Tipps und Hinweise für Produktanwender

Produkte und IT-Dienstleistungen, die mit einem Datenschutz-Gütesiegel gekennzeichnet sind, wurden vom Unabhängigen Landeszentrum in einem förmlichen Zertifizierungsverfahren geprüft und als datenschutzgerecht einsetzbar eingestuft.

Welche Vorteile hat das für Sie als Anwender?

  • Entscheiden Sie sich für ein zertifiziertes Produkt, können Sie sicher sein, dass dieses den Vorschriften über Datenschutz und Datensicherheit entsprechend eingesetzt werden kann. Viele dieser Anforderungen erfüllt das Produkt automatisch, Sie müssen hierfür nichts mehr tun. In einigen Bereichen bedarf es einer Umsetzung bzw. Einstellung der Produktfunktionalitäten für den tatsächlichen Einsatz. Wenn Sie hier bestimmte Dinge tun müssen, um Datenschutz-Anforderungen zu erfüllen, wird Ihnen dies in der Administrator- oder Anwenderdokumentation oder ergänzend auch im veröffentlichten Kurzgutachten genau mitgeteilt.
  • Wenn Sie ein Produkt beschaffen oder eine IT-Dienstleistung beauftragen, dann müssen Sie sich davon überzeugen, dass personenbezogene Daten mit diesem Produkt bzw. durch diesen Dienstleister datenschutzkonform verarbeitet werden können. Hierzu müssen Sie die Produktfunktionalitäten bzw. das Leistungsangebot des Dienstleisters genau prüfen. Wählen Sie ein zertifiziertes Produkt oder eine zertifizierte Dienstleistung, ersparen Sie sich diese Prüfung, denn diese ist durch die Zertifizierung bereits erfolgt.
  • Sie können sich über die Gründe, die zur Zertifizierung des Produkts geführt haben, jederzeit in einem Kurzgutachten informieren, das auf der Webseite des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein veröffentlicht ist. Dies schafft Transparenz und ermöglicht Ihnen einen Vergleich ähnlicher (zertifizierter) Produkte.
  • Alle von einer datenverarbeitenden Stelle betriebenen automatisierten Datenverarbeitungsverfahren sind mit bestimmten Angaben in einem von dieser geführten Verfahrensverzeichnis einzutragen (vgl. § 7 Abs. 1 LDSG, § 4e BDSG). Alle Produktinformationen, die Sie hierfür benötigen, können Sie der Dokumentation des (zertifizierten) Produkts entnehmen.
  • Soll ein Datenverarbeitungsverfahren eingerichtet werden, das mit besonderen Risiken für die Betroffenen verbunden ist, so muss dieses zuvor durch die verantwortliche Stelle geprüft werden (so genannte Vorabkontrolle, vgl. § 9 LDSG, § 4d Abs. 5 BDSG). Alle notwendigen Informationen über das (zertifizierte) Produkt, die Sie für die Durchführung der Vorabkontrolle benötigen, können Sie der Produktdokumentation entnehmen, denn diese ist ebenfalls geprüft. Das Produkt selbst brauchen Sie im Rahmen der Vorabkontrolle nicht noch einmal zu prüfen; hier können Sie auf die Ergebnisse der Zertifizierung zurückgreifen. Sie können den Umfang der Vorabkontrolle daher auf den konkreten Einsatz des Produkts in dem von Ihnen zu betreibenden Verfahren beschränken.
  • Das Gütesiegel, mit dem das Produkt gekennzeichnet ist, können Sie ebenfalls verwenden und damit Ihren Kunden bzw. Bürgern gegenüber deutlich machen, dass sie Ihnen in puncto Datenschutz vertrauen können.

§ 4 Abs. 2 LDSG SH schreibt vor, dass Behörden Produkte mit Datenschutz-Gütesiegel vorrangig einsetzen sollen.

Was bedeutet diese Regelung für die Beschaffung von Produkten oder die Beauftragung von IT-Dienstleistungen?

  • Das Gütesiegel ist nach dieser Vorschrift für schleswig-holsteinische Behörden Vergabekriterium. Bei Beschaffungen müssen Behörden darauf achten, dass in den Ausschreibungsunterlagen das Kriterium der Zertifizierung angegeben wird. Ist unter den eingegangenen Angeboten ein Produkt mit einem Gütesiegel, muss dieses vorrangig berücksichtigt werden, d. h. die Tatsache der Zertifizierung ist mit einem bestimmten Anteil zu bewerten. Sprechen im Einzelfall gewichtige Gründe gegen die Beschaffung des zertifizierten Produkts (z. B. die Qualität im Übrigen, der Preis oder Ähnliches), ist eine Entscheidung für ein anderes Produkt mit § 4 Abs. 2 LDSG vereinbar.
  • Bei der Vergabe ist zu beachten, dass der Zuschlag für das wirtschaftlichste Angebot erteilt werden soll. Dabei sind alle Leistungsmerkmale eines Produkts oder einer Dienstleistung zu berücksichtigen. Zur geforderten Leistung gehört auch die Vereinbarkeit des Produkts oder der Dienstleistung mit den Anforderungen des Datenschutzrechts. Da bei einem zertifizierten Produkt bzw. einer zertifizierten Dienstleistung dieses Merkmal bereits geprüft wurde, entfällt eine eigene Prüfung durch die Vergabestelle. Diese Ersparnis ist im Rahmen der Wirtschaftlichkeitsprüfung zu berücksichtigen. Auch die oben beschriebenen Erleichterungen für den Einsatz des Produkts bzw. der Dienstleistung wirken sich im Rahmen der Wirtschaftlichkeitsprüfung zu Gunsten des zertifizierten Produkts aus.

Was wird bei einer Zertifizierung geprüft?

  • Das Produkt bzw. die IT-Dienstleistung wird in einem ersten Schritt durch Sachverständige untersucht und bewertet. Die Untersuchung erfolgt anhand der Produktdokumentation und durch Tests des Produkts selbst. Geprüft wird, ob und wie die datenschutzrechtlichen Anforderungen an das Produkt bzw. die Dienstleistung technisch umgesetzt sind. Ist eine Umsetzung durch organisatorische Maßnahmen notwendig, wird geprüft, wie die erforderlichen Maßnahmen durch den Hersteller beschrieben sind.

    Die Kriterien für die Prüfung und Bewertung ergeben sich aus einem Anforderungskatalog des ULD für IT-Produkte.

    Als Sachverständige werden nur Experten auf dem Gebiet des Datenschutzrechts und der technischen Datensicherheit tätig, die beim ULD für diese Aufgabe anerkannt wurden. Das ULD überprüft im Anerkennungsverfahren die Fachkunde sowie die Zuverlässigkeit und Unabhängigkeit der Sachverständigen.
  • Die Entscheidung darüber, ob ein Produkt oder eine Dienstleistung zertifiziert wird, trifft das ULD anhand des von dem oder den Sachverständigen erstellten Gutachtens sowie der Produktdokumentation. Wenn die Prüfergebnisse des Gutachters nachvollziehbar und schlüssig sind, wird das Gütesiegel verliehen.
  • Das Gütesiegel ist in der Regel für zwei Jahre gültig. Auf den Zeitraum der Gültigkeit muss der Hersteller bei Verwendung des Gütesiegels hinweisen. Es gilt nur für die Produktversion, die im Zertifizierungsverfahren geprüft wurde. Zusätzlich können Sie sich auf der Webseite des ULD im Register der zertifizierten Produkte informieren.