Webseiten auf Datenschutz und Datensicherheit aus Sicht des Nutzers zu prüfen, ist das Profil von unseren internet privacy standards. Mit ips können Internetportale – ob Online-Shop, Bürgerportal, Kunden-Account oder Unternehmenspräsentationen geprüft werden. ips ist ein bundesweit gültiger Standard, der mit Peter Schaar, dem ehemaligen Bundesbeauftragten für Datenschutz, entwickelt wurde. Das Gütesiegel wird vom Bundesjustizministerium, Verbraucherschutzverbänden sowie zahlreichen Fachzeitschriften empfohlen. Es ist als Prüfungsmaßstab für Datenschutz und IT-Sicherheit von zahlreichen Landesdatenschutzbehörden anerkannt. Der ips-Kriterienkatalog wird fortlaufend an die aktuelle Gesetzeslage angepasst und enthält die für Online-Dienstleistungen wesentlichen Vorgaben aus dem Datenschutz-, Multimedia- und Verbraucherschutzrecht. Die Qualitätskriterien entsprechen damit dem höchsten Prüfungsansatz von Datenschutz-Aufsichtsbehörden oder Wirtschaftsprüfern. Das ips-Zertifikat ist durch die Einhaltung der D21-Qualitätskriterien offiziell für die Auszeichnung vertrauenswürdiger Online-Shops anerkannt (vgl. www.internet-guetesiegel.de).

Wie wird die Webseite geprüft?

Als ips-Auditorin prüfe ich ein Webangebot umfassend rechtlich und technisch und wirke gemeinsam mit dem Kunden auf ein positives Prüfergebnis hin. Optional prüfe ich zusätzlich Webserver unserer Kunden auf Sicherheitslücken – so ist die Dienstleistung unserer Kunden optimal abgesichert gegen Datenverlust. Als Auditorin muss ich unabhängige Fachexpertin sein. Das bedeutet, dass ich Unternehmen, deren Webportale ich prüfe, nicht beraten darf und auch sonst in keiner rechtlichen oder persönlichen Verbindung mit den Kunden stehen darf. Das Gütesiegel ips ist grundsätzlich für 2 Jahre gültig.

Während der Corona-Pandemie hat sich das ips-Gütesiegel ganz besonders bei Anbietern von Videokonferenz-Portalen bewährt, insbesondere bei der Kundenzielgruppe im medizinischen Bereich (Ärzte, Krankenhäuser, Pflegeheime, Therapeuten etc.).

Dies ist in erster Linie speziellen Anforderungen an die technischen Verfahren zur Videosprechstunde[1] zu verdanken. Diese Anforderungen wurden im ips-Modul Videosprechstunde als spezielle Kriterien bei uns verortet.

Im Gegensatz zu einem DSGVO-Audit vor Ort beim Kunden schaue ich mir während des ips-Audits keine Unterlagen vor Ort oder Serverräume der Kunden an, sondern prüfe im Austausch mit dem Kunden sämtliche einschlägigen Kriterien des ips Kriterienkatalogs anhand der zu prüfenden URL sowie anhand von erhaltenen Kundenangaben und -unterlagen (z.B. ISO 27001-Zertifikate für Server) und bewerte die Ergebnisse anhand eines Punkteschemas innerhalb der einzelnen Module. Zusätzlich prüfe ich technische Aspekte mit zahlreichen Tools, etwa das Vorliegen einer ausreichenden Webseitenverschlüsselung oder den Einsatz von Cookies, Trackingtools und anderen Mechanismen im Hintergrund einer Webseite. Ein technischer Experte prüft dabei gesondert Vorgaben zur IT-Sicherheit (z.B. ob Datenübertragungen via Chat-Funktionen oder Videoübertragungen Peer-to-Peer-verschlüsselt (meist: Ende-zu-Ende-verschlüsselt) erfolgen).

Welche Module gibt es?

Für die Auditierung werden folgende ips-Module in der jeweils aktuellen Version des kostenlos abrufbaren Kriterienkataloges angewandt:

  • Info-Abruf (Modul M1)
  • Individual-Dienstleistung (Modul M2)
  • Verbraucherschutz (Modul M3)
  • Datenschutzmanagement (Modul M4).
  • Anforderungen an die technischen Verfahren zur Videosprechstunde (Modul M5)

Die Kriterien, der Ablauf und die Module sind zu finden hier .

