Programm für IT-Produkte und IT-basierte Dienstleistungen:
"Zertifizierung von IT-Produkten und IT-gestützten Dienstleistungen nach EuroPriSe". Jeder Hersteller oder Verkäufer eines IT-Produkts sowie jede Organisation, die IT-gestützte Verarbeitungsvorgänge als für die Verarbeitung Verantwortlicher im Sinne der Datenschutz-Grundverordnung durchführt, kann eine Zertifizierung nach diesem Programm beantragen.
Allgemeine Informationen:
Allgemeine Informationen: Hersteller und Anbieter von IT-Produkten und Anbieter von IT-basierten Diensten können ihre Produkte und Dienstleistungen nach diesem Schema zertifizieren lassen.
Derzeit deckt das Schema die folgenden Szenarien ab:
- Zertifizierung von IT-Produkten, die von einer Vielzahl von Käufern genutzt werden sollen: In diesem Szenario ist das Produkt selbst (z. B. eine Software) Zertifizierungsgegenstand, während die konkrete Nutzung des Produkts durch einen Kunden nicht berücksichtigt wird. Ein Produkt kann mit dem EuroPriSe-Siegel ausgezeichnet werden, wenn es die datenschutzkonforme Nutzung durch datenschutzfreundliche Voreinstellungen, aussagekräftige Dokumentation etc. erleichtert;
- Zertifizierung von IT-basierten Diensten, bei denen Diensteanbieter für die Verarbeitung Verantwortliche im Sinne von Artikel 4 Absatz 7 DSGVO sind: In diesem Szenario ist der Dienst (z. B. eine Internetsuchmaschine), wie er vom Diensteanbieter zur Verfügung gestellt wird, Zertifizierungsgegenstand. Er kann mit dem EuroPriSe-Siegel ausgezeichnet werden, wenn die gesamte Datenverarbeitung im Zusammenhang mit der Bereitstellung des Dienstes im Einklang mit dem EU-Datenschutzrecht steht.
Beachten Sie, dass dieses Zertifizierungsprogramm kein genehmigtes Zertifizierungsverfahren im Sinne von Art. 42 f. DSGVO ist. IT-Produkte als solche fallen generell nicht in den Anwendungsbereich von Art. 42 f. DSGVO.
Häufig gestellte Fragen
Zertifizierungsfähige IT-Produkte sind Produkte, die zur Nutzung durch eine Vielzahl von Kunden (Käufern) bestimmt sind und deren Nutzung zu einer IT-basierten Verarbeitung personenbezogener Daten führt.
Grundsätzlich sind die folgenden Arten von IT-Produkten zu unterscheiden:
- Hardware-Produkte wie z.B. eine Hardware-Firewall oder eine externe Festplatte, die für eine ordnungsgemäße Verschlüsselung von Daten sorgt); und
- Softwareprodukte wie z.B. eine Datenbankanwendung, ein Softwaremodul zur Verschleierung von Videodaten oder ein Altersverifikationsmodul für Zigarettenautomaten. Die Bedeutung des Begriffs "Softwareprodukte" umfasst auch mobile Anwendungen. Software, die als Software as a Service (SaaS) bereitgestellt wird, gilt jedoch insgesamt als IT-basierter Dienst.
Zertifizierungsfähige Dienste sind Dienstleistungen, die mit Hilfe von Informationstechnologie erbracht werden. Die Dienste können kostenlos oder gegen Entgelt erbracht werden. Was die verwendete Informationstechnologie betrifft, so können die Dienstleistungen "offline" erbracht werden oder eine Verbindung zum Internet erfordern. Typische Beispiele für letztere sind webbasierte Dienste wie Online-Banking, Suchmaschinen oder Dienste, die aus dem Hosting von Mailservern in Datenzentren bestehen. Eine spezielle Untergruppe der webbasierten Dienste, die sich für eine Zertifizierung eignen, sind cloudbasierte Dienste wie IaaS (Infrastructure as a Service), PaaS (Platform as a Service) oder SaaS (Software as a Service). Die Bedeutung des Begriffs IT-basierter Dienst umfasst auch Dienste im Zusammenhang mit Big Data und dem Internet der Dinge (IoT).
Zertifizierungskriterien
Die EuroPriSe-Kriterien für IT-Produkte und IT-basierte Dienstleistungen bestehen aus den folgenden vier Kapiteln:
- Satz 1: Überblick über grundlegende Aspekte
- Satz 2: Rechtmäßigkeit der Datenverarbeitung
- Satz 3: Technisch-organisatorische Maßnahmen
- Satz 4: Rechte der betroffenen Personen
Laden Sie die EuroPriSe-Kriterien für die Zertifizierung von IT-Produkten und IT-gestützten Diensten herunter (Dokument nur in englischer Sprache verfügbar):
