Zertifizierungsordnung
Stand: 18.03.2023
1. Allgemeines
1.1.
Die GftD Gesellschaft für transparenten Datenschutz mbH („Gesellschaft“) führt für den Betreiber einer Website („Antragsteller“) die Zertifizierung „Transparenter Datenschutz“ durch. Diese Zertifizierungsordnung einschließlich ihrer Anhänge werden Teil des zwischen der Gesellschaft und dem Antragssteller geschlossenen Vertrags über die Zertifizierung („Zertifizierungsvertrag“). Allgemeine Geschäftsbedingungen des Antragstellers werden nicht Vertragsinhalt, auch wenn die Gesellschaft ihnen nicht ausdrücklich widerspricht.
1.2.
Die Gesellschaft für transparenten Datenschutz stellt im Rahmen der Zertifizierung „transparenter Datenschutz“ die aus dem Anhang I zu dieser Zertifizierungsordnung ersichtlichen Anforderungen an Websites. Für die Prüfung der Erfüllung dieser Anforderungen gelten die Vorgaben gemäß Anhang II. Die Gesellschaft ist berechtigt, Dritte mit der Durchführung von Prüfungen nach dieser Zertifizierungsordnung zu beauftragen.
1.3.
Zwischen dem Antragsteller und der Gesellschaft besteht Einigkeit, dass der Antragsteller im Hinblick auf die zertifizierte Website Diensteanbieter im Sinne des Gesetzes ist.
1.4
Es handelt sich nicht um eine Zertifizierung im Sinne von Art. 42 DSGVO.
2. Vertragsschluss
Der Zertifizierungsvertrag kommt mit der Annahme des Antrags des Antragstellers durch die Gesellschaft zustande.
3. Externe Prüfung
3.1.
Die Gesellschaft beauftragt eine Rechtsanwaltskanzlei mit der Prüfung, ob die Website des Antragstellers die Anforderungen an transparenten Datenschutz gemäß Anhang I erfüllt. Die beauftragte Rechtsanwaltskanzlei soll bei der Prüfung die Vorgaben des Anhang II beachten.
3.2.
Die beauftragte Rechtsanwaltskanzlei wird der Gesellschaft einen Bericht übermitteln, aus dem hervorgehen soll, ob die Website die Anforderungen gemäß Anhang I erfüllt und welche Anforderungen gegebenenfalls nicht erfüllt werden. Die Gesellschaft wird dem Antragsteller auf seinen Wunsch hin eine Kopie des Berichts übermitteln.
3.3.
Erfüllt die Website des Antragstellers die Anforderungen gemäß Anhang I nicht, kann der Antragsteller seine Website nachbessern und bei der Gesellschaft innerhalb von zwei Monaten ab Zugang des Prüfberichts eine Nachprüfung beantragen. Die erste Nachprüfung ist für den Antragsteller kostenfrei.
4. Zertifizierung
4.1.
Auf Grundlage des Berichts über die externe Prüfung fällt die Gesellschaft die Zertifizierungsentscheidung.
4.1.1.
Eine positive Zertifizierungsentscheidung ergeht, wenn die Website den Anforderungen gemäß des Anhangs I dieser Zertifizierungsordnung genügt.
4.1.2.
Genügt die Website den Anforderungen gemäß Anhang I nicht, wird die Zertifizierung abgelehnt, wenn der Antragsteller nicht innerhalb von zwei Monaten ab Zugang des Prüfberichts eine Nachprüfung beantragt.
4.2.
Die Gesellschaft bestätigt die erfolgreiche Zertifizierung durch Ausstellung eines Zertifikats. Der Beginn der Laufzeit der Zertifizierung von 24 Monaten wird in dem Zertifikat bestimmt. Die Gesellschaft und der Antragsteller können eine kürzere Laufzeit vereinbaren. Diese wird in das Zertifikat aufgenommen.
4.3.
