- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hinweise & Tipps

Datenschutz-Zertifizierung nach ISO/IEC 27552


Vor der DSGVO war es allgemein anerkannt, dass bereits mit einer Überprüfung eines ISO/IEC 27001-Zertifikates des Auftragnehmers der Auftraggeber seiner Sorgfaltspflicht weitgehend nachgekommen ist
Bei Cloud-Providern gehört ein ISO/IEC 27001 Zertifikat daher seit Langem zum guten Ton

- Anzeigen -





Von Dr. Stefan Krempl, ISO/IEC 27001 Lead-Auditor im Auftrag des TÜV Rheinland u. Deutsche Auditoren

Die DSGVO sieht vor, dass geeignete Zertifizierungen herangezogen werden können mit denen Auftragsverarbeiter die Sicherheit der Verarbeitung nachweisen können. Eine Zertifizierung macht es einem Auftraggeber damit einfacher den Auftrag zu erteilen. Auch hat ggf. eine Zertifizierung nach Art. 83 DSGVO Einfluss auf die Höhe eines möglichen Bußgeldes nach Zwischenfällen. Leider gibt bis heute aber noch keine Zertifizierung, die den Vorgaben des Gesetzes entspricht. Die ISO/IEC 27552 ist dafür aber ein aussichtsreicher Kandidat.

Nutzen einer Datenschutz-Zertifizierung
Eine Datenschutz-Zertifizierung, die den Vorgaben des DSGVO entspricht, hätte einige Vorteile für Unternehmen. Will z.B. ein Cloud-Dienstleister personenbezogene Daten seiner Kunden verarbeiten, so muss der Auftraggeber die Sicherheit der Verarbeitung bei dem Dienstleister sorgfältig prüfen. In der Praxis geschieht dies durch aufgrund wenig aussagekräftiger Sicherheitskonzepte bzw. Technisch- Organisatorische Maßnahmen. Beider Parteien bewegen sich dort nach meiner Meinung oft auf sehr dünnem Eis, wenn es zu einem Zwischenfall kommen sollte. Sollte es zu einem Zwischenfall kommen, könnte kritisch geprüft werden, ob die Sicherheit der Verarbeitung ausreichend geprüft wurde. Eine Zertifizierung könnte ein geeigneter Nachweis sein, und hätte obendrein den Nebeneffekt, dass es sich nach Art. 83 Abs. 2 j) DSGVO günstig auf die Höhe eines möglichen Bußgelds auswirken würde. Gleichzeitig weisen Geschäftsführer im Rahmen einer Zertifizierung nach, dass sie eine geeignetes Kontrollsystem aufgebaut haben und reduzieren damit ihre Haftung im Falle eine Falles.

Zertifizierungs-Standards
In Art. 42 und 43 DSGVO sind die Randbedingungen für eine solche Zertifizierung beschrieben. Leider gibt es bis heute keine von den Aufsichtsbehörden genehmigte Zertifizierung. Vor der DSGVO war es allgemein anerkannt, dass bereits mit einer Überprüfung eines ISO/IEC 27001 Zertifikates des Auftragnehmers der Auftraggeber seiner Sorgfaltspflicht weitgehend nachgekommen ist. Bei Cloud-Providern gehört ein ISO/IEC 27001 Zertifikat daher seit Langem zum guten Ton. Die ISO/IEC ISO 27522, die augenblicklich im Entwurf vorliegt, könnte eine geeignete Zertifizierung sein diesen Zweck in Zukunft zu erfüllen.

ISO/IEC 27552
Die Norm ISO/IEC 27552 ist Bestandteil der ISO 27000 Familie. Im Englischen Titel heißt sie "Extensions to ISO/IEC 27001 and ISO/IEC 27002 for privacy management - requirements and guidelines". Sie enthält damit gegenüber der ISO/IEC 27001 neue Anforderungen, und formuliert Empfehlungen zur Umsetzung der ISO 27002, beides unter den Gesichtspunkten des Datenschutzes. Für eine Zertifizierung wären die Anforderungen zusätzlich zu denen der ISO/IEC 27001 heranzuziehen.

