Gut für die Datensicherheit ist auch gut für den Datenschutz
Wo liegen die Synergien zwischen der Einhaltung der DSGVO und einer ISO 27001-Zertifizierung?
Liest man die Datenschutzgrundverordnung (DSGVO) sehr genau, so fallen ganz bestimmte Begriffe immer wieder auf: gewährleisten, sicherstellen, vergewissern, geeignete Maßnahmen, Nachweis oder Verfahren. Aber was heißt das konkret? Reichen punktuelle Maßnahmen aus, die vielleicht nur einmalig und ohne strukturierte Erfolgskontrolle gesetzt werden? Oder bedarf es eines konkreten Ablaufs oder gar eines eigenen Unternehmensprozesses? Wenn man von Abläufen, Prozessen und deren Kontrollen spricht, kommt man an dem Thema „Managementsysteme“ nicht vorbei. Der Grund: Die Einhaltung des Datenschutzes ist auch ein Compliance-Thema und bei diesem ist es durchaus üblich, ein Managementsystem zu betreiben.
Strafen: Zertifizierung berücksichtigt
Die DSGVO schlägt vor, die Konformität durch ein Zertifikat bestätigen zu lassen. So kann nachgewiesen werden, dass alle erforderlichen Pflichten erfüllt wurden. Außerdem kann – wenn ein etwaiger Verstoß vorliegen sollte – die Zertifizierung bei der Verhängung von Geldbußen und der Festsetzung von deren Höhe berücksichtigt werden. Welches Zertifikat damit gemeint ist, führt die DSGVO aber nicht an. Es wird lediglich auf die lokalen Aufsichtsbehörden in den Mitgliedstaaten verwiesen. Darüber hinaus bieten die Zertifizierung und das damit einhergehende Managementsystem einen weiteren Vorteil: Die Aufsichtsbehörde kann besser beurteilen, ob der Verantwortliche alle Anforderungen der DSGVO erfüllt.
Prüfung auslagern bringt Vorteile
Ebenfalls interessant ist das Verhältnis zwischen der/ dem Verantwortlichen und dem Auftragsverarbeiter: Die/der Verantwortliche ist verpflichtet, sich davon zu überzeugen, dass der Auftragsverarbeiter Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden. Die Verarbeitung muss dabei der Verordnung entsprechen und der Schutz der Betroffenenrechte muss immer gewährleistet sein. Es muss vertraglich genau geregelt werden, welche Daten mit welchen Eigenschaften dem Auftragsverarbeiter überlassen werden. Darüber hinaus muss die/ der Verantwortliche die Vertrauenswürdigkeit des Auftragsverarbeiters prüfen. Diese Prüfung kann sie/er entweder selbst durchführen oder damit Dritte betrauen. Die Vorteile einer Auslagerung der Prüfung sind – trotz höherer Kosten – eine Auditierung durch eine/n Sachverständige/n und die Bestätigung der DSGVO-Konformität.
Auf Managementsystemen aufbauen
Ein Managementsystem im Datenschutz bietet somit der/dem Verantwortlichen Vorteile im Umgang mit den wesentlichen Stakeholdern. Das können betroffene Personen, Auftragsverarbeiter oder die Aufsichtsbehörde sein. Nachteil ist, neben Personal- und Kapitaleinsatz, dass es noch kein entsprechendes Zertifizierungsverfahren gibt. Es muss eine Zwischenlösung her, denn die Zertifikatsfrage wird erst am 25. 5. 2018 gelöst sein. Dann ist es für Verantwortliche und Auftragsverarbeiter aber schon zu spät, sich erstmals mit diesem Thema zu befassen. Es ist daher empfehlenswert, auf bestehenden Managementsystemen aufzubauen. Das könnte beispielsweise ISO 9001 aus dem Bereich Qualitätsmanagement oder ISO 27001 aus der Informationstechnik sein.
Sicherheit von Daten regeln
Wird die DSGVO etwas losgelöst betrachtet, stechen viele Erfordernisse als technische und organisatorische Maßnahmen hervor. Das zeigt, dass es eine hohe Abdeckung durch ISO 27001 gibt, bei der für die Sicherheit von Daten sehr viel technisch und organisatorisch geregelt wird. Und wenn es gut für die Sicherheit von Daten ist, dann erst recht für den Schutz von Daten! Schwierig ist jedoch die Frage, welche Anforderungen aus der DSGVO durch ISO 27001 abgedeckt sind. Um diese zu beantworten, müssen zunächst die Anforderungen aus der DSGVO erfasst werden, am besten in Form von Controls, wie sie etwa in der ISO 27002 für Informationssicherheitsverfahren umgesetzt sind. Bei den Artikeln ist zu erarbeiten, wie die Anforderungen zu erfassen und wie zu kontrollieren sind. Bei der Dokumentation von Schutzverletzungen könnte das so aussehen:
Art 33 Abs 5 DSGVO: Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung …
Anforderung: Verletzung ist nachweislich zu dokumentieren.
Control: Dokumentation Datenvorfall
Liste der Zugriffsberechtigungen auf Verarbeitungstätigkeit
Berücksichtigung Anforderungen Strafverfolgungsbehörden
Je nach Grad der Abstrahierung können in den 99 Artikeln der DSGVO zwischen 200 und 400 solcher Anforderungen identifiziert werden. Im nächsten Schritt sind diese Anforderungen – analog zur ISO 27001 – in Sicherheitsrichtlinien zu gießen. Anforderungen der DSGVO, die nicht unter der ISO 27001 subsumierbar sind, sind als Datenschutzrichtlinien zu erfassen. Diese stehen nicht in Konkurrenz zu den Sicherheitsrichtlinien, sondern ergänzen sie. Die Summe der Anforderungen, Sicherheitsrichtlinien und Datenschutzrichtlinien kann in einer Matrix dargestellt werden, um so eine Gegenüberstellung der bereits getroffenen Maßnahmen zu erhalten und eine systematische Abarbeitung der offenen Anforderungen zu ermöglichen. Im Ergebnis liegt ein Mapping der DSGVO-Anforderungen auf interne Managementsysteme vor. Zudem ist das ein geeigneter Nachweis gegenüber der Aufsichtsbehörde, sodass zumindestens kein organisatorisches Versagen mehr vorwerfbar ist.