Mit Ausstellung des Zertifikats wird der Antragsteller berechtigt, das Zertifizierungszeichen „Transparenter Datenschutz“ („Siegel“) gemäß dieser Zertifizierungsordnung auf seiner Website zu nutzen. Die Gesellschaft stellt dem Antragssteller das Siegel beinhaltende Bilddateien zur Verfügung.
4.4.
Während der Laufzeit erfolgt eine laufende Kontrolle der Erfüllung der Anforderungen gemäß Anhang I und II („Konformität“) durch die nachfolgenden Maßnahmen.
4.4.1.
Die Gesellschaft kann bei verschiedenen Antragstellern Stichproben durchführen, um festzustellen, ob weiterhin Konformität besteht.
4.4.2.
Der Antragsteller ist während der Laufzeit verpflichtet, die Gesellschaft über alle für die Zertifizierung relevanten Umstände und Veränderungen – insbesondere die Website betreffend – zu informieren. Die Gesellschaft prüft nach einer entsprechenden Information die Konformität.
4.4.3.
Ergibt eine Prüfung während der Laufzeit, dass keine Konformität besteht, informiert die Gesellschaft den Antragsteller. Die Zertifizierung ruht in diesem Fall, bis wieder Konformität hergestellt ist.
4.4.4.
Ergibt eine Prüfung während der Laufzeit, dass die Website mehreren Anforderungen gemäß Anhang I und II nicht genügt oder ist die Konformität zwischen der Gesellschaft und dem Antragsteller streitig, kann die Gesellschaft auf Kosten des Antragstellers eine externe Prüfung gemäß Ziffer 3 dieser Zertifizierungsordnung durchführen lassen.
4.5.
Sofern der Zertifizierungsvertrag nicht gekündigt wird, erfolgt am Ende der Laufzeit der Zertifizierung eine erneute Prüfung und eine erneute Zertifizierungsentscheidung („Re-Zertifizierung“). Das Verfahren der Re-Zertifizierung erfolgt entsprechend dieser Ziffer 4. Bei einer positiven Zertifizierungsentscheidung wird ein aktuelles Zertifikat ausgestellt und die Vertragslaufzeit verlängert sich entsprechend.
5. Nutzung des Siegels
5.1.
Das Recht zur Nutzung des Siegels ist auf die jeweilige Zertifizierung beschränkt und darf nicht übertragen werden. Eine Veränderung des Siegels ist nur der Größe nach unter Wahrung der Proportionen zulässig. Der Antragsteller ist befugt, ein Zertifizierungszeichen anstelle der originalen Farbgebung in Graustufen oder in schwarz und weiß zu nutzen. Der Antragsteller hat dafür Sorge zu tragen, dass nicht der Eindruck erweckt wird, die Gesellschaft hätte über den Gegenstand der Zertifizierung hinausgehende Prüfungen vorgenommen. Der Antragsteller bleibt für die Einhaltung von Gesetzen verantwortlich.
5.2.
Das Recht zur Nutzung des Siegels erlischt, wenn das Zertifikat seine Gültigkeit verliert bzw. die Zertifizierung ruht.
5.3.
Damit Besucher der zertifizierten Website die Berechtigung zur Führung überprüfen können, richtet die Gesellschaft eine individuelle Unterseite unter der Domain www.datenschutz-mit-siegel.de/zertifikate/[siegelZertifikat-Nr] ein. Die Unterseite wird dem Antragsteller mit der Vergabe des Siegels mitgeteilt. Das Siegel wird dem Antragsteller als Bilddatei zur Verfügung gestellt. Die Bilddatei ist mittels Hyperlink mit der individuellen Unterseite zu verlinken.
6. Nennung des Antragstellers
6.1.
Die Gesellschaft ist berechtigt, im Falle einer erfolgreichen Zertifizierung auf diese hinzuweisen und die Daten gemäß § 5 TMG über den Antragsteller sowie die URL der Website und die Gültigkeit des Zertifikats zu veröffentlichen. Namensangaben können durch bekannte Marken oder andere Bezeichnungen des Antragstellers ergänzt werden. Die Gesellschaft ist zum Zwecke der Darstellung von Referenzen und Werbung für die Zertifizierung berechtigt, Markenzeichen des Herstellers, die auf der zertifizierten Website dargestellt werden, zu nutzen.
