- Anzeigen -

Sie sind hier: Home » Markt » Hinweise & Tipps

Datenschutz-Zertifizierung nach ISO/IEC 27552


Vor der DSGVO war es allgemein anerkannt, dass bereits mit einer Überprüfung eines ISO/IEC 27001-Zertifikates des Auftragnehmers der Auftraggeber seiner Sorgfaltspflicht weitgehend nachgekommen ist
Bei Cloud-Providern gehört ein ISO/IEC 27001 Zertifikat daher seit Langem zum guten Ton

- Anzeigen -





Von Dr. Stefan Krempl, ISO/IEC 27001 Lead-Auditor im Auftrag des TÜV Rheinland u. Deutsche Auditoren

Die DSGVO sieht vor, dass geeignete Zertifizierungen herangezogen werden können mit denen Auftragsverarbeiter die Sicherheit der Verarbeitung nachweisen können. Eine Zertifizierung macht es einem Auftraggeber damit einfacher den Auftrag zu erteilen. Auch hat ggf. eine Zertifizierung nach Art. 83 DSGVO Einfluss auf die Höhe eines möglichen Bußgeldes nach Zwischenfällen. Leider gibt bis heute aber noch keine Zertifizierung, die den Vorgaben des Gesetzes entspricht. Die ISO/IEC 27552 ist dafür aber ein aussichtsreicher Kandidat.

Nutzen einer Datenschutz-Zertifizierung
Eine Datenschutz-Zertifizierung, die den Vorgaben des DSGVO entspricht, hätte einige Vorteile für Unternehmen. Will z.B. ein Cloud-Dienstleister personenbezogene Daten seiner Kunden verarbeiten, so muss der Auftraggeber die Sicherheit der Verarbeitung bei dem Dienstleister sorgfältig prüfen. In der Praxis geschieht dies durch aufgrund wenig aussagekräftiger Sicherheitskonzepte bzw. Technisch- Organisatorische Maßnahmen. Beider Parteien bewegen sich dort nach meiner Meinung oft auf sehr dünnem Eis, wenn es zu einem Zwischenfall kommen sollte. Sollte es zu einem Zwischenfall kommen, könnte kritisch geprüft werden, ob die Sicherheit der Verarbeitung ausreichend geprüft wurde. Eine Zertifizierung könnte ein geeigneter Nachweis sein, und hätte obendrein den Nebeneffekt, dass es sich nach Art. 83 Abs. 2 j) DSGVO günstig auf die Höhe eines möglichen Bußgelds auswirken würde. Gleichzeitig weisen Geschäftsführer im Rahmen einer Zertifizierung nach, dass sie eine geeignetes Kontrollsystem aufgebaut haben und reduzieren damit ihre Haftung im Falle eine Falles.

Zertifizierungs-Standards
In Art. 42 und 43 DSGVO sind die Randbedingungen für eine solche Zertifizierung beschrieben. Leider gibt es bis heute keine von den Aufsichtsbehörden genehmigte Zertifizierung. Vor der DSGVO war es allgemein anerkannt, dass bereits mit einer Überprüfung eines ISO/IEC 27001 Zertifikates des Auftragnehmers der Auftraggeber seiner Sorgfaltspflicht weitgehend nachgekommen ist. Bei Cloud-Providern gehört ein ISO/IEC 27001 Zertifikat daher seit Langem zum guten Ton. Die ISO/IEC ISO 27522, die augenblicklich im Entwurf vorliegt, könnte eine geeignete Zertifizierung sein diesen Zweck in Zukunft zu erfüllen.

ISO/IEC 27552
Die Norm ISO/IEC 27552 ist Bestandteil der ISO 27000 Familie. Im Englischen Titel heißt sie "Extensions to ISO/IEC 27001 and ISO/IEC 27002 for privacy management - requirements and guidelines". Sie enthält damit gegenüber der ISO/IEC 27001 neue Anforderungen, und formuliert Empfehlungen zur Umsetzung der ISO 27002, beides unter den Gesichtspunkten des Datenschutzes. Für eine Zertifizierung wären die Anforderungen zusätzlich zu denen der ISO/IEC 27001 heranzuziehen.

