DSGVO – ISO 27701 Die Norm zum Nachweis der Einhaltung datenschutzrechtlicher Vorschriften veröffentlicht

Nach Art. 42 DSGVO besteht eine Möglichkeit zur Zertfizierung. Die Internationale Organisation für Normung (ISO) hat nun mit der Veröffentlichung der ISO 27701 den Nachweis zur Einhaltung der datenschutzrechtlichen Vorschriften offiziell genormt. Nachfolgend werden die wichtigsten Kernaspekte, Probleme und Zukunftsaussichten der neuen ISO-Norm behandelt.

 

Die neue Norm als Add-On

Dem aufmerksamen Leser ist vielleicht aufgefallen, dass die neue ISO-Norm einer anderen sehr ähnlich ist: Tatsächlich unterscheidet sich die ältere ISO 27001 auch schon im Namen nur anhand einer Ziffer von der neuen Norm und auch inhaltlich liegen sie nah beieinander. Die bisherige ISO 27001 vereinheitlicht Anforderungen an ein Informationssicherheits-Management-System ISMS und macht entsprechende Zertifizierungen möglich. Die neue ISO-Vorschrift erweitert nun lediglich noch um Datenschutzaspekte. Passend dazu lautet ihr vollständiger Name auch

„ISO/IEC 27701:2019-08 „Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden““

Bisher als Entwurf ISO 27552 bekannt, baut die neue Norm vollständig auf die alte ISO-Norm auf und konsequenterweise gelten die meisten der alten Anforderungen auch für die neue Richtlinie.

 

Änderungen und Neues – was gibt es da so?

Zunächst sind vor allem sprachliche Änderungen zu beobachten. War vorher von „Informationssicherheit“ die Rede, wird nun der Ausdruck „Informationssicherheit und Datenschutz“ gebraucht. Doch auch inhaltliche Neuerungen gibt es: Zum Beispiel bei der Einordnung der Organisation wird neuerdings die Betrachtung relevanter Datenschutzgesetze und auch entsprechender Gerichtsurteile verlangt. Auch die Risikobeurteilung soll unter Einbezug von Aspekten der Verarbeitung personenbezogener Daten erfolgen.

Außerdem neu enthalten sind Ergänzungen zur ISO 27002, welche den Leitfaden zur Umsetzung der Maßnahmen aus Anhang A der Normung 27001 darstellt.

Folgende Aspekte werden genannt:

  • Ergänzung der Leit- und Richtlinien um Aspekte des Datenschutzes
  • Benennen eines „Privacy Information Management System“-Verantwortlichen
  • Schulung der Mitarbeiter im Bereich des Datenschutzes
  • durchgehende Protokollierung von Zugriffen und Veränderungen
  • Verschlüsselung insbesondere besonderes Kategorien personenbezogener Daten (Beispiel: vertrauliche Gesundheitsdaten)
  • zwingende Beachtung des „Privacy by Design“-Leitsatzes
  • Prüfung von bekannten Sicherheitszwischenfällen auf datenschutzrechtliche Verletzungen

Die aufgeführten Beispiele scheinen bekannt und das nicht ohne Grund: Im Anhang findet sich eine ausführliche Tabelle, die die Maßnahmen den entsprechenden Anforderungen der Datenschutzgrundverordnung zuordnet, was deutlich macht, welchen enormen Einfluss die DSGVO auf die neue ISO als international gültigen Standard für Datenschutz hatte.

 

Zusammen zum gemeinsamen Ziel (ISO27001 & ISO27701)

Die enge Verbundenheit beider ISO-Normen zeigt erneut auf, wie stark Informationssicherheit und Datenschutz miteinander verschränkt sind. Es liegt auf der Hand, dass oft das eine kaum ohne das andere realisiert werden kann und beides oft Hand in Hand geht, schließlich teilen beide Zielsetzungen die Grundsätze der Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Also ist das enge Zusammenwirken der neuen und der alten ISO-Norm bei näherer Betrachtung kaum verwunderlich.

