- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hinweise & Tipps

Datenschutz-Zertifizierung nach ISO/IEC 27552


Vor der DSGVO war es allgemein anerkannt, dass bereits mit einer Überprüfung eines ISO/IEC 27001-Zertifikates des Auftragnehmers der Auftraggeber seiner Sorgfaltspflicht weitgehend nachgekommen ist
Bei Cloud-Providern gehört ein ISO/IEC 27001 Zertifikat daher seit Langem zum guten Ton

- Anzeigen -





Von Dr. Stefan Krempl, ISO/IEC 27001 Lead-Auditor im Auftrag des TÜV Rheinland u. Deutsche Auditoren

Die DSGVO sieht vor, dass geeignete Zertifizierungen herangezogen werden können mit denen Auftragsverarbeiter die Sicherheit der Verarbeitung nachweisen können. Eine Zertifizierung macht es einem Auftraggeber damit einfacher den Auftrag zu erteilen. Auch hat ggf. eine Zertifizierung nach Art. 83 DSGVO Einfluss auf die Höhe eines möglichen Bußgeldes nach Zwischenfällen. Leider gibt bis heute aber noch keine Zertifizierung, die den Vorgaben des Gesetzes entspricht. Die ISO/IEC 27552 ist dafür aber ein aussichtsreicher Kandidat.

Nutzen einer Datenschutz-Zertifizierung
Eine Datenschutz-Zertifizierung, die den Vorgaben des DSGVO entspricht, hätte einige Vorteile für Unternehmen. Will z.B. ein Cloud-Dienstleister personenbezogene Daten seiner Kunden verarbeiten, so muss der Auftraggeber die Sicherheit der Verarbeitung bei dem Dienstleister sorgfältig prüfen. In der Praxis geschieht dies durch aufgrund wenig aussagekräftiger Sicherheitskonzepte bzw. Technisch- Organisatorische Maßnahmen. Beider Parteien bewegen sich dort nach meiner Meinung oft auf sehr dünnem Eis, wenn es zu einem Zwischenfall kommen sollte. Sollte es zu einem Zwischenfall kommen, könnte kritisch geprüft werden, ob die Sicherheit der Verarbeitung ausreichend geprüft wurde. Eine Zertifizierung könnte ein geeigneter Nachweis sein, und hätte obendrein den Nebeneffekt, dass es sich nach Art. 83 Abs. 2 j) DSGVO günstig auf die Höhe eines möglichen Bußgelds auswirken würde. Gleichzeitig weisen Geschäftsführer im Rahmen einer Zertifizierung nach, dass sie eine geeignetes Kontrollsystem aufgebaut haben und reduzieren damit ihre Haftung im Falle eine Falles.

Zertifizierungs-Standards
In Art. 42 und 43 DSGVO sind die Randbedingungen für eine solche Zertifizierung beschrieben. Leider gibt es bis heute keine von den Aufsichtsbehörden genehmigte Zertifizierung. Vor der DSGVO war es allgemein anerkannt, dass bereits mit einer Überprüfung eines ISO/IEC 27001 Zertifikates des Auftragnehmers der Auftraggeber seiner Sorgfaltspflicht weitgehend nachgekommen ist. Bei Cloud-Providern gehört ein ISO/IEC 27001 Zertifikat daher seit Langem zum guten Ton. Die ISO/IEC ISO 27522, die augenblicklich im Entwurf vorliegt, könnte eine geeignete Zertifizierung sein diesen Zweck in Zukunft zu erfüllen.

ISO/IEC 27552
Die Norm ISO/IEC 27552 ist Bestandteil der ISO 27000 Familie. Im Englischen Titel heißt sie "Extensions to ISO/IEC 27001 and ISO/IEC 27002 for privacy management - requirements and guidelines". Sie enthält damit gegenüber der ISO/IEC 27001 neue Anforderungen, und formuliert Empfehlungen zur Umsetzung der ISO 27002, beides unter den Gesichtspunkten des Datenschutzes. Für eine Zertifizierung wären die Anforderungen zusätzlich zu denen der ISO/IEC 27001 heranzuziehen.

