TSP – entdeckt, erklärt

Trusted Site Privacy

Mit Trusted Site Privacy (TSP) verfolgt TÜVIT einen ganzheitlichen Ansatz. IT-Systeme werden im Rahmen dieses weithin respektierten Zertifikats unter rechtlichen und technischen Aspekten im Hinblick auf einen verantwortungsbewussten Umgang mit personenbezogenen Daten der Kunden geprüft.

Individuelles Angebot anfordern

Was ist Trusted Site Privacy?

Trusted Site Privacy bezeichnet ein Datenschutzkonzept, bei dem Nutzerinnen und Nutzer darauf vertrauen können, dass ihre persönlichen Daten auf einer Website sicher und verantwortungsvoll behandelt werden. Dabei verpflichtet sich der Betreiber, nur notwendige Daten zu erheben, transparent über deren Verwendung zu informieren und diese vor unbefugtem Zugriff zu schützen. Häufig ist dies mit Zertifizierungen oder Siegeln verbunden, die die Einhaltung bestimmter Datenschutz- und Sicherheitsstandards belegen. Ziel ist es, Vertrauen zu schaffen, Missbrauch zu verhindern und den gesetzlichen Vorgaben – etwa der DSGVO – zu entsprechen. So können Besucher sicher sein, dass ihre Privatsphäre respektiert wird.

Unsere Experten legen die Bewertungskriterien für die Qualität im betrieblichen Datenschutz zugrunde, die über einen Zeitraum von zwei Jahren von über 80 Spitzenkräften verschiedener Branchen im Rahmen eines EU-Forschungsprojekts entwickelt wurden.

Besonderheiten von Trusted Site Privacy

Transparente Datennutzung – klare Information, welche Daten gesammelt und wofür sie verwendet werden
Minimale Datenerhebung – nur notwendige personenbezogene Daten werden gespeichert
Hohe Sicherheitsstandards – Schutz vor unbefugtem Zugriff durch Verschlüsselung und sichere Server
Zertifizierungen & Siegel – Nachweis der Einhaltung geprüfter Datenschutzrichtlinien
Rechtskonformität – Erfüllung gesetzlicher Anforderungen wie DSGVO
Vertrauensbildung – Stärkung der Nutzerbindung durch seriösen Umgang mit Daten

Bewertungskriterien im Rahmen einer Zertifizierung nach Trusted Site Privacy

Ermächtigungsgrundlagen der Datenverarbeitung
Rechtmäßigkeit einzelner Phasen der Datenverarbeitung
Einhaltung der Datenschutzgrundsätze
Regelungen zur Auftragsverarbeitung
Einhaltung der Betroffenenrechte
Benachrichtigung, Informations- und Hinweispflichten

Transparenz der Datenschutzpolitik
Transparenz der Datenschutzdokumentation
Unterstützung der Betroffenen bei der Wahrnehmung ihrer Rechte

technische Sicherheit und für den Prüfgegenstand spezifische, organisatorische Anforderungen

Datenschutzpolicy und Arbeitsanweisungen
Risikoanalyse
regelmäßige Überprüfung zur Verbesserung der Datenschutzmaßnahmen, kontinuierlicher Verbesserungsprozess
Qualifizierung der Mitarbeiter
Funktionsbedingungen des Datenschutzbeauftragten
Dokumentation der Datenschutzmaßnahmen

Systeme müssen bereits bei der Entwicklung den Gedanken des Datenschutzes beachten
sie müssen von Grund auf so geschaffen sein, dass nur die absolut notwendigen Daten erhoben werden
wenn ein System Voreinstellungen anbietet, so sind als Default die datenschutzfreundlicheren anzuwenden
ein etwaig erweiterter Zugriff auf personenbezogene Daten muss per explizitem Opt-in freigegeben werden

Die Sicherheitstechnische Untersuchung umfasst u.a.:

Prüfung der verwendeten Komponenten sowie Netzwerk- und Transportsicherheit
Prüfung der Konfigurationsmöglichkeiten
Prüfung der eingesetzten Werkzeugen
Durchführung von Penetrationstests

TSP-Zertifizierung

Trusted Site Privacy: Ganzheitliche Prüfung in 4 Schritten

Diese Ganzheitlichkeit schlägt sich auch im Prüfverfahren nieder, welches einer TSP-Zertifizierung vorausgeht. Zu einem TSP-Zertifikat gehören drei umfangreiche Evaluationen. Zunächst eine Bewertung der Datenschutzkonformität (rechtlich und technisch) und zusätzlich eine Sicherheitstechnische Untersuchung.