Datenschutz-Zertifizierung nach ISO/IEC 27552
Zu den neuen Anforderungen zählen Ergänzungen zu den Hauptkapiteln der Norm. So werden die Anforderungen an das Risikomanagement so ergänzt, dass auch die Datenschutz-Folgenabschätzung enthalten ist. Hinsichtlich der Erklärung zur Anwendbarkeit wird auch gefordert, dass die in der ISO/IEC 27552 in den Anhängen A und B gegebenen neuen Controls analog zu denen des Anhangs A der ISO/IEC 27001 zu berücksichtigen sind. Darüber hinaus enthält die ISO/IEC 27552 in zusätzliche Maßnahmen und Ziele (49 controls & 6 objectives) welche die der ISO 27001 ergänzen. Diese enthalten, Aufgeteilt nach Anforderungen an Verarbeiter (processor) und an Auftraggeber bzw. verantwortliche Stellen (controller). Dort sind z.B. Verträge zur Verarbeitung im Auftrag angesprochen, Informationspflichten gegenüber Betroffenen, "Privacy by design and default" oder die Offenlegung von Unterauftragnehmern. Ergänzt werden diese neuen Anforderungen durch Empfehlungen zur Umsetzung von bestehenden Controls. Dabei werden z.B. Empfehlungen zum Vorgehen bei Zwischenfällen angesprochen. Zuletzt enthält die Norm in den Anhängen Tabellen, die eine Referenz der einzelnen Normabschnitte mit der DSGVO sowie anderen ISO Normen herstellen.

Zusammenfassung
In der ISO/IEC DIS 27559 sind nach einer ersten Einschätzung zahlreiche Aspekte der Verarbeitung personenbezogener Daten abgedeckt. Die Norm wiederholt dabei nicht alle Einzelheiten des Gesetzes, spricht aber systematisch alle Aspekte der Umsetzung an. Ein Blick in den Gesetzestext wird sich also bei einer Implementierung eines DSGVO-konformen Datenschutzmanagements nicht vermeiden lassen. Einzelne Passagen erscheinen noch verbesserungsfähig und Teile der Referenztabellen wirken nicht in allen Belangen vollkommen schlüssig. Hinsichtlich der Sicherheit der Verarbeitung bietet diese Norm, zusammen mit der ISO/IEC 27001, aber eine umfassende Grundlage für eine Zertifizierung im Sinne des Art. 43 DSGVO. Besonders Firmen aus Branchen in denen ISO/IEC 27001 Zertifizierungen flächendeckend umgesetzt sind, wie bei Automobilzulieferern, Energienetzbetreibern oder Cloud-Dienstleistern, bietet dieses Vorgehen die Chance mit vernünftigem Aufwand ein aussagekräftiges Datenschutzzertifikat zu erhalten. Es bleibt nur noch zu Hoffen, dass die Aufsichtsbehörden dies ähnlich sehen und die Zertifizierung entsprechend anerkennen. (TÜV Rheinland: ra)

eingetragen: 09.03.19
Newsletterlauf: 09.04.19

TÜV Rheinland: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Für welche Unternehmen gilt die XRechnungspflicht?

    Zulieferer öffentlicher Behörden auf Bundesebene sowie in Bremen müssen ihre Rechnungen ab 27. November 2020 elektronisch ausstellen: PDF-Dokumente ohne strukturierte Zusatzinformationen gelten dann nicht mehr als elektronische Rechnung. Unternehmen, welche diese Verpflichtung unmittelbar betrifft, haben bereits vorgesorgt oder rüsten jetzt ihr Unternehmen rechtssicher - mit der XRechnung. Um die Kriterien zu erfüllen müssen E-Rechnungen zwingend als strukturierter Datensatz ausgetauscht und ausgelesen werden können. Dazu wird hierzulande das Format XRechnung als Standard etabliert - die XRechnung ist ein XML-basiertes semantisches Datenmodell, mit dem Deutschland die Vorgaben des Europäischen Komitees für Normung (CEN) für die in einer elektronischen Rechnung enthaltenen Daten realisiert. Von Seiten des Bundes wurden bereits mit Stichtag 18. April die Weichen für die Umstellung auf die digitale Rechnung gestellt.

