kvb.sandbox.minddistrict.com

DSC.915.08.2020

1. Allgemeines zum Gütesiegel nach ips

Die Minddistrict GmbH hat das Pilot-Web-Angebot unter kbv.sandbox.minddistrict.com inklusive Online-Videosprechstunde nach den internet privacy standards (ips) prüfen lassen und das Gütesiegel erhalten. Dabei dient kbv.sandbox.minddistrict.com als Pilot für die Auditierung der White-Label Portale von Minddistrict. Das Webportal zu Minddistrict wird von der Minddistrict GmbH betrieben. Das Portal dient als Musterbeispiel (Pilot) und bildet die Grundlage für weitere Whitelabel-Portale der Kunden der Minddistrict GmbH. Erfüllen diese anderen Whitelabel-Portale die für das Pilotprojekt aufgestellten Anforderungen nach ips, sind sie ebenso gütesiegelfähig. I.d.R. werden diese Whitelabel-Portale von den Kunden der Minddistrict GmbH als verantwortliche Stelle geführt, die Minddistrict GmbH betreibt die Whitelabel-Portale als Auftragsverarbeiter gemäß Art. 28 DGSVO für ihre Kunden.

Damit hat sich das Unternehmen höchsten Anforderungen unterworfen, die zum einen die Einhaltung datenschutz- und verbraucherschutzrechtlicher Vorschriften sicherstellen als auch die Sicherheitsvorkehrungen nach dem aktuellen Stand der Technik beinhalten. Der ips-Kriterienkatalog ist abrufbar unter www.datenschutz-cert.de.

Die internet privacy standards werden als bundesweit gültiges Gütesiegel für Webportale von der Initiative D21 der Bundesregierung empfohlen und sind mit zahlreichen Datenschutzbeauftragten der Länder und des Bundes abgestimmt. Ein Gütesiegel nach ips entspricht einem hohen Prüfungsmaßstab. Sie sehen also: Bei dem geprüften Anbieter sind Sie datenschutzrechtlich "gut aufgehoben".

2. Anbieter und URL der geprüften Webportale

a) Als Angebot der Minddistrict GmbH, Friedrichstraße 68, 10117 Berlin
kbv.sandbox.minddistrict.com
Dieses Gütesiegel wurde erteilt unter der Nummer
DSC.915.08.2020a

Als Whitelabel-Angebot durch Minddistrict im Auftrag betriebene Webportale für die:

b) Asklepios Psychiatrie Niedersachsen GmbH, Rosdorfer Weg 70, 37081 Göttingen
asklepios-goettingen.minddistrict.de
DSC.915.08.2020b

c) Asklepios Psychiatrie Langen GmbH, Röntgenstraße 22, 63225 Langen (Hessen)
asklepios-langen.minddistrict.de
DSC.915.08.2020c

d) Asklepios Fachklinikum Stadtroda GmbH, Bahnhofstraße 1A, 07646 Stadtroda
asklepios-stadtroda.minddistrict.de
DSC.915.08.2020d

e) Asklepios Fachklinikum Wiesen, Kirchberger Str. 2, 08134 Wildenfels
asklepios-wiesen.minddistrict.de
DSC.915.08.2020e

f) SRH RPK Karlsbad GmbH, Guttmannstraße 4, 76307 Karlsbad
srh-rpk-karlsbad.minddistrict.de
DSC.915.08.2020f

g) Berufliches Trainingszentrum Rhein-Neckar gGmbH, Lempenseite 46, 69168 Wiesloch
srh-btz-rn.minddistrict.de
DSC.915.08.2020g

h) SRH Berufsbildungswerk Dresden, Ein Geschäftsbereich der SRH Berufsbildungswerk Sachsen GmbH, Hellerhofstr. 21, 01129 Dresden
srh-bbws.minddistrict.de
DSC.915.08.2020h

i) SRH Berufsbildungswerk Neckargemünd GmbH, Im Spitzerfeld 25, 69151 Neckargemünd
srh-bbwn.minddistrict.de
DSC.915.08.2020i

j) Neuropsychologie Armgardt, Breite Straße 12b, 28757 Bremen
neuropsychologie-armgardt.minddistrict.com
DSC.915.08.2020j

3. Umfang der Auditierung nach ips

Das Pilot-Webangebot wurde im Jahre 2020 erstmals auditiert auf der Grundlage des ips-Kriterienkatalogs in der Version 3.5.

Die verschiedenen Webangebote sind dabei immer nach Vorbild des Pilot-Portals kbv.sandbox.minddistrict.com aufgebaut und wurden anhand der für das Pilotportal aufgestellten Anforderungen auditiert. Alle Webportale wurden auf der Grundlage des im Auditzeitraum gültigen ips-Kriterienkatalogs (auf der Grundlage des ips-Kriterienkatalogs in der Version 3.5) geprüft. Dabei wurde ausschließlich die Rechtmäßigkeit des Betriebs des jeweiligen Whitelabel-Portals durch die Minddistrict GmbH (im Auftrag oder der gemeinsamen Verantwortlichkeit) geprüft, welches i.d.R. als Subdomain in Webportale anderer Anbieter eingebunden ist. Damit unterliegen dem hier geprüften Scope ausschließlich die Tätigkeiten, welche im Verantwortungsbereich der Minddistrict GmbH liegen.

Die Begutachtung nach ips umfasst nicht nur die Überprüfung der für jeden Nutzer sichtbaren Bereiche wie Datenschutzerklärung, Cookies u.ä. anhand der einschlägigen gesetzlichen Vorgaben (Datenschutz-Grundverordnung, Telemediengesetz, Bundesdatenschutzgesetz), sondern durchleuchtet auch das Datenschutzmanagement. So können Sie als Nutzer sicher sein, dass Technik und Mitarbeiter des auditierten Anbieters Datenschutz und Datensicherheit wirklich ernst nehmen - und damit Ihr Persönlichkeitsrecht schützen.

