Hinweise des ULD zur Zertifizierung von Produkten

ACHTUNG: Aktuell ist unklar, ob ab dem 25. Mai 2018 auf Basis der dann gültigen Datenschutz-Grundverordnung das Datenschutz-Gütesiegel in der aktuellen Form vom ULD weiter angeboten werden kann. Die bisherige Rechtsgrundlage für unsere Zertifizierung, das Landesdatenschutzgesetz Schleswig-Holstein, befindet sich noch in der Überarbeitung. Nehmen Sie bitte bei Interesse an einer Zertifizierung oder Anerkennung als Sachverständiger unbedingt vorab Kontakt mit uns auf.

 

I. Zertifizierungsverfahren

  1. Die Zertifizierung von Produkten erfolgt auf der Rechtsgrundlage des § 4 Abs. 2 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) in Verbindung mit der Datenschutzgütesiegelverordnung Schleswig-Holstein (DSGSVO). Das ULD entscheidet über die Zertifizierung durch Verwaltungsakt.
  2. Zur Durchführung des Zertifizierungsverfahrens ist ein Antrag der Hersteller- oder Vertriebsfirma erforderlich.
  3. Das Gütesiegel ist allen Herstellern oder Vertreibern von IT-Produkten im Sinne des § 1 Abs. 2 DSGSVO unabhängig vom Sitz des Unternehmens zugänglich.
  4. Der maßgebliche Zeitpunkt für die nach § 1 Abs. 1 DSGSVO bei der Zertifizierung eines Produkts erforderliche Vereinbarkeit mit den Vorschriften über den Datenschutz und die Datensicherheit ist der Erlass des Zertifizierungsbescheids.
  5. Für das Zertifizierungsverfahren erhebt das ULD Gebühren auf der Grundlage der Satzung des Unabhängigen Landeszentrums für Datenschutz über die Leistungen der Anstalt und die Erhebung von Entgelten in der bei Antragstellung geltenden Fassung. Die Gebührensatzung findet ab dem Zeitpunkt der Antragstellung Anwendung. Gebühren werden auch im Fall der Ablehnung oder Rücknahme des Antrags erhoben.
  6. Das Zertifikat kann nach der DSGSVO befristet werden. In der Regel wird das Zertifikat für die Dauer von zwei Jahren vergeben.
  7. Nach Ablauf der Befristung kann eine Verlängerung des Gültigkeitszeitraums nur in einem Rezertifizierungsverfahren ausgesprochen werden. Hierfür gelten die Ausführungen in Ziff. 1-6 entsprechend. Die Produktprüfung im Rezertifizierungsverfahren beschränkt sich in der Regel auf Änderungen des Produkts sowie Änderungen am Stand der Technik und der einschlägigen Rechtsvorschriften.
  8. Das Zertifikat gilt nur für die zertifizierte Produktversion. Wird das Produkt gegenüber dem evaluierten Prüfmuster nicht unerheblich verändert, darf das Siegel für die veränderte Version nicht verwendet werden. Die Erweiterung des Zertifikats auf die geänderte Version kann in einem Rezertifizierungsverfahren erfolgen.

 

II. Veröffentlichung durch das ULD

  1. Das ULD veröffentlicht eine Liste der zertifizierten Produkte und die als Anlage zum Antrag auf Zertifizierung eingereichten Kurzgutachten in einem Register auf der Homepage des ULD.
  2. Über laufende Zertifizierungsverfahren sowie Verfahren, die nicht durch Verleihung des Gütesiegels abgeschlossen werden, unterrichtet das ULD nicht.

 

III. Kontrollbefugnisse des ULD

  1. Der Adressat der Zertifizierung ist verpflichtet, dem ULD auf schriftliche Anforderung das Produkt, für das ein Gütesiegel erteilt wurde, zur Vornahme von Überprüfungen kostenlos zur Verfügung zu stellen. Der Inhaber des Zertifikats erhält über das Ergebnis der Überprüfung einen schriftlichen Bericht.
  2. Das ULD kann aus dem Markt Produkte, die mit dem Gütesiegel versehen sind, zur Überprüfung entnehmen.

