internet privacy standards
Kurzgutachten

www.swb-gruppe.de

Zertifikatsnummer DSC.433.03.2017

1. Allgemeines zur Zertifizierung nach ips

Die swb AG hat das Web-Angebot unter www.swb-gruppe.de  erneut nach den internet privacy standards (ips) zertifizieren, d.h. prüfen lassen. Damit hat sich der Anbieter höchsten Anforderungen unterworfen, die zum einen die Einhaltung datenschutz- und verbraucherschutzrechtlicher Vorschriften sicherstellen als auch die Sicherheitsvorkehrungen nach dem aktuellen Stand der Technik beinhalten. Der ips-Kriterienkatalog ist abrufbar unter www.datenschutz-cert.de.

Die internet privacy standards werden als bundesweit gültiges Gütesiegel für Webportale von der Initiative D21 der Bundesregierung empfohlen und sind mit zahlreichen Datenschutzbeauftragten der Länder und des Bundes abgestimmt. Eine Zertifizierung nach ips entspricht einem hohen Prüfungsmaßstab. Sie sehen also: Bei dem zertifizierten Anbieter sind Sie datenschutzrechtlich "gut aufgehoben".

2. Anbieter und URL des zertifizierten Webportals

swb AG
Theodor-Heuss-Allee 20
28215 Bremen
www.swb-gruppe.de  

Die Zertifizierungsnummer für www.swb-gruppe.de lautet: DSC.433.03.2017.

3. Umfang der Zertifizierung nach ips

Das Webangebot wurde im März 2017 nach erfolgreicher Auditierung erneut re-zertifiziert auf der Grundlage des ips-Kriterienkatalogs in der Version 2.9. Die Begutachtung nach ips umfasst nicht nur die Überprüfung der für jeden Nutzer sichtbaren Bereiche wie Datenschutzerklärung, Cookies u.ä. anhand der einschlägigen gesetzlichen Vorgaben (Telemediengesetz, Bundesdatenschutzgesetz), sondern durchleuchtet auch das Datenschutzmanagement. So können Sie als Nutzer sicher sein, dass Technik und Mitarbeiter des zertifizierten Anbieters Datenschutz und Datensicherheit wirklich ernst nehmen - und damit Ihr Persönlichkeitsrecht schützen.Über das Portal werden in unterschiedlicher Intensität personenbezogene Daten erfasst. So sind im Rahmen des Informations-Angebots Transparenz und Datensparsamkeit zu beachten. Im Rahmen des Moduls der Individual-Dienstleistung sind insbesondere die Bereiche der Registrierungsvorgänge, Anmeldungen und Abmeldungen relevant. Auch Online-Bestellungen können über das Portal abgewickelt werden, so dass datenschutz- und verbraucherschutzrechtliche Vorgaben zu beachten sind. Auch das Datenschutzmanagement des Anbieters ist geprüft worden.In Abgrenzung dazu sind einige Bereiche nicht von der Prüfung und damit nicht von der Zertifizierung umfasst: Über die Bereiche „Webmail“, „swb Cloud“ und swb Telekommunikation gelangt man per Klick zu gesonderten Login-Bereichen für Maildienste, Cloud-Anwendungen und Telekommunikation (https://login-tk.swb.gruppe.de). Diese nach dem Login zur Verfügung stehenden Funktionen, insbesondere das Mailing und Hosting, sind kein Bestandteil dieser Prüfung.Im Bereich „TV online“ gelangt der Anwender auf ein neues Webportal unter tvonline.swb-gruppe.de/login, welches sich in einem neuen Browserfenster öffnet. Das hier nach Anmeldung angebotene Programm unter einer neuen Domain-Adresse ist nicht mehr Bestandteil dieses Audits.Auch der auf der Startseite verlinke „Shop“, der per Klick zu den Webseiten shop.swb-gruppe.de weiterleitet in einem neuen Browserfenster, ist nicht mehr von der Prüfung umfasst. Dieser wird nicht von der swb AG, sondern von der Firma Grünspar betrieben. Auch andere Webseiten des Anbieters außerhalb der Domain swb-gruppe.de sind nicht von dieser Prüfung erfasst.Ebenfalls nicht von der Auditierung umfasst sind die Social Media-Portale, auf denen die swb AG weitere Informationen bereithält sowie die Nutzung von (Tele-)-Kommunikationsmitteln außerhalb des Webportals. Gegenüber der letzten Auditierung und Zertifizierung sind die Bereiche „Online Berater“, „Call Back“ und die Weiterempfehlung der Webseite per E-Mail inzwischen abgeschaltet; sie unterliegen daher nicht mehr diesem Audit.Auf einigen Webseiten sind pdf-Formulare abrufbar, mit denen weitere Dienstleistungen oder Informationen genutzt werden können, indem die Formulare vom Nutzer ausge¬druckt, ausgefüllt und per Post an die swb geschickt werden. Da für die jeweilige Leistung insofern ein Medienbruch online/offline notwendig ist, unterliegen diese Formulare nicht der ips-Auditierung.Nicht von der Auditierung und Zertifizierung umfasst sind auch sonstige Datenverarbeitungsvorgänge des Anbieters außerhalb des Frontends des Portals. Dies gilt zudem für die Datenverarbeitungs-vorgänge per App für Smartphones und Tablets, für ausgelieferte Hardwareprodukte sowie für alle Dienstleistungen, die außerhalb des Webportals erbracht werden.

Aufgrund der unterschiedlichen Schutzbedürftigkeit wurde folgende Gewichtung für beide Webportale zugrunde gelegt:

  • Informations-Angebot: 10%
  • Individuelle Dienstleistung: 15%
  • Verbraucherschutz: 25%
  • Datenschutzmanagement: 50%

4. Zusammenfassung der Prüfergebnisse

Das Angebot zeichnet sich durch folgende Rahmenbedingungen besonders aus:

  • vorbildliche Transparenz der Datenverarbeitung für den Nutzer
  • Verwendung hoher Sicherheitsstandards bei der Übermittlung personenbezogener Daten

Der Anbieter setzt in allen Bereichen die gesetzlichen Anforderungen um. Die getroffenen technisch-organisatorischen Sicherheitsmaßnahmen gewähren die Sicherheit der Daten nach dem aktuellen Stand der Technik, z.B. durch Verwendung aktueller ssl-Standards. Der Benutzer wird verständlich über die verschiedenen Funktionen sowie über Datenerhebung und -nutzung aufgeklärt; er erhält in seinem Nutzaccount jederzeit einen Überblick über vertragsrelevante Daten und die Datenverarbeitung. 

Der Anbieter setzt in den geprüften Onlinebereichen die Anforderungen des Kriterienkatalogs ips um und erhält daher das Online-Gütesiegel.     

Auditorin
Dr. Irene Karper LL.M.Eur.
datenschutz cert GmbH
Konsul-Smidt-Str. 88a
28217 Bremen
Tel.: 0421 – 69663254
Fax.: 0421 – 69663251
ikarper@remove-this.datenschutz-cert.de
www.datenschutz-cert.de

Zertifizierungsstelle
datenschutz cert GmbH
Ralf von Rahden
Konsul-Smidt-Str. 88a
28217 Bremen
Tel.: 0421 – 69663253
Fax.: 0421 – 69663251
rrahden@remove-this.datenschutz-cert.de
www.datenschutz-cert.de