Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

IT-Produkte:

Ein Datenschutz-Gütesiegel kann für IT-Produkte vergeben werden, die zum Einsatz bei schleswig-holsteinischen Behörden geeignet sind. Als Produkte kommen Hardware, Software, automatisierte Verfahren und IT-Dienstleistungen in Betracht. Das Produkt muss Behörden in Schleswig-Holstein zum Kauf oder als Dienstleistung zur Verfügung stehen, da das ULD nach der gesetzlichen Konzeption das Zertifikat als Empfehlung für die schleswig-holsteinische Verwaltung ausspricht. Erforderlich ist aber nicht, dass das Produkt tatsächlich bei einer Behörde eingesetzt wird oder werden soll. Es genügt, dass ein Einsatz bei einer Behörde aufgrund der Beschaffenheit und Einsatzmöglichkeit des Produkts nicht von vornherein ausgeschlossen ist.

Begutachtung durch externe Sachverständige:

Hersteller, die für ihr Produkt ein Gütesiegel beim ULD beantragen wollen, lassen das Produkt zunächst von einem unabhängigen Sachverständigen oder einer Prüfstelle begutachten. Der Sachverständige oder die Prüfstelle muss beim ULD anerkannt sein. Das ULD führt ein Register über die anerkannten Sachverständigen, dessen aktueller Stand auf der Homepage einsehbar ist. Durch die Anerkennung ist gewährleistet, dass die Begutachtung mit der erforderlichen Sachkunde und Unabhängigkeit durchgeführt wird.

Der Sachverständige bzw. die Prüfstelle begutachtet das Produkt unter rechtlichen und technischen Gesichtspunkten. Eine Anerkennung beim ULD ist sowohl für beide Bereiche als auch nur für einen der Bereiche Recht und Technik möglich. Bei der Auswahl des Sachverständigen bzw. der Prüfstelle hat der Hersteller sicherzustellen, dass die Begutachtung in beiden Bereichen von einem anerkannten Sachverständigen erfolgt. Er wählt dafür entweder einen Gutachter aus, der für beide Bereiche Recht und Technik anerkannt ist, oder er wählt zwei verschiedene Sachverständige für jeweils einen der Bereiche, die bei der Erstellung des Gutachtens zusammen arbeiten.

Die Begutachtung durch den Sachverständigen bzw. die Prüfstelle erfolgt auf Grundlage eines privaten Begutachtungsvertrags zwischen Hersteller und Gutachter. Das ULD ist an der Begutachtung nicht beteiligt.

Zu Beginn der Begutachtung bietet das ULD an, in einem Vorgespräch gemeinsam mit dem Hersteller und dem Gutachter die Eckpunkte des Verfahrens festzulegen. Hierbei kann sowohl der Gegenstand der Zertifizierung und dessen Abgrenzung von anderen, nicht zu zertifizierenden IT-Produkten oder Produktbestandteilen sowie der Ablauf des Verfahrens einschließlich Zeitvorgaben erörtert werden.

Das Ergebnis der Begutachtung fassen der oder die Gutachter in einem Gutachten zusammen.

Antrag beim ULD:

Ist das Gutachten fertiggestellt, kann der Hersteller einen Antrag beim ULD auf Zertifizierung des Produkts stellen. Ein entsprechendes Antragsformular steht auf der Homepage des ULD zum Download bereit. Dem Antrag ist das Gutachten des Sachverständigen, eine Kurzfassung des Gutachtens sowie die Produktdokumentation der Kategorie T1 (Adminstrations- und Benutzerhandbuch, Information über Schwachstellen) beizufügen.

Überprüfung des Gutachtens beim ULD:

Das ULD überprüft das Gutachten auf Schlüssigkeit und Nachvollziehbarkeit der Darstellung. In die Prüfung werden Unterlagen der Produktdokumentation einbezogen, anhand derer das ULD die Vollständigkeit und Schlüssigkeit des Gutachtens überprüft. Eine komplette eigene Prüfung des Produkts führt das ULD dabei im Regelfall nicht durch. Es kann den Gutachter und den Hersteller auffordern, ergänzende Angaben zum Gutachten oder zur Produktdokumentation zu machen. Außerdem kann das ULD den Hersteller zur Vorlage des Produkts auffordern.

Erteilung des Gütesiegels durch das ULD:

Kommt das ULD auf der Grundlage des Gutachtens zu dem Ergebnis, dass das Produkt mit den Vorschriften über Datenschutz und Datensicherheit vereinbar ist, verleiht es das Datenschutz-Gütesiegel. Die Entscheidung über die Verleihung ergeht durch einen Verwaltungsakt. In der Regel wird das Datenschutz-Gütesiegel befristet für die Dauer von zwei Jahren verliehen. Das Zertifizierungsverfahren beim ULD ist gebührenpflichtig. Die Höhe der Gebühren ist in der Gebührensatzung des ULD geregelt. Eine Erhöhung der Gebühren ist möglich, wenn z. B. das Gutachten oder das Produkt Klärungs- und Nachbesserungsbedarf aufweist oder der Umfang des Produkts eine Gebührenerhöhung rechtfertigt.

Das ULD veröffentlicht alle zertifizierten Produkte gemeinsam mit dem Kurzgutachten in einem Register auf dessen Homepage. Auf diese Weise werden die herausragenden datenschutzbezogenen Eigenschaften des Produkts sowie die wesentlichen Gründe für die Verleihung des Gütesiegels transparent gemacht. Interessierte Kunden können sich durch das Register über zertifizierte Produkte und deren Bewertungen informieren. Durch die Kurzgutachten wird ein Vergleich ähnlicher Produkte sowie ein Vergleich der unterschiedlichen datenschutzrechtlichen Anforderungen an ein Produkt in verschiedenen Bundesländern oder Einsatzbereichen ermöglicht.

Geltungsdauer des Gütesiegels und Rezertifizierung:

Das Gütesiegel ist in der Regel für die Dauer von zwei Jahren für die Produktversion gültig, die Gegenstand des Zertifizierungsverfahrens beim ULD war. Wird das Produkt gegenüber dieser Version innerhalb der nächsten zwei Jahre nach der Zertifizierung nicht unerheblich geändert, so kann das Gütesiegel nicht automatisch für das geänderte Produkt verwendet werden. Für die weitere Verwendung müssen die Veränderungen des Produkts in einem Rezertifizierungsverfahren untersucht werden. Die Überprüfung beschränkt sich dabei auf die Änderungen des Produkts.

Nach Ablauf des zweijährigen Gültigkeitszeitraums kann das Zertifikat um weitere zwei Jahre verlängert werden. Hierfür ist ebenfalls ein Rezertifizierungsverfahren durchzuführen. Der Gegenstand des Rezertifizierungsverfahrens beschränkt sich in diesem Fall auf etwaige Änderungen des Produkts sowie auf die Überprüfung, ob das Produkt weiterhin dem Stand der Technik entspricht und die aktuellen rechtlichen Vorschriften erfüllt.