 

IV. Erlöschen / Widerruf des Zertifikats

  1. Das Zertifikat erlischt, wenn
    1. der im Zertifizierungsbescheid genannte Zeitraum abgelaufen ist oder
    2. der Inhaber des Zertifikats gegenüber dem ULD schriftlich auf das Zertifikat verzichtet oder die Herstellung des zertifizierten Produkts einstellt oder
    3. das ULD den Zertifizierungsbescheid widerrufen oder zurückgenommen hat.
  2. Das Zertifikat kann vom ULD widerrufen oder zurückgenommen werden, wenn
    1. sich nachträglich an dem Produkt bei der Prüfung nicht erkennbare oder nicht festgestellte, für die Gütesiegelerteilung relevante Mängel herausstellen oder
    2. mit dem Gütesiegel irreführende oder anderweitig unzulässige Werbung betrieben und trotz Abmahnung nicht unterlassen wird oder
    3. sich die dem Gütesiegel zugrunde gelegten rechtlichen oder technischen Anforderungen so erheblich verändert haben, dass eine Fortführung des Gütesiegels nicht vertretbar ist, und das Produkt auch nach Ablauf einer angemessenen Anpassungsfrist diesen Anforderungen nicht entspricht oder
    4. sich herausstellt, dass eine datenschutzgerechte Realisierung vorsätzlich vorgetäuscht wurde.
  3. Widerrufene oder zurückgenommene Zertifikate werden durch das ULD im Register der zertifizierten Produkte kenntlich gemacht.

 

V. Nutzung des Gütesiegels in der Produktwerbung

  1. Die Werbung (konventionell oder online) mit dem Gütesiegel ist produktbezogen zulässig. Mit dem Gütesiegel darf auf dem Produkt selbst sowie in der Werbung für dieses Produkt geworben werden. Mit dem Gütesiegel darf nicht für den Hersteller insgesamt, für andere Produkte oder die gesamte Produktpalette geworben werden.
  2. Das Gütesiegel muss die Registrierungsnummer und die Gültigkeitsdauer enthalten.
  3. Vor der Verleihung des Gütesiegels durch das ULD darf das Siegel weder auf dem Produkt noch in der Werbung verwendet noch dürfen Hinweise auf die Antragstellung oder die laufenden Prüfungen in die Werbung einbezogen werden.
  4. Wird das Gütesiegel vom Adressaten des Zertifikats online verwendet, muss damit ein Link auf den entsprechenden Server des ULD (deep link auf den Registereintrag) verbunden sein.
  5. Im Fall der Verwendung des Gütesiegels nach Ablauf der Gültigkeit muss in geeigneter Weise ein deutlicher Hinweis auf den Ablauf der Gültigkeit erfolgen. Wurden wesentliche Änderungen an dem IT-Produkt vorgenommen, ist in geeigneter Weise darauf hinzuweisen, dass sich das Zertifikat auf eine Vorversion bezieht. Ist innerhalb eines Jahres nach Ablauf der Gültigkeit oder nach Vornahme wesentlicher Änderungen am IT-Produkt keine erneute Zertifizierung erfolgt, darf das Gütesiegel nicht mehr verwendet werden. 
  6. Nach Rücknahme oder Widerrruf des Zertifikats darf das Gütesiegel nicht mehr verwendet werden.
  7. Kunden des Herstellers, die ein zertifiziertes Produkt einsetzen, können das Gütesiegel zu Werbezwecken verwenden. Irrtümer über den Umfang der Zertifizierung sind dabei auszuschließen, insbesondere darf nicht der Eindruck entstehen, die konkrete Anwendung des Kunden sei zertifiziert im Sinne eines Verfahrensaudits. Verwendet der Berechtigte das Siegel online, muss damit ein Link auf den entsprechenden Server des ULD, https://www.datenschutzzentrum.de/guetesiegel/, verbunden sein. 

 

VI. Übertragung des Produkts an ein anderes Unternehmen, Umbenennung des Produkts

  1. Wird das zertifizierte Produkt an eine andere Firma verkauft oder die Firma auf eine andere Firma/Firmeninhaber übertragen, so hat die bisherige Firma dem ULD rechtzeitig Mitteilung zu machen.
  2. Wird die Bezeichnung des zertifizierten Produkts geändert, ohne dass gleichzeitig das Produkts selbst geändert wird, ist das ULD über die Änderung der Produktbezeichnung zu unterrichten. Die Änderung der Produktbezeichnung wird im Register kenntlich gemacht.