Mittlerweile gibt es sehr viele Datenschutz-Zertifikate. Worin liegen die Unterschiede und wie verläuft der Zertifizierungsprozess? Dazu haben wir drei Vertreter verschiedener Zertifizierungsstellen befragt.

Das Zertifizierungsverfahren und die diversen Datenschutz-Gütesiegel und Zertifikate erklären die Datenschutz-Experten des Unabhängigen Landeszentrum Datenschutz Schleswig-Holstein, der EuroPriSe GmbH und der datenschutz cert GmbH.

IT-Produkte für Medizindaten unterliegen besonders hohen Anforderungen an Datenschutz und Datensicherheit. Wie überprüft datenschutz cert die Einhaltung dieser Standards im Zertifizierungsverfahren für das vom ULD vergebene Datenschutzgütesiegel?

Marit Hansen (ULD): Die Hauptprüfung übernehmen die vom ULD anerkannten Sachverständigen. Das ULD überprüft dann deren Gutachten, kann sich in Zweifelsfällen aber auch das Produkt selber nochmal direkt ansehen. Basis der Prüfung ist ein Kriterienkatalog, der auf der Seite www.datenschutzzentrum.de/guetesiegel/ eingesehen werden kann. Für alle personenbezogenen Daten, die mit dem Produkt verarbeitet werden können, muss beurteilt werden, was die Rechtsgrundlage für deren Verarbeitung ist und ob die Daten für den angestrebten Zweck wirklich erforderlich sind. Besonderes Augenmerk legen wir darauf, dass etwa durch frühzeitige Anonymisierung und Pseudonymisierung so wenig personenbezogene Daten wie möglich verarbeitet und Voreinstellungen datenschutzfreundlich gewählt werden. Auch spielen die getroffenen Sicherheitsmaßnahmen eine große Rolle: So hilft z.B. starke Verschlüsselung gegen Missbrauch von Daten. Die einsetzende Stelle muss darüber hinaus wissen, wie sie das Produkt datenschutzgerecht einsetzen kann. Der Anbieter des Produkts ist deshalb in der Pflicht, ausreichende Dokumentation, Hinweise zum Datenschutz und Muster etwa für Auftragsdatenverarbeitungsverträge bereitzustellen. Die Sachverständigen schauen daher auch die Handbücher und Beipackzettel mit den wichtigen Informationen an.

Ralf von Rahden (datenschutz cert): Die datenschutz cert GmbH ist als Prüfstelle anerkannt bei verschiedenen Zertifizierungsstellen wie etwa dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder dem Unabhängigen Landesamt für den Datenschutz in Schleswig Holstein (ULD). In dieser Funktion führt die datenschutz cert GmbH ausführliche Prüfungen nach verschiedenen Prüfstandards durch. Eine Prüfung für das ULD-Datenschutzgütesiegel umfasst verschiedene Aspekte. Zunächst wird eine weitgehende Dokumentenprüfung durchgeführt. Geprüft werden das Produktdesign, Handbücher, Risikoanalysen, Datenschutzkonzept und vieles mehr. Anschließend verwendet die datenschutz cert GmbH Test-Zugänge, um die Umsetzung der beschriebenen Sicherheitsfunktionalitäten zu verifizieren. Abschließend wird die Sicherheit der Entwicklungsumgebung und des Produktiv-Standorts, sofern diese nicht durch gültige Zertifikate nachvollziehbar nachgewiesen werden, vor Ort durch erfahrene Auditoren geprüft. Je nach Produktart überprüft die datenschutz cert GmbH als beim BSI zertifizierter IT-Sicherheitsdienstleister im Bereich “Penetrationstesting” die Sicherheit der über das Internet erreichbaren Schnittstellen des Produkts.

Sebastian Meissner (EuroPriSe): Für eine Zertifizierung von IT-Produkten für Medizindaten nach EuroPriSe kommt es regelmäßig auf Aspekte wie den rechtmäßigen Einsatz von IT-Dienstleistern, die Einwilligung der betroffenen Person, die Entbindung von der ärztlichen Schweigepflicht sowie eine wirksame Verschlüsselung bzw. Anonymisierung von Medizindaten an. EuroPriSe-Gutachter überprüfen ein IT-Produkt in technischer und in rechtlicher Hinsicht auf die Einhaltung aller Voraussetzungen des europäischen Datenschutzrechts und die Beachtung eventueller Vorgaben des Europäischen Gerichtshofs bzw. der Artikel 29-Datenschutzgruppe. Die Prüfung erfolgt anhand des bewährten, öffentlich verfügbaren EuroPriSe-Kriterienkatalogs für Produkte und Dienstleistungen.

Worin unterscheiden sich Zertifizierungen nach Datenschutzgütesiegel des ULD, EuroPriSe und ips im Wesentlichen?

