04. Feb 2021

Hohe Rechtssicherheit mit ISO 27701 durch Sorgfaltsprinzip

Interview: Datenschutz-Management

International setzten Vorreiter wie Microsoft, OneTrust oder Infosys auf die Datenschutz-Zertifizierung nach ISO 27701, als Erweiterung zu einem bestehenden Informationssicherheits-Managementsystem.

Als einer der ersten Zertifizierungspartner in Europa wurde CIS für ISO 27701 staatlich akkreditiert. Den wesentlichen Punkt stellt bei einer Datenschutz-Zertifizierung die dadurch zu erlangende Rechtssicherheit dar:

  • Wie kann mittels ISO 27701 für Datenschutzmanagement ein lückenlos DSGVO-konformes Datenschutzsystem aufgebaut werden?
  • Wodurch hält die solcherart umgesetzte DSGVO-Konformität auch im Fall einer Klage vor Gericht?

Diese Punkte werden in Fachkreisen diskutiert, weil die DSGVO sich in Richtung Produktzertifizierung orientiert, die ISO-Norm aber eine Systemzertifizierung vorsieht. Im Interview führen Rechtsanwalt und Datenschutz-Experte Dr. Markus Frank sowie CIS-Auditor Robert Jamnik aus, warum Organisationen mit ISO 27701 bei richtiger Umsetzung jedenfalls auf der sicheren Seite sind.

Herr Dr. Frank, wie ist die Sichtweise der DSGVO hinsichtlich einer Datenschutz-Zertifizierung?

Dr. Markus Frank: Grundsätzlich fordert die Datenschutz-Grundverordnung der EU (DSGVO) in § 43, dass ein Zertifizierungsverfahren auf Prozesse und Produkte abzielen muss. Auch die österreichische Datenschutzbehörde will als Zertifizierung im Sinne des § 43 DSGVO nur Produkt- oder Prozesszertifizierungen anerkennen. Die Kommission hat aber bisher kein Zertifizierungsverfahren offiziell anerkannt. Selbst wenn es eines geben würde, formuliert die DSGVO selbst sogar recht zaghaft, dass eine anerkannte DSGVO-Zertifizierung im Gerichtsprozess oder Behördenverfahren berücksichtigt werden „kann“ – das ist weit entfernt von „muss“. Es wird von der DSGVO also keinesfalls in den Raum gestellt, dass eine durch die EU-anerkannte Zertifizierung per se eine tragfähige Rechtssicherheit bringen würde.

Wodurch kann demnach eine DSGVO-konforme und hohe Rechtssicherheit mittels ISO 27701-Zertifizierung realisiert werden?

Dr. Markus Frank: ISO 27001 und ISO 27701 sehen die Zertifizierung eines gesamten Managementsystems vor und keine explizite Produkt- oder Prozesszertifizierung. Allerdings ist vor den Behörden oder vor Gericht, im Fall einer Datenpanne, nicht das bloße „Siegel“ auf einem Service oder Prozess lebensrettend – auch dann nicht, wenn es von der EU anerkannt ist. Sondern, was letztlich zählt, ist der stichhaltige Nachweis, wie sorgfältig im Unternehmen mit den Datenschutz-Anforderungen tatsächlich umgegangen wird – also welche Maßnahmen umgesetzt wurden und die dazugehörige Dokumentation. Vor diesem Hintergrund ist mit einer ISO 27701-Zertifizierung jedenfalls ein hohes Maß an Rechtssicherheit zu erzielen - sofern das System auch nach der externen Überprüfung und Zertifizierung tagtäglich ernsthaft gelebt wird. Die strukturierte Dokumentation sowie die technischen Protokollierungen ermöglichen im Fall der Fälle das Erbringen eines erforderlichen Sorgfaltsnachweises. Das ist für Bußgeld- und Haftungsfragen ganz entscheidend.

Herr Jamnik, welche Vorteile bringt ein Datenschutz-Managementsystem nach ISO 27701 gegenüber einer reinen Produktzertifizierung?

Robert Jamnik: Die DSGVO fordert „geeignete technische und organisatorische Maßnahmen und Verfahren“, damit die Datenverarbeitung den Anforderungen der Verordnung genügt. Derart systematische Anforderungen lassen sich zweifelsfrei mit einem Datenschutzmanagement-System besser erfüllen als ohne. Die System-immanente Logik des kontinuierlichen Monitorings und Optimierung gemäß ISO 27701 ermöglichen einen höchstmöglichen Grad an DSGVO-Compliance.

 

Ebenso kommt die gesetzliche Forderung nach einer Datenschutz-Folgenabschätzung einer geeigneten Datenschutz-Risikoanalyse gleich, wobei auf Fachwissen aus dem Bereich Risikomanagement im Rahmen des Basissystems nach ISO 27001 zurückgegriffen werden kann. Dokumentation und Protokollierungen im Rahmen des implementierten Datenschutzmanagement-Systems belegen die DSGVO-konforme Umsetzung der Datenschutzmaßnahmen im Unternehmen – und wirken in dieser Form haftungsminimierend.

