Wer trägt die Verantwortung bzw. wer muss bei Verstößen gegen die DSGVO haften?

Anbieter von digitalen Angeboten müssen ein Managementsystem für Informationssicherheit (ISMS) etablieren und sich dabei an der ISO 27001 orientieren. Dabei ist nachzuweisen, dass die Zertifizierung alle zur Leistungserbringung notwendigen Systeme und Prozesse umfasst (vgl. aktuelle Fassung Leitfaden Prävention). Sofern die genannten Systeme und Prozesse (teilweise) von Dritten betrieben bzw. erbracht werden, ist deren Zertifikat ebenfalls einzureichen. Ein Verstoß gegen diese Anforderung kann zur Aberkennung der Zertifizierung führen.

Bitte beachten Sie, dass die ISO 27001-Zertifizierung nicht delegierbar ist. Sie bezieht sich auf das ISMS der Organisation, die das Präventionsangebot verantwortet. Die Nutzung einer zertifizierten Plattform entbindet den Anbieter nicht von der Pflicht, selbst ein ISMS zu betreiben und zertifizieren zu lassen.

Digitale Angebote eignen sich besonders gut dafür, Zielgruppen zu erreichen, denen die Inanspruchnahme von Präventionsangeboten in Präsenz nur eingeschränkt möglich ist. Aus diesem Grund ist es zielführend die Inhalte Ihrer digitalen Angebote auch für diese Zielgruppen entsprechend aufzubereiten und die Inhalte auch in Leichter Sprache sowie in Deutscher Gebärdensprache zugänglich zu machen. Es besteht allerdings aktuell keine Verpflichtung dazu.

Das Zertifikat muss von einer Zertifizierungsstelle ausgestellt werden, die zum Zeitpunkt der Zertifikatserstellung bei einer nationalen, dafür befugten Stelle (z.B. die DAkkS, UKAS oder ANAB) akkreditiert ist. Der Geltungsbereich der Zertifizierung muss alle zur Leistungserbringung im Kontext von Präventionsmaßnahmen im Sinne des Leitfadens Prävention erforderlichen Systeme und Prozesse umfassen.

Das Angebot umfasst keine oder nur untergeordnet Präsenzzeiten und kann in längerem oder kürzerem Zeitumfang ausgeführt werden. Zur Anwendung kommen mobile Anwendungen (Apps) sowie Internet-Interventionen. Hauptkriterium für die Prüfung der digitalen Präventions- bzw. Gesundheitsförderungsangebote ist das Vorliegen des wissenschaftlichen Evidenznachweises.

Die wesentlichen Unterscheidungsmerkmale von digitalen Präventions- bzw. Gesundheitsförderungsangeboten gemäß Kapitel 7 zu IKT-Angeboten sind: Flexibilisierung von Umfang und Dauer des Angebotes, die Möglichkeit zur Integration eines E-Coaches und die Zertifizierungsmöglichkeit von Apps als eigenständige Intervention.

Im Gegensatz zu den festen Vorgaben von in der Regel mind. 8 bis max. 12 Einheiten von jeweils 45 bis maximal 90 Minuten Dauer und einem wöchentlichen Rhythmus für Präventionsangebote nach Kapitel 5 gibt es für digitale Präventions- bzw. Gesundheitsförderungsangebote nach Kapitel 7 des Leitfadens Prävention keine klassischen Vorgaben für Umfang und Dauer. So kann z.B. der Zeitumfang von mindestens 45 Minuten pro Einheit unterschritten werden und die Länge der Einheiten kann variieren.