Datenschutz-Zertifizierung nach ISO/IEC 27552
Zu den neuen Anforderungen zählen Ergänzungen zu den Hauptkapiteln der Norm. So werden die Anforderungen an das Risikomanagement so ergänzt, dass auch die Datenschutz-Folgenabschätzung enthalten ist. Hinsichtlich der Erklärung zur Anwendbarkeit wird auch gefordert, dass die in der ISO/IEC 27552 in den Anhängen A und B gegebenen neuen Controls analog zu denen des Anhangs A der ISO/IEC 27001 zu berücksichtigen sind. Darüber hinaus enthält die ISO/IEC 27552 in zusätzliche Maßnahmen und Ziele (49 controls & 6 objectives) welche die der ISO 27001 ergänzen. Diese enthalten, Aufgeteilt nach Anforderungen an Verarbeiter (processor) und an Auftraggeber bzw. verantwortliche Stellen (controller). Dort sind z.B. Verträge zur Verarbeitung im Auftrag angesprochen, Informationspflichten gegenüber Betroffenen, "Privacy by design and default" oder die Offenlegung von Unterauftragnehmern. Ergänzt werden diese neuen Anforderungen durch Empfehlungen zur Umsetzung von bestehenden Controls. Dabei werden z.B. Empfehlungen zum Vorgehen bei Zwischenfällen angesprochen. Zuletzt enthält die Norm in den Anhängen Tabellen, die eine Referenz der einzelnen Normabschnitte mit der DSGVO sowie anderen ISO Normen herstellen.

Zusammenfassung
In der ISO/IEC DIS 27559 sind nach einer ersten Einschätzung zahlreiche Aspekte der Verarbeitung personenbezogener Daten abgedeckt. Die Norm wiederholt dabei nicht alle Einzelheiten des Gesetzes, spricht aber systematisch alle Aspekte der Umsetzung an. Ein Blick in den Gesetzestext wird sich also bei einer Implementierung eines DSGVO-konformen Datenschutzmanagements nicht vermeiden lassen. Einzelne Passagen erscheinen noch verbesserungsfähig und Teile der Referenztabellen wirken nicht in allen Belangen vollkommen schlüssig. Hinsichtlich der Sicherheit der Verarbeitung bietet diese Norm, zusammen mit der ISO/IEC 27001, aber eine umfassende Grundlage für eine Zertifizierung im Sinne des Art. 43 DSGVO. Besonders Firmen aus Branchen in denen ISO/IEC 27001 Zertifizierungen flächendeckend umgesetzt sind, wie bei Automobilzulieferern, Energienetzbetreibern oder Cloud-Dienstleistern, bietet dieses Vorgehen die Chance mit vernünftigem Aufwand ein aussagekräftiges Datenschutzzertifikat zu erhalten. Es bleibt nur noch zu Hoffen, dass die Aufsichtsbehörden dies ähnlich sehen und die Zertifizierung entsprechend anerkennen. (TÜV Rheinland: ra)

eingetragen: 09.03.19
Newsletterlauf: 09.04.19

TÜV Rheinland: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Datenschutz als Wettbewerbsvorteil

    Seit dem 25. Mai 2018 gilt in allen Ländern der EU ein einheitliches Datenschutzrecht (Datenschutz-Grundverordnung - DSGVO). Für kleine und mittlere Unternehmen (KMU) haben sich mit der Verordnung neue Anforderungen an den Datenschutz gestellt. Um die Übersicht zu verbessern, stellt Deutschland sicher im Netz e.V. (DsiN) im Verbund mit seinen Mitgliedern und Unterstützung des Bundesdatenschutzbeauftragten den Datenschutz-Navigator.org als neues Hilfsangebot bereit. Der Onlinecheck führt durch sämtliche praxisrelevante Themen rund um Datensicherheit und zeigt, wie Betriebe Datenschutz praxisgerecht umsetzen können.

