Interview: Datenschutz-Management
International setzten Vorreiter wie Microsoft, OneTrust oder Infosys auf die Datenschutz-Zertifizierung nach ISO 27701, als Erweiterung zu einem bestehenden Informationssicherheits-Managementsystem.
Als einer der ersten Zertifizierungspartner in Europa wurde CIS für ISO 27701 staatlich akkreditiert. Den wesentlichen Punkt stellt bei einer Datenschutz-Zertifizierung die dadurch zu erlangende Rechtssicherheit dar:
- Wie kann mittels ISO 27701 für Datenschutzmanagement ein lückenlos DSGVO-konformes Datenschutzsystem aufgebaut werden?
- Wodurch hält die solcherart umgesetzte DSGVO-Konformität auch im Fall einer Klage vor Gericht?
Diese Punkte werden in Fachkreisen diskutiert, weil die DSGVO sich in Richtung Produktzertifizierung orientiert, die ISO-Norm aber eine Systemzertifizierung vorsieht. Im Interview führen Rechtsanwalt und Datenschutz-Experte Dr. Markus Frank sowie CIS-Auditor Robert Jamnik aus, warum Organisationen mit ISO 27701 bei richtiger Umsetzung jedenfalls auf der sicheren Seite sind.
Herr Dr. Frank, wie ist die Sichtweise der DSGVO hinsichtlich einer Datenschutz-Zertifizierung?
Dr. Markus Frank: Grundsätzlich fordert die Datenschutz-Grundverordnung der EU (DSGVO) in § 43, dass ein Zertifizierungsverfahren auf Prozesse und Produkte abzielen muss. Auch die österreichische Datenschutzbehörde will als Zertifizierung im Sinne des § 43 DSGVO nur Produkt- oder Prozesszertifizierungen anerkennen. Die Kommission hat aber bisher kein Zertifizierungsverfahren offiziell anerkannt. Selbst wenn es eines geben würde, formuliert die DSGVO selbst sogar recht zaghaft, dass eine anerkannte DSGVO-Zertifizierung im Gerichtsprozess oder Behördenverfahren berücksichtigt werden „kann“ – das ist weit entfernt von „muss“. Es wird von der DSGVO also keinesfalls in den Raum gestellt, dass eine durch die EU-anerkannte Zertifizierung per se eine tragfähige Rechtssicherheit bringen würde.
Wodurch kann demnach eine DSGVO-konforme und hohe Rechtssicherheit mittels ISO 27701-Zertifizierung realisiert werden?
Dr. Markus Frank: ISO 27001 und ISO 27701 sehen die Zertifizierung eines gesamten Managementsystems vor und keine explizite Produkt- oder Prozesszertifizierung. Allerdings ist vor den Behörden oder vor Gericht, im Fall einer Datenpanne, nicht das bloße „Siegel“ auf einem Service oder Prozess lebensrettend – auch dann nicht, wenn es von der EU anerkannt ist. Sondern, was letztlich zählt, ist der stichhaltige Nachweis, wie sorgfältig im Unternehmen mit den Datenschutz-Anforderungen tatsächlich umgegangen wird – also welche Maßnahmen umgesetzt wurden und die dazugehörige Dokumentation. Vor diesem Hintergrund ist mit einer ISO 27701-Zertifizierung jedenfalls ein hohes Maß an Rechtssicherheit zu erzielen - sofern das System auch nach der externen Überprüfung und Zertifizierung tagtäglich ernsthaft gelebt wird. Die strukturierte Dokumentation sowie die technischen Protokollierungen ermöglichen im Fall der Fälle das Erbringen eines erforderlichen Sorgfaltsnachweises. Das ist für Bußgeld- und Haftungsfragen ganz entscheidend.
Herr Jamnik, welche Vorteile bringt ein Datenschutz-Managementsystem nach ISO 27701 gegenüber einer reinen Produktzertifizierung?
Robert Jamnik: Die DSGVO fordert „geeignete technische und organisatorische Maßnahmen und Verfahren“, damit die Datenverarbeitung den Anforderungen der Verordnung genügt. Derart systematische Anforderungen lassen sich zweifelsfrei mit einem Datenschutzmanagement-System besser erfüllen als ohne. Die System-immanente Logik des kontinuierlichen Monitorings und Optimierung gemäß ISO 27701 ermöglichen einen höchstmöglichen Grad an DSGVO-Compliance.
Ebenso kommt die gesetzliche Forderung nach einer Datenschutz-Folgenabschätzung einer geeigneten Datenschutz-Risikoanalyse gleich, wobei auf Fachwissen aus dem Bereich Risikomanagement im Rahmen des Basissystems nach ISO 27001 zurückgegriffen werden kann. Dokumentation und Protokollierungen im Rahmen des implementierten Datenschutzmanagement-Systems belegen die DSGVO-konforme Umsetzung der Datenschutzmaßnahmen im Unternehmen – und wirken in dieser Form haftungsminimierend.
Inwieweit nimmt die internationale ISO Norm explizit Bezug auf das europäische Datenschutzrecht?
Robert Jamnik: Obwohl die für eine weltweite Anwendung konzipierte ISO 27701 generisch auf geltende Datenschutz-Rechtsnormen hin ausformuliert ist, diente die europäische Gesetzgebung mit der DSGVO als Vorbild im Entwicklungsprozess. Im Anhang A des Standards befindet sich eine Referenztabelle, welche die Normforderungen den Anforderungen der DSGVO direkt zuordnet. Entsprechend bedeutet dies auch für Partner, Lieferanten und Kunden, dass ein CIS-Zertifikat nach ISO 27701 grundsätzlich eine hohe Sicherheit in puncto Datenschutz bietet. Allerdings besagt das ISO 27701-Zertifikat nicht explizit, welches nationale Datenschutzrecht von dem zertifizierten Unternehmen umgesetzt wurde – wobei sich dies folgerichtig aus dem geographischen Standort ergibt. Weiters beschreibt das Zertifikat auch nicht, welche Datenschutzmaßnahmen im Einzelnen realisiert wurden.
Welche Vorgehensweise empfehlen Sie demnach, um die DSGVO-Konformität des Datenschutz-Managementsystems nach außen sichtbar zu machen?
Robert Jamnik: Ein Nachweis für sorgfältiges Vorgehen in Bezug auf die DSGVO wird das ISO 27701-Zertifikat für Dritte dann, wenn die zertifizierte Organisation einem Kunden oder Lieferanten die ausgefüllte Referenztabelle oder das ‚Statement of Applicability‘ mitliefert. Diese ‚Erklärung zur Anwendbarkeit‘ enthält zu jedem Normpunkt aus dem Anhang A der ISO 27701 die einzelnen umgesetzten Datenschutzmaßnahmen zur Erfüllung der DSGVO-Anforderungen inklusive ihrer jeweiligen Zielsetzung im Unternehmen. Da das Statement of Applicability auch im Zertifizierungsaudit überprüft wird, kann dies als Nachweis für Dritte herangezogen werden. In diesem Sinne ermöglicht die Zertifizierung nach ISO 27701 eine hohe Rechtssicherheit und DSGVO-Compliance, sowohl für das Unternehmen selbst als auch für Partner und Kunden.