Gütesiegel

FAQ's - Häufig gestellte Fragen

Was ist das „Gütesiegel Datenschutz M-V“?

Das Datenschutzgesetz Mecklenburg-Vorpommern eröffnet die Möglichkeit, die Vereinbarkeit von informationstechnischen Produkten mit den Vorschriften über den Datenschutz und die Datensicherheit in einem Prüfverfahren festzustellen (§ 5 Abs. 2 DSG M-V). Bei erfolgreichem Durchlaufen des Prüfverfahrens erhält das Produkt das „Gütesiegel Datenschutz M-V“.

Wer verleiht das „Gütesiegel Datenschutz M-V“?

Das „Gütesiegel Datenschutz M-V“ kann von jeder öffentlichen oder privaten Stelle erteilt werden, die ein für diesen Zweck geeignetes Prüfverfahren entwickelt hat, zu dem das Benehmen mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern hergestellt wurde. Eine Liste mit Gütesiegel vergebenden Stellen ist im Internetangebot des Landesdatenschutzbeauftragten zu finden.

Welche Vorteile hat das „Gütesiegel Datenschutz M-V“?

Das „Gütesiegel Datenschutz M-V“ ist ein datenschutzspezifisches Qualitätsmerkmal des geprüften Produktes. Der Produktanwender – also Kommunal- und Landesverwaltungen, aber auch Schulen, Krankenhäuser und private Unternehmen – kann auf den ersten Blick erkennen, dass das Produkt den gesetzlichen Bestimmungen des Datenschutzes entspricht.

Öffentliche Stellen des Landes Mecklenburg-Vorpommern haben die Produkte mit dem „Gütesiegel Datenschutz M-V“ gemäß § 5 Abs. 2 DSG M-V vorrangig einzusetzen. Gesetzlich vorgeschrieben Ausschreibungsverfahren zur Auswahl eines Produktes können sich dadurch wesentlich vereinfachen.

Der Produkthersteller hat durch die zusätzliche Qualitätsaussage in der Regel einen Wettbewerbsvorteil gegenüber Mitbewerbern und kann mit dem „Gütesiegel Datenschutz M-V“ für sein Produkt werben.

Entfallen Kontrollen des Landesdatenschutzbeauftragten bei Vorliegen des Gütesiegels Datenschutz M-V?

Der Einsatz eines Produktes mit dem „Gütesiegel Datenschutz M-V“ entbindet die einsetzende Stelle nicht von der datenschutzrechtlichen Verantwortung für die rechtskonforme Verarbeitung personenbezogener Daten. Der Landesdatenschutzbeauftragte kann daher auch den Umgang mit personenbezogenen Daten beim Einsatz gesiegelter Produkte prüfen. Dabei wird er in der Regel jedoch davon ausgehen, dass der Produktanwender den Sorgfaltspflichten bei der Auswahl des Produktes oder des Dienstleisters angemessen nachgekommen ist.

Das Gütesiegel bedeutet nicht ohne weiteres, dass die entsprechende Datenverarbeitung datenschutzkonform erfolgt. Denn auch bei der Verwendung eines geprüften Produktes können Fehler gemacht werden.

Welche Produkte können das „Gütesiegel Datenschutz M-V“ erhalten?

Das „Gütesiegel Datenschutz M-V“ können informationstechnische Produkte, also Hard- und Software erhalten. Außerdem können auch Verfahren zur automatisierten Verarbeitung personenbezogener Daten oder zur Unterstützung solcher Prozesse zertifiziert werden. Voraussetzung ist zusätzlich, dass sie zur Nutzung durch öffentliche Stellen des Landes Mecklenburg-Vorpommern geeignet sind.

Eine Liste der Produkte, die das „Gütesiegel Datenschutz M-V“ führen dürfen, ist im Internetangebot des Landesdatenschutzbeauftragten zu finden.

Wer beurteilt, ob ein Produkt prinzipiell geeignet ist, um ein das „Gütesiegel Datenschutz M-V“ zu erhalten?

Die Beurteilung der Zertifizierungsfähigkeit obliegt der Gütesiegel vergebenden Stelle. Die Produkthersteller sollten daher vor Einleitung des Gütesiegelverfahrens mit dieser Stelle klären, ob das fragliche Produkt prinzipiell für das "Gütesiegel Datenschutz M-V“ geeignet ist.

Nach welchen Kriterien werden Produkte für die Vergabe des „Gütesiegels Datenschutz M‑V“ geprüft?