Inwieweit nimmt die internationale ISO Norm explizit Bezug auf das europäische Datenschutzrecht?

Robert Jamnik: Obwohl die für eine weltweite Anwendung konzipierte ISO 27701 generisch auf geltende Datenschutz-Rechtsnormen hin ausformuliert ist, diente die europäische Gesetzgebung mit der DSGVO als Vorbild im Entwicklungsprozess. Im Anhang A des Standards befindet sich eine Referenztabelle, welche die Normforderungen den Anforderungen der DSGVO direkt zuordnet. Entsprechend bedeutet dies auch für Partner, Lieferanten und Kunden, dass ein CIS-Zertifikat nach ISO 27701 grundsätzlich eine hohe Sicherheit in puncto Datenschutz bietet. Allerdings besagt das ISO 27701-Zertifikat nicht explizit, welches nationale Datenschutzrecht von dem zertifizierten Unternehmen umgesetzt wurde – wobei sich dies folgerichtig aus dem geographischen Standort ergibt. Weiters beschreibt das Zertifikat auch nicht, welche Datenschutzmaßnahmen im Einzelnen realisiert wurden.

Welche Vorgehensweise empfehlen Sie demnach, um die DSGVO-Konformität des Datenschutz-Managementsystems nach außen sichtbar zu machen?

Robert Jamnik: Ein Nachweis für sorgfältiges Vorgehen in Bezug auf die DSGVO wird das ISO 27701-Zertifikat für Dritte dann, wenn die zertifizierte Organisation einem Kunden oder Lieferanten die ausgefüllte Referenztabelle oder das ‚Statement of Applicability‘ mitliefert. Diese ‚Erklärung zur Anwendbarkeit‘ enthält zu jedem Normpunkt aus dem Anhang A der ISO 27701 die einzelnen umgesetzten Datenschutzmaßnahmen zur Erfüllung der DSGVO-Anforderungen inklusive ihrer jeweiligen Zielsetzung im Unternehmen. Da das Statement of Applicability auch im Zertifizierungsaudit überprüft wird, kann dies als Nachweis für Dritte herangezogen werden. In diesem Sinne ermöglicht die Zertifizierung nach ISO 27701 eine hohe Rechtssicherheit und DSGVO-Compliance, sowohl für das Unternehmen selbst als auch für Partner und Kunden.

Herr Dr. Frank, Herr Jamnik, vielen Dank für das informative Gespräch!

Weitere News & Events

Immer topaktuell informiert

30. Nov 2022

Gesucht: Auditor*in Informations-sicherheits-management nach ISO 27001 (m/w/d)

30. Nov 2022

Gesucht: Prüfer*in Netz- und Informations­sicherheit (NIS) (m/w/d)

30. Nov 2022

Neue ISO/IEC 27001:2022 – Das müssen Unternehmen jetzt wissen

15. Nov 2022

Informationssicherheit in einer Kultur der offenen Türen

Science Security Series: Gastkommentar der FH St. Pölten

Mehr erfahren
07. Nov 2022

Revision ISO 27001 & ISO 27002:2022 – was kommt, was geht, was bleibt?

Überblick zu Maßnahmen und gute Nachrichten für die Umstellung

Mehr erfahren
26. Sep 2022

41-jähriger Sicherheits-Experte ist heimischer „CISO of the Year“

Österreichs beste Chief Information Security Officer geehrt

Mehr erfahren
21. Sep 2022

Experten präsentieren Strategien gegen Cyber-Attacken auf Betriebs­technologie

Das war der CIS Compliance Summit 2022

Mehr erfahren
12. Sep 2022

Wer ist der beste CISO im ganzen Land?

Nicht mehr lange und der Titel „CISO of the Year 2022“ wird erstmals beim diesjährigen CIS Compliance Summit an die oder den besten Chief Information Security…

Mehr erfahren
19. Aug 2022

ISO/IEC 27001:2022 – was ist neu?

Was bedeutet die Revision der ISO 27001 für Unternehmen?

Mehr erfahren
08. Aug 2022

6 kritische Faktoren der ISMS Umsetzung

Kritische Faktoren der ISMS Umsetzung

Mehr erfahren
28. Jul 2022

Global Threat Report 2022: was Sie jetzt wissen müssen!

Zusammenfassung aktueller Cyber Trends und Angriffe

Mehr erfahren
20. Jul 2022

Sommer­gespräch mit DI Helmut Leopold, PhD

Sichere digitale Zukunft durch beherrschbare Digitalsysteme

Mehr erfahren
+43 732 34 23 22