06. Sep 2020

Ende des Privacy-Shields

Auditvorbereitung hinsichtlich Datentransfer in die USA

Ende des Privacy Shields: Wie sollten sich zertifizierte Organisationen aktuell auf ein CIS-Audit vorbereiten? Eine Stellungnahme von CIS-Auditor und Datenschutz-Expeterte Werner Sponer.

Vielfach stellt sich die Frage, wie sich ISO-27001-zertifizierte Unternehmen hinsichtlich Compliance-Anforderungen vor dem Hintergrund des gekippten Privacy Shields auf Audits vorbereiten können. Diese Frage zu beantworten erscheint vordergründig einfach, die Umsetzung kann aber im Einzelfall sehr komplex werden. Beginnen wir mit dem Ziel der ISO/IEC 27001. Der internationale Standard ISO 27001 beschreibt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheits-Managementsystems (ISMS). Im Rahmen einer ISO-27001-Zertifizierung wird die Funktionalität und Wirksamkeit des ISMS bewertet.

Ein wesentlicher Faktor in unserer Zeit im Allgemeinen und in der IT im Speziellen ist die immerwährende Veränderung. Ich möchte hier bewusst als Analogie ein technisches Beispiel anführen: die laufende Weiterentwicklung von kryptographischen Algorithmen. Solche Algorithmen werden entwickelt, in Produkten oder Lösungen verwendet, dann irgendwann gehackt und somit unbrauchbar gemacht. Danach müssen sie aus den Produkten oder Lösungen entfernt und durch neuere, bessere Algorithmen ersetzt werden. Dieses Szenario ist in der IT-Welt wohlbekannt und wird gewissermaßen in „Lebenszyklen“ abgebildet. Dies wird auch im Rahmen der ISO-27001-Zertifizierung geprüft. Etwas weniger vertraut ist das Szenario der sich ändernden gesetzlichen Grundlagen. Als Teil der ISO-27001-Zertifizierung werden in diesem Bereich die Themen „Einhaltung gesetzlicher und vertraglicher Anforderungen“, also Compliance, sowie „Privatsphäre und Schutz von personenbezogenen Informationen“, also Datenschutz, behandelt. In diese beiden Themen spielt nun das Kippen des Privacy Shields hinein. Nun muss jedes Unternehmen überprüfen, ob es weiterhin „legal“ Daten verarbeitet oder ob es etwas getan werden muss. Dabei spielt es keine Rolle, ob das Unternehmen zertifiziert ist oder nicht.

Auditor prüft Umgang mit Veränderungen

Um auf die Eingangsfrage zurückzukommen: Im Rahmen eines Audits prüft die CIS selbstverständlich auch wie das auditierte Unternehmen mit Veränderungen umgeht. Dazu gehört im Jahr 2020 natürlich auch das gekippte Privacy Shield und wo/wie die diesbezüglich geplanten und umgesetzten Maßnahmen besprochen und intern auditiert werden. Im Fall des gekippten Privacy Shields ist nun in einem ersten Schritt zu prüfen, ob das Unternehmen als solches, oder eine allenfalls an Dienstleister ausgelagerte Datenverarbeitung, davon betroffen ist. Dabei hilft ein kritischer Blick ins Rechtsregister, in welchem die anwendbare Gesetzgebung und die vertraglichen Anforderungen dokumentiert sind. Das Unternehmen sollte nun auch prüfen, ob die Auflistung im Rechtsregister tatsächlich vollständig ist oder ob es Ergänzungsbedarf gibt. Es wird sicherlich Fälle geben, wo der eine oder andere Dienstleister unter anderem auch der angesprochenen US-Gesetzgebung unterliegt, was dann möglicherweise einen Einfluss auf die Vertraulichkeit der Daten des Unternehmens haben kann. Einige beliebte Cloud-Anbieter und Newsletter-Dienstleister sind davon betroffen. Max Schrems hat auf seiner Homepage www.noyb.eu einige betroffene Dienstleister angeführt. Mit solchen Dienstleistern sollte die Situation im Einzelfall abgeklärt und dokumentiert werden. Möglicherweise gibt es für betroffene IT-Services eine „europäische“ Lösung, welche anstelle einer US-amerikanischen verwendet werden kann.

