Trusted Site Privacy: Zertifizierung des betrieblichen Datenschutzes

Individuelles Angebot anfordern

Datenschutzkonformität objektiv nachweisen – Mit einer Zertifizierung nach Trusted Site Privacy

Mit Trusted Site Privacy (TSP) verfolgt TÜVIT einen ganzheitlichen Ansatz. IT-Systeme werden im Rahmen dieses weithin respektierten Zertifikats unter rechtlichen und technischen Aspekten im Hinblick auf einen verantwortungsbewussten Umgang mit personenbezogenen Daten der Kunden geprüft.

Dabei legen unsere Experten die Bewertungskriterien für die Qualität im betrieblichen Datenschutz zugrunde, die über einen Zeitraum von zwei Jahren von über 80 Spitzenkräften verschiedener Branchen im Rahmen eines EU-Forschungsprojekts entwickelt wurden.

Trusted Site Privacy: Ganzheitliche Prüfung in 4 Schritten

Diese Ganzheitlichkeit schlägt sich auch im Prüfverfahren nieder, welches einer TSP-Zertifizierung vorausgeht. Zu einem TSP-Zertifikat gehören drei umfangreiche Evaluationen. Zunächst eine Bewertung der Datenschutzkonformität (rechtlich und technisch) und zusätzlich eine Sicherheitstechnische Untersuchung.


Die Prüfung erfolgt in mehreren Schritten:
 


IST-Analyse und Definition Scope

Im Rahmen der Ist-Analyse evaluieren erfahrene Expert:innen den gegenwärtigen Zustand Ihres Produkts. Dies passiert im Rahmen eines Vorgesprächs, in dem eine umfangreiche Bestandsaufnahme anhand bewährter Kriterien vorgenommen wird. Dieser Schritt der Zertifizierung beinhaltet üblicherweise auch einen Workshop. Hier werden Ihnen vor dem eigentlichen Audit die Grundlagen unserer Arbeit und der ihr zugrundeliegenden Gesetze erklärt. 

Zudem wird im Rahmen der Ist-Analyse in enger Absprache mit Ihnen das exakte Scope des späteren Auditierungsprozesses und letztendlich auch der Zertifizierung festgelegt. Dabei ist Präzision von äußerster Bedeutung und wird von unseren Experten konsequent forciert.


Bewertung der Dokumentation

Unsere Expert:innen prüfen die von Ihnen eingereichte Dokumentation auf Herz und Nieren. Dabei wird beachtet ob die von Ihnen benannten Maßnahmen ausreichen um den materiell-rechtlichen gesetzlichen Anforderungen an den Datenschutz zu genügen und ob die eingereichten Dokumente diese Maßnahmen auch hinreichend belegen um im Ernstfall einer Prüfung durch eine Aufsichtsbehörde standzuhalten.


On-Site Audit und sicherheitstechnische Untersuchung

Wir inspizieren Ihre Anlagen Vor-Ort und stellen durch Begehung, Begutachtung und Befragung sicher, dass die erforderlichen und von Ihnen angeordneten Maßnahmen auch konsequent und flächendeckend umgesetzt werden. Zusätzlich testen wir im Rahmen einer Sicherheitstechnischen Untersuchung (SU), ob die von Ihnen eingesetzten Systeme auch technisch das angestrebte Level an Kundendatenschutz gewährleisten können. Dies geschieht zum Beispiel durch eine technische Begutachtung der verwendeten Komponenten oder durch umfangreiche Penetrationstests, die Schwachstellen der eingesetzten Infrastruktur aufdecken können.


Anfertigung eines ausführlichen Prüfberichts

Den Abschluss der Inspektion stellt ein umfangreicher Prüfbericht dar, der die Ergebnisse der Auswertung der Dokumente und des Audits umfasst. Dieser Bericht dokumentiert die Erfüllung der Anforderungen und dient als Grundlage für die Ausstellung des Zertifikats durch die Zertifizierungsstelle.

Bewertungskriterien im Rahmen einer Zertifizierung nach Trusted Site Privacy

Die Bewertung der Datenschutzkonformität wird durch rechtliche und technische Gutachter der TÜVIT Prüfstelle für Datenschutz vorgenommen. Sie basiert auf der Analyse der Dokumente und der Ergebnisse der Umsetzungsprüfung vor Ort.
 