6.2.
Die Veröffentlichung kann auf der Website und in Dokumenten der Gesellschaft erfolgen.
7. Ungültigkeit und Entzug von Zertifikaten
7.1.
Das Zertifikat wird ungültig, wenn der Zertifizierungsvertrag beendet wird oder die Gesellschaft das Zertifikat entzieht. Ruht die Zertifizierung, ist das Zertifikat für die Ruhedauer vorübergehend ungültig.
7.2.
Die Gesellschaft soll das Zertifikat entziehen, wenn sie Kenntnis davon erlangt, dass die Website den Anforderungen gemäß Anhang I nicht oder nicht mehr genügt und der Antragsteller die erkannten Defizite nicht innerhalb einer von der Gesellschaft gesetzten Frist beseitigt. Die Gesellschaft kann das Zertifikat entziehen, wenn der Antragsteller wiederholt oder nach fruchtlosem Ablauf einer zur Erfüllung gesetzten Frist oder nach erfolgter Abmahnung eine Pflicht aus dem Zertifizierungsvertrag nicht erfüllt.
7.3.
Im Falle der Ungültigkeit der Zertifizierung ist dem Antragsteller jeder Hinweis auf die Zertifizierung untersagt.
7.4.
Der Entzug des Zertifikats oder das Ruhen der Zertifizierung berühren nicht die Entgeltansprüche der Gesellschaft.
8. Unberechtigter Hinweis auf Zertifizierung
Für den Fall, dass der Antragsteller trotz Ungültigkeit der Zertifizierung auf die Zertifizierung hinweist, schuldet der Antragsteller pro Tag, an dem ein entsprechender Hinweis erfolgt, eine Vertragsstrafe in Höhe von EUR 50,-. Dies gilt nicht, sofern der Antragsteller den Hinweis nicht zu vertreten hat.
9. Entgelte
9.1.
Der Antragsteller schuldet der Gesellschaft die vereinbarten Entgelte.
9.2.
Haben der Antragsteller und die Gesellschaft keine individuelle Vereinbarung über Entgelte getroffen, so beträgt das monatliche Entgelt zur Nutzung der Zertifizierung 75,- Euro. Das einmalige Entgelt für die externe Prüfung der Website (Auslagen der Gesellschaft) beträgt 580,- Euro. Alle vorgenannten Beträge gelten zuzüglich der jeweils gültigen Umsatzsteuer.
9.3.
Für den Zeitraum nach einer Re-Zertifizierung gelten für die vorherige Laufzeit individuell vereinbarte Entgelte weiter, sofern keine abweichende Vereinbarung getroffen wird. Haben der Antragsteller und die Gesellschaft für die vorherige Laufzeit keine individuelle Vereinbarung getroffen, gelten die Entgelte gemäß der dann gültigen Zertifizierungsordnung.
10. Haftung der Gesellschaft
10.1.
Die Haftung der Gesellschaft ist ausgeschlossen, soweit sich aus dieser Zertifizierungsordnung nicht etwas anderes ergibt. Bei einer fahrlässigen Verletzung wesentlicher Vertragspflichten durch die Gesellschaft, ihrer gesetzlichen Vertreter oder Erfüllungsgehilfen haftet die Gesellschaft der Höhe nach beschränkt auf die bei Vertragsschluss vorhersehbaren und vertragstypischen Schäden. Wesentliche Vertragspflichten sind solche, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglichen und auf deren Einhaltung der Antragsteller regelmäßig vertrauen darf.
10.2.
Der vorstehende Haftungsausschluss und die vorstehende Haftungsbeschränkung gelten jeweils nicht
10.2.1.
für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit,
10.2.2.
für Schäden, die auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung der Gesellschaft, ihrer gesetzlichen Vertreter oder Erfüllungsgehilfen beruhen,
10.2.3.
bei der Anwendung der Regelungen des Produkthaftungsgesetzes.
