EuroPriSe

EuroPriSe (kurz für European Privacy Seal, englisch für „Europäisches Datenschutz-Gütesiegel“), steht für Zertifizierungen, welche die privatwirtschaftliche EuroPriSe Cert GmbH (nachfolgend: EuroPriSe) aus Bonn durchführt. Seit Beginn 2024 bietet EuroPriSe die deutschlandweit erste Zertifizierung nach Art. 42 DSGVO an und ist mit dem Fokus auf Auftragsverarbeiter Vorreiter in der gesamten Europäischen Union.

Initiiert im Jahr 2007 vom Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein und gefördert durch die Europäische Union im Rahmen des eTEN-Programms, hat sich EuroPriSe zu einem globalen Maßstab für den Datenschutz entwickelt.

Ziel war es von Beginn an, ein offiziell genehmigtes europäisches Datenschutzsiegel zu entwickeln. Damit verfolgt EuroPriSe die Vision, das globale Datenschutzniveau zu steigern und Datenschutz-Compliance mit EU-weit anerkannten Zertifizierungen sichtbar zu machen.

Ein wichtiger Meilenstein wurde im Dezember 2023 erreicht, als EuroPriSe von der DAkkS (Deutsche Akkreditierungsstelle GmbH) als Zertifizierungsstelle für die Zertifizierung von Auftragsverarbeitern nach Art. 43 DSGVO akkreditiert wurde und von der LDI NRW (Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen) die Befugnis erhielt, als Zertifizierungsstelle tätig zu werden. Nachdem der zugehörige Kriterienkatalog für Auftragsverarbeiter bereits 2022 von der LDI NRW genehmigt wurde, fiel damit der Startschuss für die deutschlandweit erste Zertifizierung auf Basis der DSGVO. Der Zuschnitt der offiziell genehmigten Zertifizierung auf Auftragsverarbeiter ist EU-weit einmalig.^[1]

Anfang 2024 begann EuroPriSe mit der Durchführung erster Zertifizierungsverfahren für Auftragsverarbeiter nach Art. 42 DSGVO. Die bisherigen Zertifizierungen von IT-Produkten und IT-basierten Dienstleistungen wurden nach erfolgter Akkreditierung unverzüglich eingestellt.

Ziele[Bearbeiten | Quelltext bearbeiten]

Ziel von EuroPriSe ist es, zu einer einheitlichen Anwendung der Datenschutz-Grundverordnung beizutragen und das Datenschutzniveau in der EU und darüber hinaus durch eine qualitativ hochwertige Datenschutzzertifizierung zu erhöhen. Hierdurch sollen sowohl die Rechte der betroffenen Personen als auch die Marktposition der zertifizierten Unternehmen gestärkt werden. Auftragsverarbeitern ermöglicht EuroPriSe es, ihre Datenschutz-Compliance nachzuweisen und die eigenen Qualitätsansprüche in Bezug auf die Datenverarbeitung transparent zu machen. Sowohl gegenüber Verbraucherinnen und Verbrauchern als auch im B2B-Markt entwickelt sich der Nachweis von Datenschutzkonformität gerade für Auftragsverarbeiter zunehmend zum Alleinstellungsmerkmal und Wettbewerbsvorteil.

Geschichte[Bearbeiten | Quelltext bearbeiten]

2007-2009: Im Rahmen des eTEN-Projekts wird der Grundstein für EuroPriSe gelegt. Gefördert von der Europäischen Union entwickelt das Projekt ein europäisches Datenschutzsiegel für IT-Produkte und IT-basierte Dienste und erprobt dieses in Pilotzertifizierungen.

2009-2013: EuroPriSe wird von der Aufsichtsbehörde ULD-SH (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) betrieben.

2014: EuroPriSe wird von nun an von der privatwirtschaftlichen EuroPriSe GmbH (ab Ende 2021: EuroPriSe Cert GmbH) betrieben.

2018: Im Mai wird die DSGVO anwendbar. Das erklärte Ziel von EuroPriSe ist es nun, so schnell wie möglich als Zertifizierungsstelle gem. Art. 43 DSGVO akkreditiert zu werden.

2022: Die LDI NRW (Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen) genehmigt den EuroPriSe-Kriterienkatalog für die Zertifizierung von Auftragsverarbeitern nach Art. 42 DSGVO. Damit ist auch das Zertifizierungsprogramm für Auftragsverarbeiter insgesamt von der DAkkS (Deutsche Akkreditierungsstelle GmbH) und der LDI NRW genehmigt worden. EuroPriSe ist das erste deutsche Unternehmen, dem eine solche Genehmigung eines Zertifizierungsprogramms gelingt.

