- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hinweise & Tipps

Datenschutz mit Zertifikat


Zweck einer Datenschutz-Zertifizierung
Einfacher Vertragsschluss zur Verarbeitung im Auftrag

- Anzeigen -





Von Dr. Stefan Krempl, ISO/IEC 27001 Lead-Auditor im Auftrag des TÜV Rheinland u. Deutsche Auditoren eG

Zertifizierungen erleichtern das Geschäftsleben. Man weist gegenüber Geschäftspartnern nach, dass man einen hohen Standard einhält. Sollte trotzdem mal etwas schief gehen kann der Geschäftsführer belegen, dass er alles Erforderliche getan hat. Die EU-Datenschutzgrundverordnung sieht die Möglichkeit einer Zertifizierung ausdrücklich vor, aber wie und wo kann man ein solches Zertifikat erhalten?

So gut wie jede Firma lässt personenbezogene Daten durch Externe verarbeiten. Sie müssen daher Vereinbarungen zur Verarbeitung im Auftrag nach Art. 28 DSGVO mit ihren Auftragnehmern abschließen. Für den Vertragstext werden zumeist allgemein verfügbare Vorlagen genommen. Die Formulierung der Technisch-Organisatorischen-Maßnahmen (TOM) ist dagegen regelmäßig ein Problem. Selbst von großen Firmen bekomme ich als Datenschutzbeauftragter immer wieder TOM die oberflächlich und ohne jede Aussagekraft sind. Praktisch unmöglich, als Auftraggeber anhand dieser Unterlagen der Pflicht nachzukommen, zu prüfen ob der Auftragnehmer geeignete Garantien zur Einhaltung der Datenschutzvorschriften bietet. Bei halbwegs strikter Auslegung der gesetzlichen Vorgaben müssten hier eigentlich viele Beauftragungen scheitern. Das Gesetz zeigt aber auch einen Ausweg (Art. 28 Abs. 5), da eine Zertifizierung des Auftragnehmers gemäß Art. 42 DSGVO herangezogen werden kann um die geforderten Garantien nachzuweisen.

Geringeres Bußgeld nach Zwischenfällen
Zwischenfälle passieren, das lässt sich nie ganz verhindern. Einer der wesentlichen Gründe, warum die DSGVO für so viel Wirbel gesorgt hat, liegt in der Höhe der möglichen Bußgelder. Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes, was auch immer höher ist, schreckt gleichermaßen große wie kleine Unternehmen. Wenn eine Firma eine gültige Zertifizierung besitzt und damit nachweisen kann alle erforderlichen Maßnahmen getroffen zu haben, kann sie jedoch gemäß Art. 83 DSGVO mit einem geringeren Bußgeld rechnen. Auch kann die Haftung der Geschäftsführung in diesem Fall anders ausfallen, da grobe Fahrlässigkeit oder Organisationsversagen ausgeschlossen werden kann.

Zertifizierungs-Standards
Datenschutzzertifikate findet man bei verschiedenen Datenschutz Verbänden oder Zertifizierungsunternehmen wie dem TÜV Rheinland. Jedoch erfüllt Keines die Anforderungen der DSGVO. Stand Februar 2019 ist noch keine Zertifizierungsstelle oder und kein Zertifizierungs- Standard offiziell zugelassen.

ISO 27001
Vor Einführung der DSGVO nahm die ISO/IEC 27001 Zertifizierung eine wichtigere Rolle ein. Es war allgemein anerkannt, dass bei einer Beauftragung der Auftraggeber mit einer Eine Datenschutz-Zertifizierung nach DSGVO schafft Vertrauen und reduziert Risiken Überprüfung eines solchen Zertifikates seiner Sorgfaltspflicht weitgehend nachgekommen ist. Allerdings enthält die ISO/IEC 27001 neben einem allgemeinen Vermerk zum Datenschutz keine konkreten Vorgaben zur DSGVO. Für Cloud-Dienstleister gibt es daneben schon länger die Ergänzungen ISO 27017 und ISO 27018. Neben den großen Anbietern wie Apple, Microsoft, Amazon und Google haben sich bisher wenige Cloud Provider, wie z.B. netfiles, dieser Ergänzungen angenommen.