11. Erforderliche Änderungen der Anforderungen
11.1.
Die Gesellschaft ist berechtigt, die Anforderungen gemäß Anhang I und II auch während der Laufzeit des Zertifizierungsvertrags anzupassen, wenn durch Veränderungen von Gesetzen oder technischen Gegebenheiten eine Anpassung zur Aufrechterhaltung eines konstanten Niveaus der Zertifizierung im Verhältnis zu Gesetzen und technischen Gegebenheiten erforderlich ist.
11.2.
Die Gesellschaft wird den Antragsteller spätestens einen Monat vor Anwendung der angepassten Anforderungen über die Anpassung informieren.
11.3.
Kann der Antragsteller nach einer Anpassung der Anforderungen nach dieser Ziffer 11 die angepassten Anforderungen gemäß Anhang I und II nur mit unverhältnismäßig hohen Aufwand erfüllen, ist er berechtigt, den Zertifizierungsvertrag mit einer Frist von einem Monat ab Information des Antragstellers über die angepassten Anforderungen zu kündigen.
12. Laufzeit und Kündigung
12.1.
Die Zertifizierung hat eine Laufzeit von 24 Monaten. Wird der Zertifizierungsvertrag nicht gekündigt, beginnt mit Ablauf einer Laufzeit eine neue Laufzeit von 24 Monaten. Der Antragsteller und die Gesellschaft können kürzere Laufzeiten vereinbaren.
12.2.
Der Zertifizierungsvertrag kann mit einer Frist von drei Monaten zum Ende einer jeden Laufzeit gekündigt werden.
12.3.
Das Recht zur außerordentlichen Kündigung aus wichtigem Grund und zur Kündigung nach Ziffer 11.3 dieser Zertifizierungsordnung bleibt unberührt.
12.4.
Wird die Zertifizierung abgelehnt, endet der Zertifizierungsertrag, ohne dass es einer Künigung bedarf.
13. Verschiedenes
13.1.
Alle unter diesem Vertrag abgegebenen Erklärungen bedürfen der Textform. Änderungen und Ergänzungen dieses Vertrags bedürfen ebenfalls der Textform.
13.2.
Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder in Zusammenhang mit diesem Vertrag einschließlich der Wirksamkeit des Vertrages ist der Sitz der Gesellschaft, soweit gesetzlich zulässig.
13.3.
Sollten Bestimmungen des Vertrags zwischen der Gesellschaft und dem Antragsteller oder eine künftige Ergänzung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder ihre Rechtswirksamkeit oder Durchführbarkeit später verlieren, so soll hierdurch die Gültigkeit der übrigen Bestimmungen des Vertrags nicht berührt werden. Das Gleiche gilt, soweit sich herausstellen sollte, dass der Vertrag eine Regelungslücke enthält. Anstelle der unwirksamen oder undurchführbaren Bestimmungen oder zur Ausfüllung der Lücke soll eine angemessene Regelung gelten, die, soweit rechtlich möglich, dem am nächsten kommt, was die Parteien gewollt haben oder nach dem Sinn und Zweck des Vertrags gewollt hätten, sofern sie bei Abschluss dieses Vertrags oder bei der späteren Aufnahme der Bestimmung den Punkt bedacht hätten.
Anhang I: Anforderungen der Zertifizierung „transparenter Datenschutz“ an Websites
Die nachfolgenden Anforderungen haben Websites zu erfüllen, um für transparenten Datenschutz zertifiziert zu werden. Die Anforderungen berücksichtigen gesetzliche Vorgaben der Datenschutzgrundverordnung (DSGVO) und des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG).
1. Datenschutzerklärung
1.1.
Die Datenschutzerklärung muss vorhanden sein.
1.2.
Die Datenschutzerklärung muss auf allen Unterseiten abrufbar sein.
1.3.