In einem zweiten Schritt ist zu ermitteln, welche Anforderungen an Informationssicherheit sich aus der anwendbaren Gesetzgebung ergeben. Die Anforderungen sind hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit zu prüfen. Diese Anforderungen müssen durch geeignete Maßnahmen umgesetzt werden. Gerade zum Thema Datenschutz ist es nicht einfach und klar ersichtlich, welche technischen und organisatorischen Maßnahmen zu treffen sind, um den Anforderungen des hohen europäischen Datenschutzniveaus zu genügen.

Evaluierung der Auswirkungen auf das Unternehmen

Die CIS prüft die Wirksamkeit des Managementsystems, im konkreten Fall, ob das Unternehmen Schritte gesetzt hat, die Auswirkungen des EuGH-Urteils auf das Unternehmen zu bewerten. Die Verantwortung für die Bewertung, Auswahl und Umsetzung von Maßnahmen liegt beim Unternehmen. Wer sich also auf ein Audit gut vorbereiten möchte, sollte daran denken Dokumente oder Nachweise vorlegen zu können, in denen der Umgang mit der neuen Situationen dokumentiert ist. Dies kann beispielsweise durch Meeting-Protokolle, einer aktuellen Risikobewertung, einem internen Auditbericht oder ähnlichen Unterlagen erfolgen. In diesem Zusammenhang sollte nicht vergessen werden zu überlegen, wie künftig Änderungen in der anwendbaren Gesetzgebung bemerkt und bewertet werden.

 

Werner Sponer ist Datenschutzbeauftragter in der Privatwirtschaft sowie im Auftrag der CIS Netzwerkpartner und Auditor für Datenschutzmanagement nach ISO 27001, ISO 27701 u.a.

Herausgeber des CIS-Newsletters:

CIS - Certification & Information Security Services GmbH, www.cis-cert.com, office@cis-cert.com

Weitere News & Events

Immer topaktuell informiert

09. Sep 2021

Wie man sich mit Künstlicher Intelligenz (KI) vor KI-Bedrohungen schützt

Das war der CIS Compliance Summit 2021

Mehr erfahren
08. Sep 2021

Erfolgsrezept Integriertes Managementsystem

Gastkommentar von Bernhard Bachofner, Chief Technology Officer (CTO) der Fiegl & Spielberger Gruppe

Mehr erfahren
06. Sep 2021

NISG und NISV: Nachweis der Erfüllung von Sicherheits­vorkehrungen

Was Betreiber wesentlicher Dienste und Dienstleister jetzt zum Netz- und Informationssystemsicherheitsgesetz (NISG) wissen müssen

Mehr erfahren
11. Aug 2021

Sommergespräch mit Klaus Veselko und Clemens Wasner

CIS Compliance Summit

Mehr erfahren
27. Jul 2021

Global Threat Report 2021

Die wichtigsten Cybersecurity-Trends und wie sich Unternehmen jetzt wappnen können

Mehr erfahren
26. Jul 2021

Dem Blackout entgehen

Informationssicherheit in der Energiewirtschaft

Mehr erfahren
26. Jul 2021

Wie uns KI vor KI schützen wird

CIS lädt IT-Branche zu neuem Fachevent

Mehr erfahren
23. Jul 2021

How to break a Hacker’s Heart

Cyber Security und ISMS – a perfect Match

Mehr erfahren
21. Jul 2021

Cyber Resilience – Wenn Sicherheits­kraft nicht mehr ausreicht, brauchen Sie Widerstands­kraft

Der Schutz vor Cyber-Angriffen ist wichtig

Mehr erfahren
08. Sep 2021

Event: CIS Compliance Summit

Security | Privacy | Continuity

Mehr erfahren
11. Feb 2021

Tendenz steigend: Cyber-Attacken auf Produktions­betriebe

Wie sich Unternehmen mittels Informationssicherheits-Managementsystemen schützen können

Mehr erfahren
10. Feb 2021

ISO 27002 ist in Überarbeitung

Nachfolgenorm der ISO 27002:2013 für 2021 geplant

Mehr erfahren
+43 732 34 23 22