 

DSGVO Informationspflicht – Was ist enthalten

Laut einer Pressemitteilung des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD):

Auflage einer neuen Broschüre: Sie steht kostenfrei als PDF zur Verfügung.

https://datenschutzbeauftragter-dsgvo.com/dsgvo-informationspflicht-was-ist-enthalten/

 

DSGVO-Zertifikat – ist es nun also umgesetzt?

In Artikel 42 der Datenschutzgrundverordnung ist explizit die Einführung eines Datenschutzzertifikats vorgeschrieben:

„Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.“

 

Welche Voraussetzungen dabei für eine Zertifizierungsstelle gelten sollen, ist in Artikel 43 näher ausgeführt. Hier liegt jedoch der Hase im Pfeffer:

Bei der neuen ISO-Vorschrift gelten die Anforderungen an Managementsysteme, welche in ISO 17021 genannt werden. Die Datenschutzgrundverordnung aber fordert eine Normung der Zertifizierungsstelle gemäß ISO 17065, welche grundsätzlich auf eine Zertifizierung von Produkten und Prozessen ausgelegt ist.

Insofern entspricht die neue Norm also noch nicht den strengen Anforderungen der DSGVO. Das ist jedoch vorwiegend als formales Problem zu betrachten, da Managementsysteme im Grunde genommen prozessorientiert aufgebaut sind und somit auch der ISO 17065 entsprechen könnten. Ein DSGVO-Zertifikat auf Basis der neuen ISO ist also noch nicht auszuschließen und für die Zukunft durchaus denkbar.

Erschwerend hinzu kommt aber, dass in der ISO 27000er Reihe die ISO/IEC 27001 die einzige zertifizierbare Norm darstellt und somit die Auszeichnung der Entsprechung der Inhalte der ISO-Norm 27701 nicht direkt erreicht werden kann. Als Workaround wäre hier die Nennung ebendieser ISO im Geltungsbereich des 27001-Zertifikats denkbar, wenn dies nach entsprechender Überprüfung möglich erscheint.

 

Ein Schritt näher am Zertifikat

Auch wenn die neue ISO-Norm also nach der Vorgaben der Datenschutzverordnung noch nicht als DSGVO-Zertifizierung nach Artikel 42 DSGVO gesehen werden kann, so eröffnet sie trotzdem die Chance, den DSGVO-konformen Umgang mit und die datenschutzrechtlich unbedenkliche Verarbeitung von Daten nachzuweisen.

Aufgrund der inhaltlichen Nähe zur bereits vorhandenen Norm kann bei der neuen Norm 27001 häufig auf schon vorhandene Strukturen zurückgegriffen werden und bedeutet somit keinen nennenswerten Mehraufwand für betroffene Unternehmen. Für bereits DSGVO-konform arbeitende Stellen schon gleich nicht: Schnell fällt bei der detaillierten Betrachtung der neuen Regelungen auf, dass hier lediglich zu großen Teilen die Regelungen der Datenschutzverordnung aufgegriffen und zu konkreten Maßnahmen verarbeitet wurden, es ist also davon auszugehen, dass große Teile der Anforderungen und Maßnahmen eh bereits umgesetzt wurden.

Eher schlecht hingegen sieht es zumindest momentan bei der Zukunftsaussicht gegenüber Aufsichtsbehörden aus: Als DSGVO-konforme Zertifizierung der strikten Einhaltung der datenschutzrechtlichen Regelungen ist die neue ISO-Norm leider noch nicht zu sehen. Nichtsdestotrotz bleibt es durchaus denkbar und sogar wahrscheinlich, dass die ISO-Norm 27001 einen großen Teil zum Datenschutz beitragen wird und eine pragmatische und effektive Umsetzung ebendessen fördern und sicherstellen wird. Bleibt nun abzuwarten, wie die Bedeutung der neuen ISO sich entwickelt und ob sie eines Tages ebenso unverzichtbar und essentiell wie andere Normen sein wird.

 

Weitere Beiträge:

DSGVO was gilt für die Verwendung von COOKIES

https://datenschutzbeauftragter-dsgvo.com/dsgvo-was-gilt-fuer-die-verwendung-von-cookies/

 

DSGVO Transparenzgrundsatz – Was ist enthalten

https://datenschutzbeauftragter-dsgvo.com/dsgvo-transparenzgrundsatz-was-ist-enthalten/