Die Datenschutzerklärung muss einen allgemeinen Hinweis zur Datenverarbeitung enthalten.
1.4.
Die Datenschutzerklärung muss einen allgemeinen Hinweis zur Dauer der Datenspeicherung enthalten.
1.5.
Die Datenschutzerklärung muss den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters enthalten.
1.6.
Die Datenschutzerklärung muss über die Rechte der Betroffenen aufklären. Hierzu zählen, das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Einschränkung und das Recht auf Datenübertragbarkeit.
1.7.
Die Datenschutzerklärung muss einen Hinweis auf das Widerspruchsrecht nach Maßgabe des Art. 21 DSGVO enthalten.
1.8.
Sofern personenbezogene Daten über eine gesonderte Einwilligung erhoben werden, muss ein Hinweis zum Widerruf der Einwilligung in der Datenschutzerklärung enthalten sein.
1.9.
Die Datenschutzerklärung muss über das Beschwerderecht bei einer Aufsichtsbehörde aufklären.
1.10.
Es muss über die Verarbeitung und Speicherung von Server-Log-Files inklusive Angabe zur Speicherdauer aufgeklärt werden.
1.11.
Bei einer Datenübermittlung in Drittländer müssen Website-Besucher:innen darüber aufgeklärt werden.
1.12.
Sofern die entsprechenden Instrumente eingesetzt werden, müssen ferner die nachfolgenden Anforderungen erfüllt werden:
1.12.1.
Sofern Cookies eingesetzt werden, muss die Datenschutzerklärung einen Hinweis hierauf enthalten.
1.12.2.
Alle Tools zur Websitesanalyse müssen inklusive Rechtsgrundlage genannt werden, sofern diese personenbezogenen Daten auf der Website verarbeiten.
1.12.3.
Externe Dienste und Plugins müssen inklusive Rechtsgrundlage benannt werden, sofern diese personenbezogenen Daten auf der Website verarbeiten.
2. Datenschutzerklärung in Apps
2.1.
Sofern eine App im Store von Apple (iOS Store) oder Google (Play Store) betrieben wird, ist darüber in einer Datenschutzerklärung zu informieren.
2.2.
Die Hinweise zum Datenschutz müssen über den jeweiligen App Store leicht erreichbar sein.
3. Consent Management Cookies
3.1.
Sofern einwilligungsbedürftige Cookies oder vergleichbare Technologien genutzt werden, sind diese über geeignetes Consent Management System zu steuern, welches Website-Besucher vorab angezeigt wird.
3.2.
Alle Cookies und vergleichbaren Technologien sind zu benennen.
3.3.
Sofern Einwilligungen für Cookies eingeholt werden, muss der Prozess klar und transparent sein.
4. Impressum
4.1.
Das Impressum muss vorhanden sein.
4.2.
Das Impressum muss auf allen Unterseiten abrufbar sein.
4.3.
Das Impressum muss den Namen des Antragstellers enthalten.
4.4.
Das Impressum muss die Adresse des Antragstellers enthalten.
4.5.
Das Impressum muss die E-Mail-Adresse des Antragstellers enthalten.
4.6.
Das Impressum muss die Telefonnummer des Antragstellers enthalten.
4.7.
Sofern der Antragsteller eine juristische Person ist, muss das Impressum folgende Angaben enthalten:
4.7.1.
Das Impressum muss die Rechtsform enthalten.
4.7.2.
Das Impressum muss den Vertretungsberechtigten enthalten.
4.7.3.
Sofern Angaben über das Kapital der Gesellschaft gemacht werden, muss das Impressum das Grund- oder Stammkapital sowie, wenn nicht alle in Geld zu leistenden Einlagen erbracht sind, den Gesamtbetrag der ausstehenden Anlagen enthalten.
4.7.4.
Ist der Antragsteller eine AG, KGaA oder GmbH, die sich in der Abwicklung oder Liquidation befindet, muss das Impressum einen Hinweis hierzu enthalten.
4.8.
