Kontakt

Zertifizierung – warum genau?

Horst Wenning

Veröffentlicht am 14.09.2020 von Horst Wenning

Zertifizerung
Die geänderten gesetzlichen Anforderungen im Bereich das Datenschutzes und der Informationssicherheit haben uns nicht zuletzt eine Fülle neuer Normen und Regelungen beschert. Dieser Artikel soll eine Übersicht über die relevanten Normen und Zertifizierungen schaffen.

In vielen Bereichen stellen heute schon Zertifizierungen den Nachweis der erfolgreichen Umsetzung von gesetzlichen oder regulatorischen Anforderungen dar. So weisen z.B. Krankenhäuser die erfolgreiche Einführung eines Qualitätsmanagementsystems durch eine Zertifizierung nach ISO 9001 oder KTQ nach, andere Unternehmen wiederum weisen ihre Maßnahmen für die Informationssicherheit mittels einer Zertifizierung nach ISO 27001 oder IT-Grundschutz nach.

Wonach viele Unternehmen zur Zeit Ausschau halten, ist ein Zertifikat für die Umsetzung der DSGVO, um für Kunden und Interessenten einen anerkannten Nachweis zum Datenschutz zu erhalten.

Besondere Relevanz im Zusammenhang mit der DSGVO

Die DSGVO schenkt dem Thema Zertifizierung besondere Beachtung und behandelt konkret die Zertifizierung im Verordnungstext: Artikel 42 (Zertifizierung) und Artikel 43 (Zertifizierungsstellen) legen die Basis für einer Datenschutz-Zertifizierung. Diese Bedeutung einer künftigen Datenschutz-Zertifizierung wird verdeutlicht, wenn man feststellt, wo überall in der DSGVO das Stichwort Datenschutz-Zertifikate eine Erwähnung findet:

  • Zur Auftragsverarbeitung im Artikel 28 DSGVO: Geeignete Datenschutz-Zertifikate können als Faktor herangezogen werden, um hinreichende Garantien nachzuweisen, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
  • Bei der Datenübermittlung in Drittstaaten im Artikel 46 DSGVO: Datenschutz-Zertifikate gehören zu den möglichen Garantien für ein angemessenes Datenschutz-Niveau, wenn es um die Rechtsgrundlage für die Datenübermittlung in einen Drittstaat geht.
  • Die generellen Bedingungen für die Verhängung von Bußgeldern im Artikel 83 DSGVO: Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall auch gebührend berücksichtigt: Einhaltung von genehmigten Zertifizierungsverfahren nach Artikel 42 DSGVO.

Mit anerkannten Datenschutz-Zertifikaten ließen sich somit die notwendigen Nachweise bei der Auftragsverarbeitung bzw. der Datenübermittlung in Drittstaaten erbringen. Bei der Ahndung einer Datenschutzverletzung könnten damit mögliche Bußgelder in der Höhe „positiv beeinflusst“ werden, also Bußgelder niedriger ausfallen oder sogar vollständig entfallen.

Welche Zertifizierung?

ISO/IEC 27701:2019-08 „Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“

Die Internationale Organisation für Normung (ISO) hat mit der ISO 27701 eine Norm zum Nachweis der Einhaltung datenschutzrechtlicher Vorschriften auf der Basis der ISO 27001 als Norm der Informationssicherheit veröffentlicht.  

Die namentliche Nähe der beiden Normen ist nicht zufällig, da mit der ISO 27701 die ISO 27001 nun lediglich um Datenschutzaspekte erweitert wird. Zu einer erfolgreichen Zertifizierung nach ISO 27701 gehört damit die Umsetzung eines vollständigen ISMS mit der Wahl des relevanten Geltungsbereiches.

In der ISO 27701 sind die Änderungen zuerst sprachlicher Natur. Statt von „Informationssicherheit“ ist nun die Rede von „Informationssicherheit und Datenschutz“. Des Weiteren enthält die Norm natürlich auch inhaltliche Erweiterungen. So wird bei der Betrachtung des Kontextes der Organisation ausdrücklich die Berücksichtigung der relevanten Datenschutzgesetze sowie fortlaufende Betrachtung gerichtlicher Entscheidungen verlangt. Im Rahmen der Risikobeurteilung sind Aspekte der Verarbeitung von personenbezogenen Daten herausgehoben.

