Infrastructure, Software, People, Facility

Gut für die Datensicherheit ist auch gut für den Datenschutz

Wo liegen die Synergien zwischen der Einhaltung der DSGVO und einer ISO 27001-Zertifizierung?

Liest man die Datenschutzgrundverordnung (DSGVO) sehr genau, so fallen ganz bestimmte Begriffe immer wieder auf: gewährleisten, sicherstellen, vergewissern, geeignete Maßnahmen, Nachweis oder Verfahren. Aber was heißt das konkret? Reichen punktuelle Maßnah­men aus, die vielleicht nur einmalig und ohne struktu­rierte Erfolgskontrolle gesetzt werden? Oder bedarf es eines konkreten Ablaufs oder gar eines eigenen Unternehmensprozesses? Wenn man von Abläufen, Prozessen und deren Kontrollen spricht, kommt man an dem Thema „Managementsysteme“ nicht vorbei. Der Grund: Die Einhaltung des Datenschutzes ist auch ein Compliance-Thema und bei diesem ist es durchaus üblich, ein Managementsystem zu betreiben.

Strafen: Zertifizierung berücksichtigt

Die DSGVO schlägt vor, die Konformität durch ein Zertifikat bestätigen zu lassen. So kann nachgewie­sen werden, dass alle erforderlichen Pflichten erfüllt wurden. Außerdem kann – wenn ein etwaiger Verstoß vorliegen sollte – die Zertifizierung bei der Verhängung von Geldbußen und der Festsetzung von deren Höhe berücksichtigt werden. Welches Zertifikat damit gemeint ist, führt die DSGVO aber nicht an. Es wird lediglich auf die lokalen Aufsichtsbehörden in den Mitgliedstaaten verwiesen. Darüber hinaus bieten die Zer­tifizierung und das damit einhergehende Managementsystem einen weiteren Vorteil: Die Aufsichtsbehörde kann besser beurteilen, ob der Verantwortliche alle Anforderungen der DSGVO erfüllt.

Prüfung auslagern bringt Vorteile

Ebenfalls interessant ist das Verhältnis zwischen der/ dem Verantwortlichen und dem Auftragsverarbeiter: Die/der Verantwortliche ist verpflichtet, sich davon zu überzeugen, dass der Auftragsverarbeiter Garantien dafür bietet, dass geeignete technische und organisato­rische Maßnahmen durchgeführt werden. Die Verarbei­tung muss dabei der Verordnung entsprechen und der Schutz der Betroffenenrechte muss immer gewährleistet sein. Es muss vertraglich genau geregelt werden, welche Daten mit welchen Eigenschaften dem Auftragsverar­beiter überlassen werden. Darüber hinaus muss die/ der Verantwortliche die Vertrauenswürdigkeit des Auftragsverarbeiters prüfen. Diese Prüfung kann sie/er entweder selbst durchführen oder damit Dritte betrauen. Die Vorteile einer Auslagerung der Prüfung sind – trotz höherer Kosten – eine Auditierung durch eine/n Sachver­ständige/n und die Bestätigung der DSGVO-Konformität.

Auf Managementsystemen aufbauen

Ein Managementsystem im Datenschutz bietet somit der/dem Verantwortlichen Vorteile im Umgang mit den wesentlichen Stakeholdern. Das können betroffene Per­sonen, Auftragsverarbeiter oder die Aufsichtsbehörde sein. Nachteil ist, neben Personal- und Kapitaleinsatz, dass es noch kein entsprechendes Zertifizierungsver­fahren gibt. Es muss eine Zwischenlösung her, denn die Zertifikatsfrage wird erst am 25. 5. 2018 gelöst sein. Dann ist es für Verantwortliche und Auftragsverarbeiter aber schon zu spät, sich erstmals mit diesem Thema zu befassen. Es ist daher empfehlenswert, auf bestehen­den Managementsystemen aufzubauen. Das könnte beispielsweise ISO 9001 aus dem Bereich Qualitätsmanagement, ISO 27001 aus der Informationstechnik oder ISO 27018 für die Cloud Security sein.

Sicherheit von Daten regeln

Wird die DSGVO etwas losgelöst betrachtet, stechen viele Erfordernisse als technische und organisatorische Maßnahmen hervor. Das zeigt, dass es eine hohe Abde­ckung durch ISO 27001 gibt, bei der für die Sicherheit von Daten sehr viel technisch und organisatorisch gere­gelt wird. Und wenn es gut für die Sicherheit von Daten ist, dann erst recht für den Schutz von Daten! Schwierig ist jedoch die Frage, welche Anforderungen aus der DSGVO durch ISO 27001 abgedeckt sind. Um diese zu beantworten, müssen zunächst die Anforderungen aus der DSGVO erfasst werden, am besten in Form von Con­trols, wie sie etwa in der ISO 27002 für Informationssicherheitsverfahren umgesetzt sind. Bei den Artikeln ist zu erarbeiten, wie die Anforderungen zu erfassen und wie zu kontrollieren sind. Bei der Dokumentation von Schutzverletzungen könnte das so aussehen:

Art 33 Abs 5 DSGVO: Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließ­lich aller im Zusammenhang mit der Verletzung …

Anforderung: Verletzung ist nachweislich zu dokumentieren.

Control: Dokumentation Datenvorfall

Liste der Zugriffsberechtigungen auf Verarbeitungstätigkeit

Berücksichtigung Anforderungen Strafverfolgungsbehörden

Je nach Grad der Abstrahierung können in den 99 Artikeln der DSGVO zwischen 200 und 400 solcher Anforderungen identifiziert werden. Im nächsten Schritt sind diese Anforderungen – analog zur ISO 27001 – in Sicherheitsrichtlinien zu gießen. Anfor­derungen der DSGVO, die nicht unter der ISO 27001 subsumierbar sind, sind als Datenschutzrichtlinien zu erfassen. Diese stehen nicht in Konkurrenz zu den Sicherheitsrichtlinien, sondern ergänzen sie. Die Summe der Anforderungen, Sicherheitsrichtlinien und Datenschutzrichtlinien kann in einer Matrix dargestellt werden, um so eine Gegenüberstellung der bereits getroffenen Maßnahmen zu erhalten und eine syste­matische Abarbeitung der offenen Anforderungen zu ermöglichen. Im Ergebnis liegt ein Mapping der DSG­VO-Anforderungen auf interne Managementsysteme vor. Zudem ist das ein geeigneter Nachweis gegen­über der Aufsichtsbehörde, sodass zumindestens kein organisatorisches Versagen mehr vorwerfbar ist.