Sofern entsprechende Merkmale gegeben sind, müssen auch insoweit die Anforderungen wie nachfolgend beschrieben erfüllt werden.
4.8.1.
Sofern eine Eintragung im Handelsregister, Vereinsregister, Partnerschaftsregister oder Genossenschaftsregister besteht, muss das Impressum die Registernummer und das Registergericht enthalten.
4.8.2.
Sofern die Leistungen des Antragstellers der Umsatzsteuer unterliegen, muss das Impressum die Umsatzsteuer-ID oder Wirtschafts-ID enthalten.
4.8.3.
Sofern die Tätigkeit des Antragstellers der behördlichen Zulassungbedarf, muss das Impressum diese zuständige Aufsichtsbehörde enthalten.
4.8.4.
Sofern die Website im Rahmen einer reglementierten beruflichen Tätigkeit dies Antragstellers betrieben wird, muss das Impressum
4.8.4.1.
die Kammer, welcher der Antragsteller angehört,
4.8.4.2.
die gesetzliche Berufsbezeichnung und den Staat, in dem sie verliehen wurde,
4.8.4.3.
die Bezeichnung der berufsrechtlichen Regelungen und den Weg, auf dem diese zugänglich sind, enthalten.
4.8.5.
Sofern der Antragsteller journalistisch-redaktionelle Inhalte anbietet, muss das Impressum den Namen und die Anschrift des Verantwortlichen für journalistische Inhalte enthalten.
5. Sicherheit
Sofern über die Website personenbezogenen Daten außerhalb der technischen Erforderlichkeit (Erhebung der IP-Adresse zur Darstellung der Website) erhoben werden, muss die Verbindung zur Website entsprechend dem Stand der Technik (z.B. Verschlüsselung über https) abgesichert sein.
6. Newsletter
6.1.
Sofern sich Nutzer gesondert über die Website zu einem Newsletter anmelden können, muss eine Bestellung nach dem „Double-Opt-In-Verfahren“ (Bestätigung der E-Mail-Adresse) vorgesehen sein.
6.2.
Sofern ein Newsletter über die Website bestellt werden kann, muss in der Datenschutzerklärung ein Hinweis zur Datenspeicherung inklusive der Möglichkeit des Widerrufs enthalten sein.
6.3.
Sofern der Newsletter ein personalisiertes Tracking enthält, muss darüber in der Datenschutzerklärung aufgeklärt werden.
7. Datensparsamkeit
7.1.
Im Rahmen einer Registrierung werden nur die erforderlichen personenbezogenen Daten erhoben.
7.2.
Sofern die Website eine Bestellung von Leistungen vorsieht, dürfen die abgefragten Daten des Bestellers nicht über ein angemessenes Maß hinausgehen.
Anhang II: Vorgaben zum Verfahren bei Prüfungen durch die Gesellschaft
Die Gesellschaft oder von ihr beauftragte Dritte werden bei Prüfungen entsprechend der nachfolgenden Vorgaben verfahren.
1. Allgemeines Vorgehen
Die Prüfung von Websites auf die Anforderungen erfolgt grundsätzlich durch eine Sichtprüfung. Die Prüfung erfolgt auf Grundlage der von außen erkennbaren Umstände.
2. Tests
In den folgenden Fällen wird die Gesellschaft Tests in Form von Probeläufen durchführen, um die Erfüllung der Anforderungen gemäß Anhang I zu prüfen:
2.1
Überprüfung der Zahlungsabwicklung über eine https-Verbindung
2.2
Überprüfung des Double-Opt-In-Verfahrens bei der Newsletter-Bestellung
2.3
Überprüfung auf automatische Newsletter-Anmeldung bei Registrierung
2.4
Überprüfung des Maßes der abgefragten Daten bei der Bestellung von Leistungen
3. Analysetools
Zur Überprüfung, ob auf einer Website Cookies, Analyse-Software oder Social Plugins verwendet werden, wird die Gesellschaft aktuelle, marktübliche Websitesanalysesoftware einsetzen.