ISO/IEC 27552 „Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“, stellte die Entwurfsfassung der ISO 27701 dar, die seinerzeit als Entwurf diskutiert wurde. Dieser Entwurf mündete in der ISO 27701.

ISO 27701 – das Datenschutzzertifikat?

Leider nein! Im Artikel 42 DSGVO wird die Einführung von DSGVO-Zertifizierungen vorgesehen. Diese sollen dazu dienen den Nachweis zu führen, dass bei den Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern die relevanten Anforderungen der DSGVO eingehalten werden. Im Artikel 43 der DSGVO werden die Anforderungen an eine mögliche Zertifizierungsstelle, die einzuhalten sind, beschrieben. Und hier liegt dann auch der Hund begraben: der Artikel 43 DSGVO fordert die Akkreditierung von Zertifizierungsstellen entsprechend der ISO 17065, die auf die Zertifizierung von Produkten und Prozessen ausgerichtet ist.  Bei der ISO 27701 handelt es sich wie oben gesagt um eine Erweiterung der ISO 27001. Damit stehen hier die Anforderungen an Managementsysteme im Mittelpunkt, deren Zertifizierung sich nach ISO 17021 richtet.

Zunächst ist die ISO/IEC 27001 nach wie vor die einzige zertifizierbare Norm der ISO 27000er Reihe ist. Weiter würde ein ISO 27701-Zertifikat nicht den aktuellen Anforderungen der DSGVO entsprechen. Dabei stellt dies eher ein formales Problem dar, da Managementsysteme im Kern auch prozessorientiert aufgebaut sind.

Das bedeutet eine Zertifizierung der Konformität zur ISO 27701 könnte zurzeit höchstens indirekt erreicht werden. Denkbar wäre hier beispielsweise die Nennung der ISO 27701 im Geltungsbereich des ISO 27001-Zertifikats nach entsprechender Überprüfung.

Somit ermöglicht auch die neue ISO 27701 nach aktuellem Stand noch keine „DSGVO-Zertifizierung“ gemäß Art. 42 DSGVO, aber sie bietet bereits heute die Möglichkeit, den Nachweis des DSGVO-konformen Umgangs mit personenbezogenen Daten zu führen. Durch die inhaltliche Verbindung zur ISO 27001 bedeutet die Einführung der ISO 27701 im Unternehmen keinen nennenswerten Mehraufwand. So kann bei der Umsetzung auf die vorhandenen Richtlinien, Prozessen und Dokumentationen zurückgegriffen werden, die bereits im Unternehmen vorhanden sind, denn bei näherer Betrachtung zeigt sich außerdem, dass die ISO 27701 die Inhalte der DSGVO neu aufgreift und umstrukturiert. Sofern Unternehmen bereits die ISO 27001 umgesetzt haben und DSGVO-konform arbeiten, sollten die grundlegenden Anforderungen und viele der relevanten Maßnahmen der bereits umgesetzt sein.

Fazit

Mit der ISO 27701 wurden noch nicht alle Probleme auf einen Schlag gelöst, denn der Nachweis der Einhaltung des Datenschutzes gegenüber den Aufsichtsbehörden durch Vorlegen eines Zertifikats ist leider immer noch nicht möglich. Dennoch liefert die ISO 27701 einen wichtigen Beitrag hin zu einem effektiveren Datenschutz und interessierten Parteien einen Anhalt für Anstrengungen eines Verantwortlichen oder Auftragsverarbeiter zur Umsetzung der Anforderungen der DSGVO.

Schon heute kann die Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001, mit einem Scope der alle Bereiche umfasst, die personenbezogene Daten verarbeiten, die Basis für ein wirkungsvolles Datenschutzmanagementsystem (DMS) bieten. Umgekehrt stellen die in einem ISMS definierten Maßnahmen die technisch-organisatorischen Maßnahmen eines DMS dar.

Es bleibt also spannend, ob die ISO 27701 eines Tages genauso relevant sein wird, wie andere Normen, denn nach entsprechenden gesetzlichen Änderungen oder Ergänzungen der Normen wäre grundsätzlich ein DSGVO-Zertifikat auf der Basis der ISO 27701 vorstellbar.