Das Online-Angebot muss verschiedenen gesetzlichen Bestimmungen Rechnung tragen. Es sind vordergründig die Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) zu betrachten. Insbesondere kommen die Vorschriften zur Zulässigkeit der Datenerhebung und -verarbeitung gemäß Art. 6 und Art. 9 DSGVO zur Anwendung sowie Datenschutzgrundsätze des Art. 5 DSGVO. Ferner sind technische und organisatorische Maßnahmen zum Schutz der Daten zu begutachten, wie sie sich aus Art. 32 DSGVO ergeben. Das jeweilige Angebot muss der Transparenz und Datenminimierung sowie den Grundsätzen Privacy by Design und Privacy by Default genügen. Jeder Kunde stellt mit einem Webportal ein Telemedienangebot zur Verfügung, sodass das Telemediengesetz (TMG) Anwendung findet. Zum Prüfmaßstab gehört etwa die Impressumspflicht des § 5 TMG. Sind Vorgänge zum Fernabsatz oder E-Commerce (z.B. in Form eines Shops) eingebunden, sind neben den datenschutzrechtlichen Regelungen die Vorschriften zum Fernabsatz, elektronischen Geschäftsverkehr, AGB gemäß BGB zu prüfen. Nicht auditiert werden die „hinter“ dem Webportal stehenden Services (z.B. CRM-Systeme, Software, Apps für Smartphones/Tablets). ips ist ein „Webseiten-Siegel“.

Unsere Kunden haben die Möglichkeit, einen Penetrationstest direkt bei uns in Auftrag zu geben, um bestmöglichste Sicherheitsstandards umzusetzen bzw. effizient Sicherheitslücken zu schließen. Den Penetrationstest führen unsere beim BSI anerkannten IT-Experten als Grey-Box-Test[2] durch.

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) vom 16.Juli 2020 in der Rechtssache C-311/18 („Schrems II“) sind die Anforderungen an amerikanische Sub-Dienstleister oder solche, deren Mutter in den U.S.A. ihre Zentrale hat und die als Auftragsverarbeiter fungieren, enorm gewachsen. Die Verarbeitung von Datenwährend einer Videosprechstunde, auch im Auftrag, darf nur im Inland, in einem Mitgliedsstaat der Europäischen Union oder in einem diesem nach § 35 Absatz 7 des Ersten Buches Sozialgesetzbuch gleichgestellten Staat, oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat erfolgen. Ein Angemessenheitsbeschluss (das sog. Privacy Shield) für Datenübertragungen in die U.S.A. wurde für ungültig erklärt, Standardvertragsklauseln müssen ein Schutzniveau bieten, das dem in der EU entspricht. Durch gesetzliche Grundlagen in den U.S.A., insbesondere den US Cloud Act (gilt seit Ende März 2018), wird US-Behörden die Herausgabe von Daten gestattet, die US-amerikanische IT-Dienstleister oder Internetfirmen im Ausland speichern. Entgegen dem Titel des Gesetzes hat es nicht zwingend etwas mit Cloud-Diensten zu tun. CLOUD steht in diesem Fall für „Clarifying Lawful Overseas Use of Data Act“, auf Deutsch etwa „Gesetz zur Klarstellung des rechtmäßigen Umgangs mit Daten im Ausland“. Das Gesetz stellt sicher, dass es keine Rolle mehr spielt, ob Daten „in der Cloud“ oder in einem bestimmten Datenzentrum gespeichert sind – ob im In- oder Ausland. Der CLOUD Act verpflichtet US-Unternehmen selbst dann zur Datenherausgabe, wenn lokale Gesetze am Ort des Datenspeichers dies verbieten. Das ist der Knackpunkt der Problematik. Die Datenherausgabe setzt auch nicht voraus, dass es ein internationales Rechtshilfeabkommen gibt, das solche Fälle regelt.

Der EuGH hat klargestellt, dass es ohne zusätzliche Garantien oder Schutzmaßnahmen zur Verhinderung einer Datenherausgabe/-weitergabe an US-Behörden kein angemessenes Schutzniveau für U.S. Dienstleister geben kann. Dies ist für viele Anbieter von Web-Portalen ein echtes Problem geworden, da man sich in der Vergangenheit gerne gut funktionierenden IT-Dienstleistern von Google, Amazon, Microsoft o.a. Anbietern bedient hat. Für die Web-Portale, die Gesundheitsdaten verarbeiten, die zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO gehören, und deren Anbieter sich zudem zur Wahrung des strafrechtlich relevanten Patientengeheimnisses verpflichtet haben, werden Dienstleister aus den U.S.A. damit quasi zu einer unüberwindbaren Hürde zum Schutze der Betroffenen.

