Zertifizierung

Zweistufiger Ansatz für nachweisbaren Datenschutz.

Das Forschungsprojekt directions hat eine Datenschutzzertifizierung als praxisnahe Lösung für den Bildungsmarkt zum Ziel. Als Vorstufe ist die Abgabe einer Selbstverpflichtungserklärung möglich. Beides wird vom Kompetenznetzwerk Trusted Cloud verwaltet.

Ab sofort

Selbstverpflichtungs­erklärung

  • Signalisiert datenschutzfreundliches Verhalten für digitale Tools im Bildungswesen

  • Basiert auf Self-Assessment

  • Trotz umfassender Kriterien kein rechtssicherer Nachweis über DSGVO-Konformität

Ab 2027

Datenschutzzertifizierung

  • Transparenz durch deutschlandweit einheitliche, schulspezifische Prüfkriterien

  • Zertifizierungsprozess mit fortlaufender Prüfung durch akkreditierte Stelle

  • Rechtssicherer Nachweis über DSGVO- Konformität

Was ist die eduSeal Zertifizierung?

eduSeal ist die Datenschutzzertifizierung für schulische Informationssysteme nach Art. 42 DSGVO. Im Rahmen der Zertifizierung prüft eine unabhängige Zertifizierungsstelle, ob ein schulisches Informationssystem die Anforderungen des Kriterienkatalogs erfüllt. Anbieter erhalten damit einen Nachweis für ihre DSGVO-Konformität und Schulen, Schulträger, Eltern sowie Schülerinnen und Schüler ein verlässliches Siegel, auf das sie vertrauen können.

Was gehört zur Zertifizierung?

Für die Zertifizierung steht eine Reihe von Dokumenten zur Verfügung. Kern ist der Kriterienkatalog. Er legt verbindlich fest, welche Anforderungen ein schulisches Informationssystem erfüllen muss, um zertifiziert zu werden. Er liegt in zwei Versionen vor: eine für System-Anbieter in der Rolle des Auftragsverarbeiters und eine für System-Anbieter in der Rolle des Verantwortlichen.

Ergänzend dazu stehen folgende Begleitdokumente zur Verfügung, die den Zertifizierungsprozess unterstützen:

  • Erläuterungen und Umsetzungshinweise: Erklären die einzelnen Kriterien des Katalogs und geben konkrete Hinweise zu ihrer Umsetzung, etwa durch Verweise auf den BSI-Grundschutz und das Standard-Datenschutzmodell.
  • Risikobewertungskonzept: Unterstützt Anbieter bei der systematischen Bewertung datenschutzrelevanter Risiken im Rahmen der Zertifizierungsvorbereitung.
  • Zertifizierungsgegenstand: Beschreibt, was genau Gegenstand der Zertifizierung ist und wie dieser durch den Anbieter abgegrenzt und dokumentiert werden muss.
  • Erläuterungen zum Zertifizierungsverfahren für System-Anbieter: Erklären Schritt für Schritt, wie der Zertifizierungsprozess abläuft und welche Vorbereitungen Anbieter treffen müssen.

Alle Dokumente stehen kostenlos zum Download bereit.

Wie ist der Prozess für die Zertifizierung?

01

Antrag

Der Anbieter reicht den Zertifizierungsantrag bei einer akkreditierten Zertifizierungsstelle ein. Nach Prüfung des Antrags wird eine Zertifizierungsvereinbarung mit der Zertifizierungsstelle abgeschlossen.

02

Evaluierung

Die Zertifizierungsstelle prüft das System anhand des Kriterienkatalogs. Das Ergebnis ist ein Evaluierungsbericht.

03

Bewertung

Die Entscheider der Zertifizierungsstelle beurteilen auf Basis des Evaluierungsberichts, ob das System die Zertifizierungskriterien vollständig erfüllt.

04

Entscheidung

Auf Grundlage der Bewertung entscheidet die Zertifizierungsstelle über die Erteilung des Zertifikats. Die Zertifizierung ist ab Erteilung drei Jahre gültig.

05

Bestätigung

Bei positiver Entscheidung erhält der Anbieter das Recht zur Nutzung des eduSeal- Zertifikats.

06

Überwachung

Nach der Zertifizierung finden regelmäßige Zwischenprüfungen statt.

Aktueller Stand

Die Zertifizierung durchläuft aktuell den Genehmigungsprozess und ist voraussichtlich ab 2027 verfügbar.