IST-Analyse und Definition Scope

Im Rahmen der Ist-Analyse evaluieren erfahrene Expert:innen den gegenwärtigen Zustand Ihres Produkts. Dies passiert im Rahmen eines Vorgesprächs, in dem eine umfangreiche Bestandsaufnahme anhand bewährter Kriterien vorgenommen wird. Dieser Schritt der Zertifizierung beinhaltet üblicherweise auch einen Workshop. Hier werden Ihnen vor dem eigentlichen Audit die Grundlagen unserer Arbeit und der ihr zugrundeliegenden Gesetze erklärt.

Zudem wird im Rahmen der Ist-Analyse in enger Absprache mit Ihnen das exakte Scope des späteren Auditierungsprozesses und letztendlich auch der Zertifizierung festgelegt. Dabei ist Präzision von äußerster Bedeutung und wird von unseren Experten konsequent forciert.

Bewertung der Dokumentation

Unsere Expert:innen prüfen die von Ihnen eingereichte Dokumentation auf Herz und Nieren. Dabei wird beachtet ob die von Ihnen benannten Maßnahmen ausreichen um den materiell-rechtlichen gesetzlichen Anforderungen an den Datenschutz zu genügen und ob die eingereichten Dokumente diese Maßnahmen auch hinreichend belegen um im Ernstfall einer Prüfung durch eine Aufsichtsbehörde standzuhalten.

On-Site Audit und sicherheitstechnische Untersuchung

Wir inspizieren Ihre Anlagen Vor-Ort und stellen durch Begehung, Begutachtung und Befragung sicher, dass die erforderlichen und von Ihnen angeordneten Maßnahmen auch konsequent und flächendeckend umgesetzt werden. Zusätzlich testen wir im Rahmen einer Sicherheitstechnischen Untersuchung (SU), ob die von Ihnen eingesetzten Systeme auch technisch das angestrebte Level an Kundendatenschutz gewährleisten können. Dies geschieht zum Beispiel durch eine technische Begutachtung der verwendeten Komponenten oder durch umfangreiche Penetrationstests, die Schwachstellen der eingesetzten Infrastruktur aufdecken können.

Anfertigung eines ausführlichen Prüfberichts

Den Abschluss der Inspektion stellt ein umfangreicher Prüfbericht dar, der die Ergebnisse der Auswertung der Dokumente und des Audits umfasst. Dieser Bericht dokumentiert die Erfüllung der Anforderungen und dient als Grundlage für die Ausstellung des Zertifikats durch die Zertifizierungsstelle.

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie

TÜV NORD IT Secure Communication I Berlin

Zu den Beratungsleistungen Kontakt aufnehmen

Ziel erreicht?

Wir prüfen das

TÜV Informationstechnik I Essen

Zu den Prüfangeboten Kontakt aufnehmen

Häufig gestellte Fragen (FAQ)

Was Sie über die Datenschutz-Zertifizierung Trusted Site Privacy wissen müssen

TSP arbeitet mit Kriterien, die von Experten aus Wissenschaft, Wirtschaft von staatlichen und privaten Datenschutzorganisationen im Rahmen eines EU Forschungsprojekts erarbeitet wurden. Die Prüfungen und die Verleihungen der Zertifikate werden unmittelbar von TÜVIT durchgeführt, sodass das jeweilige Projekt ganzheitlich von einem Unternehmen der renommierten TÜV NORD Gruppe betreut wird. Gerade in Deutschland ist die Abkürzung TÜV ein Synonym für höchste Ansprüche und gründlichste Prüfungen mit dem Blick auf die Sicherheit von Produkten und Dienstleistungen aller Art.