Im Prüfverfahren wird die Vereinbarkeit des Produkts/Verfahrens mit den Vorschriften über Datenschutz und Datensicherheit unabhängig geprüft und ggf. bestätigt. Besonderer Wert wird auf die Gesichtspunkte der Datenvermeidung und Datensparsamkeit, Datensicherheit und Revisionsfähigkeit sowie auf die Gewährleistung der Rechte der Betroffenen gelegt. Die Gütesiegel vergebenden Stellen müssen einen Anforderungskatalog für die IT-Produkte zur Verfügung stellen, der gleichermaßen rechtliche und technische Aspekte beinhaltet. Dieser ist regelmäßig fortzuschreiben. Der Landesdatenschutzbeauftragte wird das Benehmen zum Prüfverfahren in der Regel nur dann ohne Beanstandungen bzw. entsprechende öffentlich Hinweise herstellen, wenn ein geeignetes Prüfverfahren vorhanden ist und Anforderungskataloge verwendet, die sich an den vergleichbaren Katalogen des Datenschutz-Gütesiegels des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein orientieren.

Wie läuft das Zertifizierungsverfahren für das „Gütesiegel Datenschutz M-V“ ab?

Das Verfahren zur Verleihung des „Gütesiegels Datenschutz M-V“ beginnt mit der Antragstellung durch den Produkthersteller/die Vertriebsfirma. Dieser Antrag ist an die Gütesiegel vergebende Stelle zu richten. Diese Stelle führt ein Register der für das Siegel akkreditierten Sachverständigen. Der Produkthersteller/die Vertriebsfirma wählt Sachverständige aus diesem Register, die dann die technische und rechtliche Evaluierung durchführen und ein Gutachten hierzu erstellen. Dieses Gutachten wird dann durch die Gütesiegel vergebende Stelle geprüft, die damit die Qualität und Unabhängigkeit des Verfahrens gewährleistet. Abschließend wird das Benehmen mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern durch Gütesiegel vergebende Stelle hergestellt und das „Gütesiegel Datenschutz M-V“ verliehen.

Wer kann als Sachverständiger / Prüfstelle für das „Gütesiegel Datenschutz M-V“ akkreditiert werden?

Die Gütesiegel vergebende Stelle akkreditiert Sachverständige / Prüfstellen. Voraussetzung ist der Nachweis, dass bestimmte Anforderungen bezüglich Fachkunde und Zuverlässigkeit erfüllt werden. Die hierfür erforderlichen Kriterienkataloge veröffentlicht die Gütesiegel vergebende Stelle. Eine Akkreditierung von Sachverständigen bzw. Prüfstellen, die bereits beim Unabhängigen Landeszentrum für Datenschutz (ULD) für das vom ULD verliehene Gütesiegel Schleswig-Holstein akkreditiert sind, ist unter erleichterten Voraussetzungen möglich.

Wie lange gilt das „Gütesiegel Datenschutz M-V“?

Das „Gütesiegel Datenschutz M-V“ wird für zwei Jahre erteilt. Eine anschließende Rezertifizierung ist möglich. Acht bzw. 16 Monate nach der Zertifizierung ist im Rahmen eines sogenannten “Monitorings” zu überprüfen, ob es zwischenzeitlich zu Änderungen am Zertifizierungsgegenstand gekommen ist. Gegebenenfalls wird dann eine frühzeitige Rezertifizierung erforderlich. So wird sichergestellt, dass das gesiegelte Produkt durchgehend den aktuellen datenschutzrechtlichen Anforderungen entspricht.

Welche Kosten entstehen im Zusammenhang mit dem „Gütesiegel Datenschutz M-V“?

Für den Produktanwender – also Kommunal- und Landesverwaltungen, aber auch Schulen, Krankenhäuser und private Unternehmen – entstehen keine Kosten durch den Einsatz eines gesiegelten Produktes, die über den Produktpreis hinausgehen.

Die Kosten des „Gütesiegels Datenschutz M-V“ trägt der Hersteller des zu siegelnden Produktes. Er handelt einerseits die Kosten der technischen und rechtlichen Evaluierung mit den von ihm ausgewählten Sachverständigen aus. Diese Kosten hängen von der Komplexität des zu prüfenden Produkts ab und können daher hier nicht näher beziffert werden.

Weitere Kosten entstehen dem Hersteller im Zusammenhang mit der eigentlichen Gütesiegel-Verleihung. Diese Kosten legt die Gütesiegel vergebende Stelle fest.

Zertifizierungsstellen

EuroPriSe

Das europäische Datenschutz-Siegel EuroPriSe (European Privacy Seal) zeichnet offiziell datenschutzkonforme IT-Produkte und IT-Serviceleistungen aus. EuroPriSe begann als ein von der EU-Kommission gefördertes Projekt, das die Einführung eines europaweiten Datenschutzgütesiegels zum Ziel hatte. Neben der Zertifizierung des Gütesiegels M-V bietet EuroPriSe zusätzlich auch europaweite Zertifizierungen von IT-Produkten und IT-basierten Diensten an.

Zertifizierte Produkte

Überblick

Erste Produkte befinden sich derzeit in der Zertifizierungsphase.