ISO 27522
Mit der ISO/IEC 27522 befindet sich ganz aktuell eine Ergänzung zur ISO 27001 in der finalen Abstimmung, die das Thema Datenschutz allgemein aufgreift und auch ausdrückliche Referenzen auf die DSGVO enthält.

Der neue Standard ergänzt die bestehende ISO 27001 an verschiedenen Stellen, wobei jeweils genau angegeben ist, welche Teile der ISO 27001 unverändert weiter gelten und an welchen Stellen Ergänzungen angebracht werden. So wird das Thema Risikomanagement ergänzt, unter anderem um die Datenschutzfolgenabschätzung (Art. 35 DSGVO). Auch zu den Maßnahmen aus dem Anhang A der ISO 27001 bzw. der Anleitung zur Umsetzung ISO/IEC 27002 gibt es zahlreiche Ergänzungen. Dies sind zum Teil spezifische Hinweise zur Umsetzung der bestehenden Maßnahmen, aber auch ganz neue Maßnahmen. Sowohl für Auftraggeber als auch für Verarbeiter personenbezogener Daten. An verschiedenen Stellen findet man dabei den Wortlaut der DSGVO wieder. Z.B. findet sich im Kapitel 7.2.2 des Standards die Aufzählung der Grundlagen der Rechtmäßigkeit der Verarbeitung aus DSGVO Art. 6 Abs. 1 a) – f).

Auch zahlreiche andere Aspekte der DSGVO, wie Verarbeitung im Auftrag, Verzeichnis der Verarbeitungstätigkeiten und "privacy by design" finden sich in den ergänzenden Maßnahmen. Zuletzt haben sich die Ersteller der Norm noch die Mühe gemacht eine Referenztabelle zwischen der ISO 27522 und der DSGVO sowie der ISO 27017 und 27018 zu erstellen. Für die zahlreichen Unternehmen, die heute schon eine ISO 27001 Zertifizierung besitzen, kann die ISO 27522 eine sinnvolle Ergänzung sein, um die Einhaltung der Datenschutz- Grundverordnung DSGVO gegenüber Kunden, Partnern und Behörden nachzuweisen. Sie lässt sich einfach in das bestehende Schema integrieren und im Rahmen des regelmäßigen ISO 27001 Audits zertifizieren. (TÜV Rheinland: ra)

eingetragen: 09.03.19
Newsletterlauf: 08.04.19

TÜV Rheinland: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Vier Fragen zum Thema Auftragsverarbeitung

    Jeder, der sich in den vergangenen Monaten mit der Datenschutz-Grundverordnung, kurz DSGVO, beschäftigt hat, stieß dabei unwiderruflich auf den Begriff Auftragsverarbeitung. Die Regeln zur Auftragsverarbeitung finden sich in den Artikeln 28 und 29 der DSGVO. Doch nur die wenigsten wissen auch, was sich wirklich dahinter verbirgt. Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG., beantwortet die vier wichtigsten Fragen zum Thema Auftragsverarbeitung und erklärt, warum diese für fast alle Unternehmen ein "Muss" darstellt.

  • Überprüfung der eigenen Datenverarbeitung

    Als die Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 eingeführt wurde, reagierten viele Unternehmer mit Angst und Panik vor Datenschutz-Bußgeldern und Abmahnwellen. Dieses Schreckensszenario ist nicht eingetreten: Bußgelder für Datenschutzverstöße werden in Deutschland und in Europa mit Augenmaß verhängt, die prophezeite Abmahnwelle ist bisher ausgeblieben. Dennoch: Vorsorge ist besser als Nachsorge. Wer sich gut in Sachen Datenschutz aufstellt, hat nichts zu befürchten. Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, zieht ein Resümee des letzten Jahres: "Datenschutz ist in den Unternehmen angekommen. Kundinnen und Kunden sind sensibilisiert und wollen sichergehen, dass ihre personenbezogenen Daten fair verarbeitet werden. Auch haben viele Unternehmer gemerkt, wie wichtig es ist, die eigene Datenverarbeitung gegen die Angriffe wie Hacking oder Erpressungstrojaner abzusichern."