Marit Hansen (ULD): Hinter dem Datenschutz-Gütesiegel Schleswig-Holstein steht ein gesetzlich geregeltes Verfahren. Es wird von einer staatlichen Stelle, dem ULD, verliehen. Dies unterscheidet es von vielen anderen Anbietern. Dabei liegt die Ausrichtung auf dem Recht in Schleswig-Holstein und der Empfehlung eines Produkts zum Einsatz bei öffentlichen Stellen. Auch außerhalb unseres Bundeslandes werben viele Anbieter mit diesem Datenschutzsiegel, was unseres Erachtens für dessen hohe Akzeptanz und Qualität spricht. Gelebter Datenschutz wird damit sichtbar gemacht und zu einem wichtigen Verkaufsargument. Zu anderen Zertifizierungen können wir nur eingeschränkt Aussagen treffen. Mit dem privaten Anbieter von EuroPriSe bieten wir kombinierte Verfahren an, wobei jenes Siegels vor allem auf Europa und das europäische Datenschutzrecht ausgerichtet ist. EuroPriSe hat als Projekt des ULD zusammen mit anderen Interessierten in mehreren europäischen Ländern begonnen. ips wird von einem weiteren privaten Unternehmen angeboten und ist speziell für Online-Dienstleistungen gedacht.

Ralf von Rahden (datenschutz cert): Zuerst ist der wesentlichste Unterschied, dass ULD-Gütesiegel und EuroPrise Produktzertifikate sind. Im Gegensatz zu internet privacy standards (ips), welches ein Webseiten-Zertifikat ist. ips ist ein Datenschutzgütesiegel, das die datenschutz cert GmbH zusammen mit dem ehemaligen Bundesdatenschutzbeauftragen Peter Schaar entwickelt hat. Es ist eines von vier Gütesiegeln der Initiative D21, die unter anderem vom Bundeswirtschaftsministerium empfohlen werden. Das ULD-Gütesiegel und EuroPriSe unterscheiden sich zunächst einmal in der Zielgruppe. Wie die Namen bereits andeuten, handelt es sich beim ULD-Gütesiegel um ein schleswig-holsteinisches Siegel, bei dem gegen das Landesdatenschutzgesetz von Schleswig-Holstein geprüft wird. Allerdings ist dieses eines der strengsten Datenschutzgesetze in Deutschland und es gibt kein anderes Datenschutzgütesiegel mit einer vergleichbaren Bekanntheit und Akzeptanz in ganz Deutschland. EuroPriSe hingegen ist ein Datenschutzsiegel, das zusätzlich die europäischen Datenschutzregelungen als Grundlage für die rechtliche Prüfung verwendet. Dieses Gütesiegel ist daher in der Regel interessant für Produkte für einen internationalen Markt. Darüber hinaus gibt es einen weiteren nicht unerheblichen Unterschied zwischen den zwei Produktsiegeln. EuroPriSe ist ein privates Siegel, das von der EuroPriSe GmbH vergeben wird. Im Gegensatz hierzu handelt es sich bei dem ULD-Gütesiegel um ein staatliches Zertifikat, das von einer Behörde vergeben wird.

Sebastian Meissner (EuroPriSe): Ich möchte an dieser Stelle nur zwei wichtige Unterschiede zwischen EuroPriSe, ULD und ips nennen: Der Fokus von EuroPriSe liegt auf Compliance mit EU-Datenschutzrecht, wohingegen ULD und ips die Vereinbarkeit mit deutschem bzw. schleswig-holsteinischem Datenschutzrecht bescheinigen. Nach ips können Webportale zertifiziert werden, das ULD zertifiziert IT-Produkte, die von öffentlichen Stellen in Schleswig-Holstein eingesetzt werden können; und EuroPriSe bietet die Zertifizierung von IT-Produkten, IT-basierten Dienstleistungen und Websites an.

 

Marit Hansen ist Landesbeauftragte für Datenschutz in Schleswig-Holstein und Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein.

Ralf von Rahden ist Technischer Leiter der Prüfstelle für IT-Sicherheit bei der datenschutz cert GmbH.

Sebastian Meissner leitet die Zertifizierungsstelle EuroPriSe GmbH.

 

Titelbild: ©photodune.net / Serg64 ©flaticon.com / Freepik

Andreas Dobler ist Geschäftsführer von Telepaxx sowie stellvertretender Geschäftsführer von Digithurst. Er verantwortet insbesondere die Konzeption und Weiterentwicklung des ePACS Speicherdienstes sowie die strategische Weiterentwicklung von HealthDataSpace. Der Betriebswirtschaftler ist seit 1990 im IT-Gesundheitswesen tätig und hält regelmäßig Vorträge zu den Themen Datenschutz und eHealth. Ehrenamtlich engagiert sich der zweifache Familienvater bei der SpVgg Roth für den Basketballsport.

Kommentar hinterlassen

Ihre Email-Adresse wird nicht veröffentlicht.