Datenschutz-Zertifizierung nach ISO/IEC 27552
Zu den neuen Anforderungen zählen Ergänzungen zu den Hauptkapiteln der Norm. So werden die Anforderungen an das Risikomanagement so ergänzt, dass auch die Datenschutz-Folgenabschätzung enthalten ist. Hinsichtlich der Erklärung zur Anwendbarkeit wird auch gefordert, dass die in der ISO/IEC 27552 in den Anhängen A und B gegebenen neuen Controls analog zu denen des Anhangs A der ISO/IEC 27001 zu berücksichtigen sind. Darüber hinaus enthält die ISO/IEC 27552 in zusätzliche Maßnahmen und Ziele (49 controls & 6 objectives) welche die der ISO 27001 ergänzen. Diese enthalten, Aufgeteilt nach Anforderungen an Verarbeiter (processor) und an Auftraggeber bzw. verantwortliche Stellen (controller). Dort sind z.B. Verträge zur Verarbeitung im Auftrag angesprochen, Informationspflichten gegenüber Betroffenen, "Privacy by design and default" oder die Offenlegung von Unterauftragnehmern. Ergänzt werden diese neuen Anforderungen durch Empfehlungen zur Umsetzung von bestehenden Controls. Dabei werden z.B. Empfehlungen zum Vorgehen bei Zwischenfällen angesprochen. Zuletzt enthält die Norm in den Anhängen Tabellen, die eine Referenz der einzelnen Normabschnitte mit der DSGVO sowie anderen ISO Normen herstellen.

Zusammenfassung
In der ISO/IEC DIS 27559 sind nach einer ersten Einschätzung zahlreiche Aspekte der Verarbeitung personenbezogener Daten abgedeckt. Die Norm wiederholt dabei nicht alle Einzelheiten des Gesetzes, spricht aber systematisch alle Aspekte der Umsetzung an. Ein Blick in den Gesetzestext wird sich also bei einer Implementierung eines DSGVO-konformen Datenschutzmanagements nicht vermeiden lassen. Einzelne Passagen erscheinen noch verbesserungsfähig und Teile der Referenztabellen wirken nicht in allen Belangen vollkommen schlüssig. Hinsichtlich der Sicherheit der Verarbeitung bietet diese Norm, zusammen mit der ISO/IEC 27001, aber eine umfassende Grundlage für eine Zertifizierung im Sinne des Art. 43 DSGVO. Besonders Firmen aus Branchen in denen ISO/IEC 27001 Zertifizierungen flächendeckend umgesetzt sind, wie bei Automobilzulieferern, Energienetzbetreibern oder Cloud-Dienstleistern, bietet dieses Vorgehen die Chance mit vernünftigem Aufwand ein aussagekräftiges Datenschutzzertifikat zu erhalten. Es bleibt nur noch zu Hoffen, dass die Aufsichtsbehörden dies ähnlich sehen und die Zertifizierung entsprechend anerkennen. (TÜV Rheinland: ra)

eingetragen: 09.03.19
Newsletterlauf: 09.04.19

TÜV Rheinland: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Vier Fragen zum Thema Auftragsverarbeitung

    Jeder, der sich in den vergangenen Monaten mit der Datenschutz-Grundverordnung, kurz DSGVO, beschäftigt hat, stieß dabei unwiderruflich auf den Begriff Auftragsverarbeitung. Die Regeln zur Auftragsverarbeitung finden sich in den Artikeln 28 und 29 der DSGVO. Doch nur die wenigsten wissen auch, was sich wirklich dahinter verbirgt. Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG., beantwortet die vier wichtigsten Fragen zum Thema Auftragsverarbeitung und erklärt, warum diese für fast alle Unternehmen ein "Muss" darstellt.