Die Kriterien für das TSP-Zertifikat wurden zum Teil als Ergebnis eines zweijährigen EU-Forschungsprojekts von über 80 Experten diverser Hintergründe (Wirtschaft, Wissenschaft, staatliche und private Datenschutzorganisationen) entwickelt. Mit der Aufgabe der Zertifizierung aufgrund dieser Kriterien wurde TÜVIT als einziger Anbieter betraut.

Zum Erwerb des TSP Zertifikats wird ein Prüfgegenstand zunächst auf die rechtmäßige Verarbeitung personenbezogener Daten und deren ausreichende Sicherheit durch angemessene Schutzmaßnahmen geprüft. Zusätzlich werden diese technisch-organisatorischen Maßnahmen zur Sicherung der verarbeiteten Daten im Rahmen einer Sicherheitstechnischen Untersuchung (SU) auf den Prüfstand gestellt und durch gezielte Suche nach Schwachstellen einem Stresstest unterzogen, der mögliche Angriffstaktiken unbekannter Angreifer simuliert.

Diese Ganzheitlichkeit schlägt sich auch im Prüfverfahren nieder, welches einer TSP-Zertifizierung vorausgeht. Zu einem TSP-Zertifikat gehören drei umfangreiche Evaluationen. Zunächst eine Bewertung der Datenschutzkonformität (rechtlich und technisch) und zusätzlich eine Sicherheitstechnische Untersuchung.

Die Prüfung erfolgt in mehreren Schritten:

1) IST-Analyse und Definition Scope:
Im Rahmen der Ist-Analyse evaluieren erfahrene Expert:innen den gegenwärtigen Zustand Ihres Produkts. Dies passiert im Rahmen eines Vorgesprächs, in dem eine umfangreiche Bestandsaufnahme anhand bewährter Kriterien vorgenommen wird. Dieser Schritt der Zertifizierung beinhaltet üblicherweise auch einen Workshop. Hier werden Ihnen vor dem eigentlichen Audit die Grundlagen unserer Arbeit und der ihr zugrundeliegenden Gesetze erklärt. Zudem wird im Rahmen der Ist-Analyse in enger Absprache mit Ihnen das exakte Scope des späteren Auditierungsprozesses und letztendlich auch der Zertifizierung festgelegt. Dabei ist Präzision von äußerster Bedeutung und wird von unseren Experten konsequent forciert.

2) Bewertung der Dokumentation:
Unsere Expert:innen prüfen die von Ihnen eingereichte Dokumentation auf Herz und Nieren. Dabei wird beachtet ob die von Ihnen benannten Maßnahmen ausreichen um den materiell-rechtlichen gesetzlichen Anforderungen an den Datenschutz zu genügen und ob die eingereichten Dokumente diese Maßnahmen auch hinreichend belegen um im Ernstfall einer Prüfung durch eine Aufsichtsbehörde standzuhalten.

3) On-Site Audit und sicherheitstechnische Untersuchung:
Wir inspizieren Ihre Anlagen Vor-Ort und stellen durch Begehung, Begutachtung und Befragung sicher, dass die erforderlichen und von Ihnen angeordneten Maßnahmen auch konsequent und flächendeckend umgesetzt werden. Zusätzlich testen wir im Rahmen einer Sicherheitstechnischen Untersuchung (SU), ob die von Ihnen eingesetzten Systeme auch technisch das angestrebte Level an Kundendatenschutz gewährleisten können. Dies geschieht zum Beispiel durch eine technische Begutachtung der verwendeten Komponenten oder durch umfangreiche Penetrationstests, die Schwachstellen der eingesetzten Infrastruktur aufdecken können.

4) Anfertigung eines ausführlichen Prüfberichts:
Den Abschluss der Inspektion stellt ein umfangreicher Prüfbericht dar, der die Ergebnisse der Auswertung der Dokumente und des Audits umfasst. Dieser Bericht dokumentiert die Erfüllung der Anforderungen und dient als Grundlage für die Ausstellung des Zertifikats durch die Zertifizierungsstelle.