  • Datenschutzfalle Bewerbermanagement

    Unternehmen erhalten ständig Bewerbungen - sei es auf ausgeschriebene Stellen oder initiativ. Doch seit dem Inkrafttreten der Datenschutz-Grundverordnung, kurz DSGVO, gelten im Umgang mit Lebensläufen, Anschreiben und Zeugnissen neue Regeln. Um einen datenschutzkonformen Umgang mit diesen Informationen sicherzustellen, empfiehlt es sich, das Bewerberdatenmanagement detailliert zu überprüfen und die Mitarbeiter in den Personalabteilungen regelmäßig zu schulen. "Der ordnungsgemäße Umgang mit Bewerberdaten kann eine Herausforderung darstellen, wenn Mitarbeiter nicht wissen, wo Fallstricke lauern. Doch nach Implementierung entsprechender Prozesse ist das Datenmanagement in der Regel kaum mit Mehraufwand verbunden. Außerdem wünscht sich jeder im Falle einer Bewerbung auch einen angemessenen Umgang mit den eigenen Unterlagen", so Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG.

  • SD-WAN als Schlüssel zur PCI-DSS-Compliance

    Stationäre Händler und Betreiber von Online-Shops, die ihren Kunden die Zahlung per Kreditkarte anbieten möchten, müssen sich mit den oft aufwendigen Regularien der PCI DSS auseinandersetzen. Auch Tankstellenbetreiber, die in der Regel eine sehr hohe Quote an Kartenzahlungen verzeichnen, stehen vor dieser Herausforderung. Bei den "Payment Card Industry Data Security Standards" handelt es sich um ein sehr umfassendes Regelwerk mit vielen Hürden und potenziellen Fallstricken, dessen korrekte Umsetzung in vielen Fällen mit hohen Kosten verbunden ist. Der SD-WAN- und Internetspezialist becom Systemhaus GmbH & CO. KG rät Händlern, Shop- und Tankstellenbetreibern dazu, im Zuge von Maßnahmen zur PCI-DSS-Compliance auch die eigene Netzwerk-Infrastruktur im Blick zu behalten und gegebenenfalls zu überarbeiten. Denn die Auswahl der passenden und vor allem entsprechend zertifizierten Technologien kann die Einhaltung der hohen Sicherheitsanforderungen deutlich erleichtern. Dabei rückt in der Zielgruppe derzeit vor allem die Einführung von softwarebasiertem Networking bzw. SD-WAN in den Fokus.

  • 23 Millionen Bürger machen Steuererklärung im Netz

    Tippen und Klicken statt Lochen und Heften: Immer mehr Bundesbürger schwören dem Papierkrieg ab und reichen ihre Steuerklärung einfach online beim Finanzamt ein. 23,1 Millionen Steuerzahler erklärten ihre Einkommenssteuer für das Steuerjahr 2017 elektronisch über den Online-Dienst ELSTER. Das ist ein Anstieg um 5 Prozent im Vergleich zum Vorjahr mit 22 Millionen Online-Steuererklärungen. Das berichtet der Digitalverband Bitkom auf Basis von Daten der Finanzverwaltung. "Die Online-Steuererklärung macht weniger Aufwand, spart Zeit und schont die Nerven. Das scheint immer mehr Steuerzahler zu überzeugen", sagt Bitkom-Steuerexperte Thomas Kriesel. "Das ELSTER-Projekt zeigt, wie Verwaltungsdienstleistungen erfolgreich digitalisiert werden können. Allerdings wird das komplexe deutsche Steuerrecht dadurch auch nicht einfacher."