2023: Im Dezember erteilt die DAkkS EuroPriSe die Akkreditierung als Zertifizierungsstelle für die Zertifizierung von Auftragsverarbeitern. Ebenfalls im Dezember erteilt die LDI NRW die Befugnis, als Zertifizierungsstelle gem. Art. 43 DSGVO tätig zu werden (vgl. § 39 BDSG). Nach erfolgter Genehmigung von Zertifizierungsprogramm und -kriterien sowie der Akkreditierung und Befugniserteilung ist EuroPriSe als erstes deutsches Unternehmen dazu in der Lage, ein genehmigtes Zertifizierungsverfahren gem. Art. 42 anzubieten.

2024: EuroPriSe beginnt mit der Durchführung genehmigter Zertifizierungsverfahren für Auftragsverarbeiter auf Grundlage des für Deutschland genehmigten Zertifizierungsprogramms. Die bisherigen Zertifizierungen von IT-Produkten und IT-basierten Dienstleistungen werden eingestellt.

Zertifizierung[Bearbeiten | Quelltext bearbeiten]

Von der Zertifizierungsstelle zugelassene Gutachter prüfen im Auftrag des Herstellers das Produkt oder den Dienst im Rahmen einer Evaluation (1. Prüfstufe) und erstellen ein Gutachten. Die Zertifizierungsstelle prüft im Rahmen einer Validierung (2. Prüfstufe) die Anwendung der Kriterien auf das Produkt oder den Dienst im Hinblick auf Vollständigkeit, Prüftiefe und Plausibilität und erteilt auf Basis des Gutachtens das EuroPriSe-Gütesiegel.

Gutachterzulassung[Bearbeiten | Quelltext bearbeiten]

Die Zulassung zum EuroPriSe-Gutachter rechtlich oder technisch erfolgt durch die EuroPriSe GmbH nach Bestehen einer Testevaluation im Rahmen der Gutachterausbildung und Nachweis der Fachkunde und Zuverlässigkeit.

Projekt[Bearbeiten | Quelltext bearbeiten]

In der Projektphase (2007–2009) wurde im Rahmen einer Marktvalidierung untersucht, ob und wie sich das Datenschutzgütesiegel aus Schleswig-Holstein auf europäischer Ebene realisieren lässt.^[2]

Für die Erweiterung auf die europäische Ebene wurde die europäische Datenschutzgesetzgebung, insbesondere die Richtlinie 95/46/EG (Datenschutzrichtlinie), zu Grunde gelegt. Die in Schleswig-Holstein bestehenden Prüfkriterien wurden im Rahmen des Projektes auf die europäischen Anforderungen übertragen.^[3] Daneben hat das Projekt Kriterien für die europaweite Zulassung von Gutachtern auf die europäischen Verhältnisse angepasst und Konzepte für die Akkreditierung weitere Zertifizierungsstellen und die Organisation des Informationsaustausches zwischen Prüfstellen, Gutachtern und Zertifizierungsstellen erarbeitet. Mit Hilfe von Pilotverfahren wurde die Praxistauglichkeit der gefundenen Lösungen überprüft.

Projektpartner[Bearbeiten | Quelltext bearbeiten]

• Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) (Spanien)
• Borking Consultancy (Niederlande)
• Commission Nationale de l’Informatique et des Libertés (CNIL) (Frankreich)
• Ernst & Young (Schweden)
• Institut für Technikfolgen-Abschätzung der Österreichischen Akademie der Wissenschaften (Österreich)
• London Metropolitan University (GB)
• Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) (Deutschland)
• TÜV Informationstechnik GmbH (TÜVit) (Deutschland)
• VaF s.r.o. (Slowakei)

Weblinks[Bearbeiten | Quelltext bearbeiten]

• EuroPriSe-Website (englisch)

Belege[Bearbeiten | Quelltext bearbeiten]

1. ↑ https://www.ldi.nrw.de/ldi-nrw-erteilt-die-befugnis-fuer-erste-deutsche-zertifizierungsstelle / https://www.ldi.nrw.de/ldi-nrw-genehmigt-erste-deutsche-kriterien-fuer-datenschutz-zertifizierung
2. ↑ Europäisches Datenschutz-Gütesiegel am Start: Akkreditierungen und Pilotzertifizierungen können beginnen. 19. Dezember 2016, archiviert vom Original (nicht mehr online verfügbar) am 19. Dezember 2016; abgerufen am 15. September 2017. 
3. ↑ BERICHT zum Gesamtkonzept für den Datenschutz in der Europäischen Union – A7-0244/2011. Abgerufen am 15. September 2017.