  • Elektronische Rechnungen & EU-MwSt.-Richtlinie

    Nach der Verkündung der EU-Kommission vom 18. April 2019 wissen Unternehmen nun zumindest theoretisch dass die Richtlinie für elektronische Rechnungen gültig ist. "Theoretisch", weil es sich dabei auf den ersten Blick nicht unbedingt um Neuigkeiten von großer Bedeutung handelt. Vor allem, da Unternehmen höchst wahrscheinlich schon seit einiger Zeit ein System für ihre Rechnungsstellung nutzen. Dieser Beitrag fasst zusammen was Unternehmen beachten müssen um den Richtlinien zu entsprechen und weist zusätzlich auf einige Fälle hin, bei denen Unternehmen möglicherweise schon seit geraumer Zeit die EU-MwSt.-Richtlinie missachten.

  • Praxishilfe zur EU-Verordnung elDAS

    Mit elDAS ist seit Mitte 2016 eine EU-Verordnung wirksam, auf deren Basis die elektronische Identifizierung und die Erbringung von Vertrauensdiensten innerhalb des Europäischen Wirtschaftsraums neu geregelt wurde. Sie zeigt bereits deutliche Erfolge, allerdings verbirgt sich hinter der Umsetzung für Diensteanbieter und Anwender ein fachlich komplexer Prozess. TÜV Trust IT hat deshalb hierzu eine umfangreiche Praxishilfe herausgegeben. Mit elDAS ist erstmals die digitale Kommunikation von Wirtschaft, Verwaltung und Bürgern rechtsverbindlich, grenzüberschreitend, vollständig medienbruchfrei und sicher möglich. Dass diese Verordnung tatsächlich schon zu einer deutlichen Zunahme der qualifizierten Vertrauensdienste in Europa geführt hat, lässt sich an dem durch die EU geführten Verzeichnis der qualifizierten Anbieter ablesen: EU Trusted List of Trust Service Providers (TSL). Zudem wird die Nutzung von Vertrauensdiensten nach eIDAS in immer neuen Anwendungsbereichen zur Pflicht. Dies gilt beispielsweise im Finanzwesen, wo zur Erfüllung der Anforderungen der Payment Services Directive 2 (PSD2) die Nutzung von sogenannten Qualifizierten Siegeln und Zertifikaten (QWACS) zur Absicherung der Maschinenkommunikation vorgegeben wurde.

  • Was effektive Verschlüsselungsstrategie ausmacht

    Simon Keates, Business Development Director, EMEA bei Thales eSecurity, erläutert wie man eine effektive Verschlüsselungsstrategie am besten umsetzt und wie man die dazu notwendige Kommunikation mit der Führungsebene verbessert. "Lange Jahre hat man Verschlüsselung primär aus einem Blickwinkel heraus betrachtet: dem einer Belastung für Geschäftsprozesse. Teuer, komplex und von zweifelhaftem Wert. Wie sich die Dinge doch geändert haben. Nach wenigen Jahren (und nach Hunderten von hochkarätigen Datenschutzverletzungen mit wirtschaftlichen Schäden in Billionenhöhe) lassen sich Cyberbedrohungen nicht mehr ignorieren. Das ist auch auf den Vorstandsetagen angekommen. Neben den unmittelbaren wirtschaftlichen Folgen einer Datenschutzverletzung gibt es ein breit gefächertes Arsenal an weiteren, potenziell verheerenden Auswirkungen.

  • Die Hölle sind die anderen

    Konflikte am Arbeitsplatz sind keine Seltenheit. Schließlich treffen hier täglich verschiedene Charaktere und Standpunkte aufeinander. Besonders unterschiedliche Erwartungen an die Gestaltung von Arbeit, mangelhafte Kommunikation und der Umgang mit Stress sorgen oftmals für Probleme. Dabei können schon kleine Missverständnisse eskalieren - Sticheleien, Witze hinter dem Rücken von Kollegen oder ein frustrierter Mitarbeiter, der sich im Ton vergreift. "All das erzeugt Stress und ist anstrengend. Solche Konflikte lenken nicht nur von den eigentlichen Aufgaben ab, sondern wirken sich auf lange Sicht negativ auf die Atmosphäre im gesamten Team aus", weiß Kommunikationsexperte und Konfliktmanager Robert Häckl von der Executive Mediation GmbH. Damit sich der Arbeitsplatz nicht dauerhaft in eine Kampfarena verwandelt, kann jeder Einzelne einen Beitrag zu einem harmonischen Miteinander leisten.