Bestandsaufnahme anhand bewährter Kriterien vorgenommen wird. Dieser Schritt der Zertifizierung beinhaltet üblicherweise auch einen Workshop. Hier werden Ihnen vor dem eigentlichen Audit die Grundlagen unserer Arbeit und der ihr zugrundeliegenden Gesetze erklärt. Zudem wird im Rahmen der Ist-Analyse in enger Absprache mit Ihnen das exakte Scope des späteren Auditierungsprozesses und letztendlich auch der Zertifizierung festgelegt. Dabei ist Präzision von äußerster Bedeutung und wird von unseren Experten konsequent forciert.

2) Bewertung der Dokumentation: 
Unsere Expert:innen prüfen die von Ihnen eingereichte Dokumentation auf Herz und Nieren. Dabei wird beachtet ob die von Ihnen benannten Maßnahmen ausreichen um den materiell-rechtlichen gesetzlichen Anforderungen an den Datenschutz zu genügen und ob die eingereichten Dokumente diese Maßnahmen auch hinreichend belegen um im Ernstfall einer Prüfung durch eine Aufsichtsbehörde standzuhalten.

3) On-Site Audit und sicherheitstechnische Untersuchung: 
Wir inspizieren Ihre Anlagen Vor-Ort und stellen durch Begehung, Begutachtung und Befragung sicher, dass die erforderlichen und von Ihnen angeordneten Maßnahmen auch konsequent und flächendeckend umgesetzt werden. Zusätzlich testen wir im Rahmen einer Sicherheitstechnischen Untersuchung (SU), ob die von Ihnen eingesetzten Systeme auch technisch das angestrebte Level an Kundendatenschutz gewährleisten können. Dies geschieht zum Beispiel durch eine technische Begutachtung der verwendeten Komponenten oder durch umfangreiche Penetrationstests, die Schwachstellen der eingesetzten Infrastruktur aufdecken können.

4) Anfertigung eines ausführlichen Prüfberichts: 
Den Abschluss der Inspektion stellt ein umfangreicher Prüfbericht dar, der die Ergebnisse der Auswertung der Dokumente und des Audits umfasst. Dieser Bericht dokumentiert die Erfüllung der Anforderungen und dient als Grundlage für die Ausstellung des Zertifikats durch die Zertifizierungsstelle.