Datenschutzkonformität
  • Ermächtigungsgrundlagen der Datenverarbeitung
  • Rechtmäßigkeit einzelner Phasen der Datenverarbeitung
  • Einhaltung der Datenschutzgrundsätze
  • Regelungen zur Auftragsverarbeitung
  • Einhaltung der Betroffenenrechte
  • Benachrichtigung, Informations- und Hinweispflichten
Transparenz und Betroffenenfreundlichkeit
  • Transparenz der Datenschutzpolitik
  • Transparenz der Datenschutzdokumentation
  • Unterstützung der Betroffenen bei der Wahrnehmung ihrer Rechte
Sicherheit der Verarbeitung
  • technische Sicherheit und für den Prüfgegenstand spezifische, organisatorische Anforderungen

 

Datenschutzmanagementsystem
  • Datenschutzpolicy und Arbeitsanweisungen
  • Risikoanalyse
  • regelmäßige Überprüfung zur Verbesserung der Datenschutzmaßnahmen, kontinuierlicher Verbesserungsprozess
  • Qualifizierung der Mitarbeiter
  • Funktionsbedingungen des Datenschutzbeauftragten
  • Dokumentation der Datenschutzmaßnahmen
Privacy by Design & Privacy by Default
  • Systeme müssen bereits bei der Entwicklung den Gedanken des Datenschutzes beachten
  • sie müssen von Grund auf so geschaffen sein, dass nur die absolut notwendigen Daten erhoben werden
  • wenn ein System Voreinstellungen anbietet, so sind als Default die datenschutzfreundlicheren anzuwenden
  • ein etwaig erweiterter Zugriff auf personenbezogene Daten muss per explizitem Opt-in freigegeben werden
Sicherheitstechnische Untersuchung

Die Sicherheitstechnische Untersuchung umfasst u.a.:

  • Prüfung der verwendeten Komponenten sowie Netzwerk- und Transportsicherheit
  • Prüfung der Konfigurationsmöglichkeiten
  • Prüfung der eingesetzten Werkzeugen
  • Durchführung von Penetrationstests

Der Zertifizierungsablauf im Überblick

1. 

Ist-Analyse

Einschätzung der Ist-Situation durch Vorgespräch & Workshop sowie Feststellung des Reifegrades

2. 

Festlegung

Festlegung des Prüfobjektes (Target of Audit) bzw. des Geltungsbereiches, der Prozesse sowie Qualifizierungsziele

3.

Bewertung der Dokumentation

Betrachtung von Datenschutzkonzept und Datensicherheit

4. 

Datenschutzaudit (rechtlich/technisch)

Durchführung der sicherheitstechnischen Untersuchung unter Berücksichtigung rechtlicher sowie technischer Kriterien

5. 

Prüfbericht

Ausstellung eines umfassenden Prüfberichts, der die Ergebnisse der Prüfung zusammenfast

6.

Zertifikat

Bei Erfüllung der Anforderungen Ausstellung des angestrebten TSP-Zertifikats 

FAQ zur Datenschutz-Zertifizierung Trusted Site Privacy

 

Was ist der Vorteil von TSP gegenüber anderen Siegeln im Bereich Datenschutz?

TSP arbeitet mit Kriterien, die von Experten aus Wissenschaft, Wirtschaft von staatlichen und privaten Datenschutzorganisationen im Rahmen eines EU Forschungsprojekts erarbeitet wurden. Die Prüfungen und die Verleihungen der Zertifikate werden unmittelbar von TÜVIT durchgeführt, sodass das jeweilige Projekt ganzheitlich von einem Unternehmen der renommierten TÜV NORD Gruppe betreut wird. Gerade in Deutschland ist die Abkürzung TÜV ein Synonym für höchste Ansprüche und gründlichste Prüfungen mit dem Blick auf die Sicherheit von Produkten und Dienstleistungen aller Art. 

Auf welcher Grundlage basiert die TSP-Zertifizierung?

Die Kriterien für das TSP-Zertifikat wurden zum Teil als Ergebnis eines zweijährigen EU-Forschungsprojekts von über 80 Experten diverser Hintergründe (Wirtschaft, Wissenschaft, staatliche und private Datenschutzorganisationen) entwickelt. Mit der Aufgabe der Zertifizierung aufgrund dieser Kriterien wurde TÜVIT als einziger Anbieter betraut.

Was wird im Rahmen von TSP geprüft?

Zum Erwerb des TSP Zertifikats wird ein Prüfgegenstand zunächst auf die rechtmäßige Verarbeitung personenbezogener Daten und deren ausreichende Sicherheit durch angemessene Schutzmaßnahmen geprüft. Zusätzlich werden diese technisch-organisatorischen Maßnahmen zur Sicherung der verarbeiteten Daten im Rahmen einer Sicherheitstechnischen Untersuchung (SU) auf den Prüfstand gestellt und durch gezielte Suche nach Schwachstellen einem Stresstest unterzogen, der mögliche Angriffstaktiken unbekannter Angreifer simuliert. 

 

Sie haben Fragen? Wir helfen gerne!

  

Samantha Murmann

Produktmanagerin Datenschutz & E-Health 

+49 201 8999 699
s.murmann@tuvit.de

Tobias Mielke

Lead Expert Information Security & Privacy  

+49 201 8999 553
t.mielke@tuvit.de