Versuche von großen Unternehmen, ihre Standardvertragsklauseln dahingehend anzupassen, dass Sie anfragenden amerikanischen Behörden antworten, sich bitte selbst an den Betroffenen zu wenden und diesen über die Anfrage zu informieren, sind gut gemeinte Versuche. Sie scheitern jedoch dort, wo Gesetze den Firmen dieses Vorgehen verbietet.

Die technische Prüfung von Videosprechstunden zeigt mir in der Praxis, dass nur allzu oft sog. „Turn-Server“[3] in den U.S.A. auftauchen. Der Turn-Server sollte demnach keine Daten speichern, sondern eben lediglich für die Weiterleitung der Daten sorgen.

Aus diesem Grund muss durch den Anbieter im Audit sichergestellt und nachgewiesen werden, dass durch den Einsatz eines Turn-Servers keine personenbezogenen (Gesundheits-) Daten gespeichert, abgezapft oder weitergeleitet werden können.

Über die Gewichtung der ips-Module entscheide ich am Ende als unabhängige Auditorin jeweils individuell in Abhängigkeit der Sensibilität der erhobenen und verarbeiteten Daten und der Anzahl der Module insgesamt. Werden alle Kriterien erfüllt, kann das Gütesiegel erteilt werden. Werden die Kriterien nicht oder nur teilweise erfüllt, fasse ich dies in einem sog.  „Reviewprotokoll“ zusammen und vereinbare mit meinen Kunden eine Frist zur Behebung. Verstreicht diese ungenutzt, endet das Verfahren mit einem negativen Auditbericht ohne Gütesiegel. Es wird bei einem positiven Ausgang personell zwischen Auditierung und Vergabe des Gütesiegels getrennt, indem ich meinen Auditbericht unserer Vergabestelle für eine Schlüssigkeitsprüfung vorlege. Stimmt die Zertifizierungsstelle meinem Ergebnis zu, wird das Gütesiegel erteilt und meine Kunden erhalten unser Gutachten als detaillierten Prüfnachweis, eine Urkunde und unser digitales ips-Logo, welches auf den geprüften Webseiten zu platzieren ist. Es verlinkt dann zu einem Kurzgutachten (auf unserer Webseite) über die Ergebnisse meiner Prüfung. Gerne stelle ich dann das ips-Logo bei Erteilung des Gütesiegels ohne weitere Kosten auch für Marketingzwecke zur Verfügung.

[1] § 291g Absatz 4 bzw. 5 SGB V (Anlage 31b zum Bundesmantelvertrag – Ärzte bzw. Anlage 16 zum Bundesmantelvertrag – Zahnärzte) zw. GKV-Spitzenverband u. Kassenärztlicher Bundesvereinigung (KBV) bzw. Kassenzahnärztlichen Bundesvereinigung (KZBV)

[2] Ein Grey-Box-Test startet mit der Bereitstellung von Anmeldedaten durch den Auftraggeber, allerdings ohne weitere Informationen über die Netzwerkstruktur und die eingesetzte Hard- und Software. Über den Schwachstellenscan hinaus werden konzeptionelle Schwachstellen und logische Fehler in den Abläufen der eingesetzten Software getestet.

[3] Turn-Server müssen quasi immer dann zum Einsatz kommen, wenn Datenverkehre verschlüsselt zwischen zwei Peers ausgetauscht werden, die sich nicht im gleichen lokalen Netzwerk befinden (so der Fall bei Videosprechstunden zwischen Arzt und Patient). Sog. „Symmetric NAT-Router“ (NAT – Network Address Translation), die für die Sicherheit des eigenen Netzwerkes sorgen, verhindern bei Audio-/Video Kommunikation, dass mindestens ein Client von außen gar nicht erreicht werden kann, da ein direkter Socket zwischen den Clients nicht möglich ist. Hier wird dann ein „Turn-Server“ notwendig. Der Begriff steht für Traversal Using Relays around NAT und ist ein Protokoll zum Weiterleiten des Netzwerkverkehrs. Dieser ermöglicht es zwei Clients, Daten ohne eine direkte Verbindung auszutauschen (“Relay Server”). Er leitet den Datenverkehr zwischen Peers trotz des Symmetric NAT-Routers weiter, überwindet diesen quasi.