CIS wurde als Österreichs erste Prüfstelle akkreditiert. Haftungsminimierung durch Sorgfaltsprinzip.
Erstes Datenschutz-Zertifikat mit internationaler Geltung: ISO 27701 jetzt in Österreich
Während die EU beim Thema Datenschutz hohe Strafen vorsieht, ist ein anerkanntes Datenschutz-Zertifizierungsverfahren bis heute ausständig. Besonders prekär ist die Situation, weil ein Daten-Eigentümer mithaftet, wenn bei seinem Provider eine Datenpanne passiert und er sich zuvor keinen Nachweis für sorgfältiges Vorgehen in Sachen Datenschutz eingeholt hat. Ohne anerkannte Zertifizierung war dies bis dato schwierig.
Abhilfe soll die Zertifizierung nach ISO 27701 für Datenschutzmanagement schaffen, welche als Add-On zu dem international anerkannten Standard für Informationssicherheit ISO 27001 konzipiert ist. In Österreich wurde nun mit der CIS GmbH die erste Zertifizierungsgesellschaft für ISO 27701 durch das Wirtschaftsministerium akkreditiert.
„Da die Datenschutzmanagement-Norm auf dem internationalen Standard für Informationssicherheit aufbaut, ist dies die erste und bisher einzige Datenschutz-Zertifizierung mit internationaler Tragweite – und anwendbar für Organisationen aller Größen und Branchen“,
betont CIS-Prokurist Klaus Veselko.
Globale Vorreiter setzen auf ISO 27701
Einige Global Player sind bereits weltweite Vorreiter: So hat Microsoft jene Teile der IT-Infrastruktur für Cloud Services wie Dynamics oder Azure nach ISO 27701 zertifizieren lassen. Auch andere IT-Größen wie OneTrust oder Infosys setzen auf die neue Datenschutz-Zertifizierung aus dem Hause ISO. Grundsätzlich ist der Standard eine Subnorm der ISO 27000-Familie.
„Als Erweiterung zu einem Informationssicherheits-Managementsystem werden bei einem Zertifizierungsaudit die Datenschutz-Anforderungen nach ISO 27701 ebenfalls auditiert. Datenschutz wird zum integralen Bestandteil des Gesamtsystems und ist in dieser Form zertifizierbar", erklärt Veselko. „Das auditierte Unternehmen erhält ein eigenes Zertifikat für Datenschutzmanagement nach ISO 27701, das ein Vertrauenssignal für Kunden und Lieferanten darstellt.“
Rechtssicherheit durch Sorgfaltsprinzip
Ein wichtiger Punkt ist die dadurch ermöglichte Rechtssicherheit. Nach dem aktuellen Stand werden von der EU-Kommission jene Zertifizierungsverfahren anerkannt werden, welche gemäß Art. 42 der Datenschutz-Grundverordnung (DSGVO) auf Prozesse und Produkte abzielen – und nicht auf ein ganzes Managementsystem, wie es bei ISO 27701 der Fall ist. Allerdings hilft im Behördenverfahren oder vor Gericht nicht das „Pickerl“ auf einem IT-Service.
„Haftungsminimierend wirkt ein Nachweis, wie im Unternehmen mit dem Datenschutz tagtäglich umgegangen wird – also, welche Maßnahmen gesetzt werden und die entsprechende Dokumentation dazu“, erläutert Rechtsanwalt und Datenschutzexperte Dr. Markus Frank.
Systematisches Monitoring für DSGVO-Compliance
Vor diesem Hintergrund ist mit einer ISO 27701-Zertifizierung de facto ein hohes Maß an Rechtssicherheit zu erzielen, wenn das System auch nach der Zertifizierung ernsthaft gelebt wird: Denn die DSGVO fordert „geeignete technische und organisatorische Maßnahmen und Verfahren“, damit die Datenverarbeitung den Anforderungen der Verordnung genügt.
„Derart systematische Anforderungen lassen sich mit einem Datenschutzmanagement-System besser erfüllen als ohne", unterstreicht CIS-Auditor Robert Jamnik. „Die System-immanente Logik des kontinuierlichen Monitorings und der Optimierung gemäß ISO 27701 ermöglichen einen höchstmöglichen Grad an DSGVO-Compliance.“