  • Überprüfung der eigenen Datenverarbeitung

    Als die Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 eingeführt wurde, reagierten viele Unternehmer mit Angst und Panik vor Datenschutz-Bußgeldern und Abmahnwellen. Dieses Schreckensszenario ist nicht eingetreten: Bußgelder für Datenschutzverstöße werden in Deutschland und in Europa mit Augenmaß verhängt, die prophezeite Abmahnwelle ist bisher ausgeblieben. Dennoch: Vorsorge ist besser als Nachsorge. Wer sich gut in Sachen Datenschutz aufstellt, hat nichts zu befürchten. Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, zieht ein Resümee des letzten Jahres: "Datenschutz ist in den Unternehmen angekommen. Kundinnen und Kunden sind sensibilisiert und wollen sichergehen, dass ihre personenbezogenen Daten fair verarbeitet werden. Auch haben viele Unternehmer gemerkt, wie wichtig es ist, die eigene Datenverarbeitung gegen die Angriffe wie Hacking oder Erpressungstrojaner abzusichern."

  • Datenschutzfalle Bewerbermanagement

    Unternehmen erhalten ständig Bewerbungen - sei es auf ausgeschriebene Stellen oder initiativ. Doch seit dem Inkrafttreten der Datenschutz-Grundverordnung, kurz DSGVO, gelten im Umgang mit Lebensläufen, Anschreiben und Zeugnissen neue Regeln. Um einen datenschutzkonformen Umgang mit diesen Informationen sicherzustellen, empfiehlt es sich, das Bewerberdatenmanagement detailliert zu überprüfen und die Mitarbeiter in den Personalabteilungen regelmäßig zu schulen. "Der ordnungsgemäße Umgang mit Bewerberdaten kann eine Herausforderung darstellen, wenn Mitarbeiter nicht wissen, wo Fallstricke lauern. Doch nach Implementierung entsprechender Prozesse ist das Datenmanagement in der Regel kaum mit Mehraufwand verbunden. Außerdem wünscht sich jeder im Falle einer Bewerbung auch einen angemessenen Umgang mit den eigenen Unterlagen", so Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG.

  • SD-WAN als Schlüssel zur PCI-DSS-Compliance

    Stationäre Händler und Betreiber von Online-Shops, die ihren Kunden die Zahlung per Kreditkarte anbieten möchten, müssen sich mit den oft aufwendigen Regularien der PCI DSS auseinandersetzen. Auch Tankstellenbetreiber, die in der Regel eine sehr hohe Quote an Kartenzahlungen verzeichnen, stehen vor dieser Herausforderung. Bei den "Payment Card Industry Data Security Standards" handelt es sich um ein sehr umfassendes Regelwerk mit vielen Hürden und potenziellen Fallstricken, dessen korrekte Umsetzung in vielen Fällen mit hohen Kosten verbunden ist. Der SD-WAN- und Internetspezialist becom Systemhaus GmbH & CO. KG rät Händlern, Shop- und Tankstellenbetreibern dazu, im Zuge von Maßnahmen zur PCI-DSS-Compliance auch die eigene Netzwerk-Infrastruktur im Blick zu behalten und gegebenenfalls zu überarbeiten. Denn die Auswahl der passenden und vor allem entsprechend zertifizierten Technologien kann die Einhaltung der hohen Sicherheitsanforderungen deutlich erleichtern. Dabei rückt in der Zielgruppe derzeit vor allem die Einführung von softwarebasiertem Networking bzw. SD-WAN in den Fokus.

  • 23 Millionen Bürger machen Steuererklärung im Netz

    Tippen und Klicken statt Lochen und Heften: Immer mehr Bundesbürger schwören dem Papierkrieg ab und reichen ihre Steuerklärung einfach online beim Finanzamt ein. 23,1 Millionen Steuerzahler erklärten ihre Einkommenssteuer für das Steuerjahr 2017 elektronisch über den Online-Dienst ELSTER. Das ist ein Anstieg um 5 Prozent im Vergleich zum Vorjahr mit 22 Millionen Online-Steuererklärungen. Das berichtet der Digitalverband Bitkom auf Basis von Daten der Finanzverwaltung. "Die Online-Steuererklärung macht weniger Aufwand, spart Zeit und schont die Nerven. Das scheint immer mehr Steuerzahler zu überzeugen", sagt Bitkom-Steuerexperte Thomas Kriesel. "Das ELSTER-Projekt zeigt, wie Verwaltungsdienstleistungen erfolgreich digitalisiert werden können. Allerdings wird das komplexe deutsche Steuerrecht dadurch auch nicht einfacher."