  • Die E-Rechnung in Wirtschaft und Verwaltung

    Die öffentliche Verwaltung treibt den Abschied vom Papier voran: Ab dem 27. November 2020 wird die elektronische Rechnungsstellung und -übermittlung für alle Unternehmer, die im Auftrag des Bundes tätig werden, Pflicht. Länder und Kommunen müssen bereits seit April elektronische Rechnungen annehmen. Für viele Unternehmen ist diese Umstellung eine Herausforderung, immerhin erstellt derzeit noch ein Drittel Rechnungen überwiegend oder sogar ausschließlich in Papierform (33 Prozent). Der Digitalverband Bitkom hat jetzt eine neue Version des Faktenpapiers "10 Merksätze für elektronische Rechnungen" veröffentlicht, das kleinen, mittleren und großen Betrieben bei der Umstellung auf die E-Rechnung hilft. Denn diese muss in einem bestimmten strukturierten Format erstellt werden und eine automatische Verarbeitung ermöglichen - es handelt sich also nicht um eine elektronisch versendete Rechnung, die etwa als PDF an eine Mail angehängt wird.

  • Einrichtung eines Überwachungssystems

    Die Frage, wie das Überwachungssystem eines Unternehmens und das Zusammenspiel der einzelnen Unternehmensfunktionen ausgestaltet werden, lässt der Gesetzgeber weitestgehend unbeantwortet. Interne Revision und Risikomanagement sind wichtige Funktionen der Unternehmensführung und insbesondere des Überwachungssystems. Die Frage des Zusammenwirkens dieser beiden wichtigen Unternehmensfunktionen ist nun Thema einer neuen Stellungnahme von DIIR - Deutsches Institut für Interne Revision e.V. und RMA Risk Management & Rating Association e.V.

  • Auswirkungen der Corona-Krise

    Die Stundung von Sozialversicherungs- und Berufsgenossenschaftsbeiträgen gehört zum Maßnahmenkatalog der Bundesregierung, um die wirtschaftlichen Folgen der Corona-Krise abzumildern. Diese Option wird insbesondere von Zeitarbeitsfirmen vermehrt genutzt, so das IZS Institut für Zahlungssicherheit, Risiko-Informationsdienstleister für die deutsche Zeitarbeitsbranche. Für Zeitarbeitskräfte leihende Unternehmen erhöht sich damit das Risiko der Subsidiärhaftung deutlich, warnt das IZS. Diese greift, wenn Personaldienstleister fällige Beiträge zur Sozialversicherung (SV) und zur Berufsgenossenschaft (BG) nicht bezahlen können. Verschärft wird die Situation der Branche durch die reale Rezessionsgefahr, so dass perspektivische Umsätze ebenfalls bedroht sind.

  • Compliance braucht mehr als ein gutes Leitbild

    Kein wirtschaftlicher Akteur kommt mehr am Thema Compliance vorbei. Denn die "Einhaltung geltender Regeln", mit der der Begriff Compliance oft übersetzt wird, wird von Jahr zu Jahr komplexer: Durchschnittlich 11.000 Regeln und Dokumentationspflichten müssen Unternehmen hierzulande im Blick haben. "Das Compliance-Management muss fünf Funktionen erfüllen können, um den Betrieb vor Regelverstößen zu schützen - und diese möglichst schon vorbeugend auszuschließen", weiß Björn Grabe, Chief Service Delivery Officer (CSDO) von Optimal Systems, Spezialist für Enterprise Content Management (ECM)-Lösungen.