Über das Portal werden in unterschiedlicher Intensität personenbezogene Daten erfasst. So sind im Rahmen des Informations-Angebots Transparenz und Datensparsamkeit zu beachten. Im Rahmen des Moduls der Individual-Dienstleistung sind insbesondere die Bereiche der Registrierungsvorgänge, Anmeldungen und Abmeldungen relevant. Das Modul Datenschutzmanagement überprüft die umgesetzten Datensicherheitsmaßnahmen in Bezug auf das Webportal und den Anbieter. Im Modul Videosprechstunde werden die speziellen Anforderungen des § 2 der Vereinbarung über die Anforderungen an die technischen Verfahren zur Videosprechstunde gemäß § 291g Absatz 4 SGB V (Anlage 31b zum Bundesmantelvertrag - Ärzte) zwischen dem GKV-Spitzenverband und der Kassenärztlichen Bundesvereinigung (KBV) geprüft.

In Abgrenzung zur Datenverarbeitung über das Webportal gehören sonstige Datenverarbeitungsprozesse außerhalb des Webportals / Front-Ends und der Online-Videosprechstunde sowie weitere Webseiten des Anbieters (z.B. www.minddistrict.com/de-de/) oder Webseiten von späteren Kunden des Anbieters (für ein Whitelabel-Portal) nicht zum Auditgegenstand. Nicht auditiert wurden insbesondere das hinter dem Portal liegende Kundendatenmanagement (CRM), verlinkte fremde Webseiten oder auf Dienstleister ausgelagerte Services (z.B. bei der Kundenverwaltung, Finanz- und Lohnbuchhaltung). Die von den Ärzten erbrachten Dienstleistungen werden nicht durch das Webportal initiiert, sondern von den Ärzten selbst. Sie sind demnach auch nicht Gegenstand einer Prüfung von ips. Ferner kein Auditgegenstand sind Apps für Tablets oder Smartphones sowie eventuelle Medizinprodukte des Anbieters.

Dieses Audit stellt keine Datenschutz-Zertifizierung oder Konformitätsbescheinigung gemäß der Datenschutzgrundverordnung (DSGVO) dar. Eine Konformitätsbescheinigung oder eine Zertifikatsvergabe gemäß DSGVO setzt eine Akkreditierung der Zertifizierungsstelle (vgl. Art. 42 DSGVO) voraus. Die datenschutz cert GmbH hat hierzu zwar einen entsprechenden Antrag auf Akkreditierung im April 2018 bei der Deutschen Akkreditierungsstelle eingereicht, dieser ist zum Zeitpunkt der Erstellung dieses Gutachtens jedoch noch nicht beschieden. Dieses Gutachten verfolgt bis zu einer solchen Akkreditierung daher vielmehr das Ziel, das bundesweit seit dem Jahr 2002 anerkannte und nachhaltige Gütesiegel ips – internet privacy standards - für das hier geprüfte Webportal zu erhalten. In jedem Fall stellt das vorliegende Gutachten die Ergebnisse einer datenschutz- und datensicherheitstechnischen Fachbegutachtung durch eine unabhängige Stelle und unabhängige Auditoren dar und unterstützt somit die Bewertungen, die gemäß Art. 5 DSGVO durch die verantwortliche Stelle nachgewiesen werden müssen.

Aufgrund der unterschiedlichen Schutzbedürftigkeit wurde folgende Gewichtung zugrunde gelegt:

  • Informations-Angebot: 15%
  • Individuelle Dienstleistung: 10%
  • Datenschutzmanagement: 50%
  • Anforderungen für Online-Videosprechstunden 25%

4. Zusammenfassung der Prüfergebnisse

Das Angebot zeichnet sich durch folgende Rahmenbedingungen besonders aus:

  • umfassende Maßnahmen zum Schutz personenbezogener Daten
  • besonders datensparsamer Umgang mit Nutzerdaten
  • verwendung hoher Sicherheitsstandards bei der Übermittlung personenbezogener Daten

Der Anbieter setzt in allen Bereichen die gesetzlichen Anforderungen um.

Die vom Anbieter getroffenen technisch-organisatorischen Sicherheitsmaßnahmen gewähren die Sicherheit der Daten nach dem aktuellen Stand der Technik, z.B. durch Verwendung aktueller TLS-Standards. Der Benutzer wird verständlich über die verschiedenen Funktionen sowie über Datenerhebung und -nutzung aufgeklärt; er erhält in seinem Nutzeraccount jederzeit einen Überblick über vertragsrelevante Daten und die Datenverarbeitung. Das Angebot ist im Hinblick auf die Erfassung von personenbeziehbaren Nutzerdaten (z.B. IP-Adresse, die anonymisiert wird), ganz im Sinne des Datensparsamkeitsgrundsatzes eingerichtet. Der Anbieter setzt in den geprüften Onlinebereichen die Anforderungen des Kriterienkatalogs ips um und erhält daher das Online-Gütesiegel.

Ansprechpartnerin

für Fragen zum ips-Gütesiegel

 

Alisha Gühr, LL.M.

Justiziarin
datenschutz cert GmbH
Konsul-Smidt-Str. 88a
28217 Bremen
Tel.: 0421 – 69 66 32-573
Fax.: 0421 – 69 66 32-51
aguehr@remove-this.datenschutz-cert.de
www.datenschutz-cert.de