04. Feb 2021

Hohe Rechtssicherheit mit ISO 27701 durch Sorgfaltsprinzip

Interview: Datenschutz-Management

International setzten Vorreiter wie Microsoft, OneTrust oder Infosys auf die Datenschutz-Zertifizierung nach ISO 27701, als Erweiterung zu einem bestehenden Informationssicherheits-Managementsystem.

Als einer der ersten Zertifizierungspartner in Europa wurde CIS für ISO 27701 staatlich akkreditiert. Den wesentlichen Punkt stellt bei einer Datenschutz-Zertifizierung die dadurch zu erlangende Rechtssicherheit dar:

  • Wie kann mittels ISO 27701 für Datenschutzmanagement ein lückenlos DSGVO-konformes Datenschutzsystem aufgebaut werden?
  • Wodurch hält die solcherart umgesetzte DSGVO-Konformität auch im Fall einer Klage vor Gericht?

Diese Punkte werden in Fachkreisen diskutiert, weil die DSGVO sich in Richtung Produktzertifizierung orientiert, die ISO-Norm aber eine Systemzertifizierung vorsieht. Im Interview führen Rechtsanwalt und Datenschutz-Experte Dr. Markus Frank sowie CIS-Auditor Robert Jamnik aus, warum Organisationen mit ISO 27701 bei richtiger Umsetzung jedenfalls auf der sicheren Seite sind.

Herr Dr. Frank, wie ist die Sichtweise der DSGVO hinsichtlich einer Datenschutz-Zertifizierung?

Dr. Markus Frank: Grundsätzlich fordert die Datenschutz-Grundverordnung der EU (DSGVO) in § 43, dass ein Zertifizierungsverfahren auf Prozesse und Produkte abzielen muss. Auch die österreichische Datenschutzbehörde will als Zertifizierung im Sinne des § 43 DSGVO nur Produkt- oder Prozesszertifizierungen anerkennen. Die Kommission hat aber bisher kein Zertifizierungsverfahren offiziell anerkannt. Selbst wenn es eines geben würde, formuliert die DSGVO selbst sogar recht zaghaft, dass eine anerkannte DSGVO-Zertifizierung im Gerichtsprozess oder Behördenverfahren berücksichtigt werden „kann“ – das ist weit entfernt von „muss“. Es wird von der DSGVO also keinesfalls in den Raum gestellt, dass eine durch die EU-anerkannte Zertifizierung per se eine tragfähige Rechtssicherheit bringen würde.

Wodurch kann demnach eine DSGVO-konforme und hohe Rechtssicherheit mittels ISO 27701-Zertifizierung realisiert werden?

Dr. Markus Frank: ISO 27001 und ISO 27701 sehen die Zertifizierung eines gesamten Managementsystems vor und keine explizite Produkt- oder Prozesszertifizierung. Allerdings ist vor den Behörden oder vor Gericht, im Fall einer Datenpanne, nicht das bloße „Siegel“ auf einem Service oder Prozess lebensrettend – auch dann nicht, wenn es von der EU anerkannt ist. Sondern, was letztlich zählt, ist der stichhaltige Nachweis, wie sorgfältig im Unternehmen mit den Datenschutz-Anforderungen tatsächlich umgegangen wird – also welche Maßnahmen umgesetzt wurden und die dazugehörige Dokumentation. Vor diesem Hintergrund ist mit einer ISO 27701-Zertifizierung jedenfalls ein hohes Maß an Rechtssicherheit zu erzielen - sofern das System auch nach der externen Überprüfung und Zertifizierung tagtäglich ernsthaft gelebt wird. Die strukturierte Dokumentation sowie die technischen Protokollierungen ermöglichen im Fall der Fälle das Erbringen eines erforderlichen Sorgfaltsnachweises. Das ist für Bußgeld- und Haftungsfragen ganz entscheidend.

Herr Jamnik, welche Vorteile bringt ein Datenschutz-Managementsystem nach ISO 27701 gegenüber einer reinen Produktzertifizierung?

Robert Jamnik: Die DSGVO fordert „geeignete technische und organisatorische Maßnahmen und Verfahren“, damit die Datenverarbeitung den Anforderungen der Verordnung genügt. Derart systematische Anforderungen lassen sich zweifelsfrei mit einem Datenschutzmanagement-System besser erfüllen als ohne. Die System-immanente Logik des kontinuierlichen Monitorings und Optimierung gemäß ISO 27701 ermöglichen einen höchstmöglichen Grad an DSGVO-Compliance.

 

Ebenso kommt die gesetzliche Forderung nach einer Datenschutz-Folgenabschätzung einer geeigneten Datenschutz-Risikoanalyse gleich, wobei auf Fachwissen aus dem Bereich Risikomanagement im Rahmen des Basissystems nach ISO 27001 zurückgegriffen werden kann. Dokumentation und Protokollierungen im Rahmen des implementierten Datenschutzmanagement-Systems belegen die DSGVO-konforme Umsetzung der Datenschutzmaßnahmen im Unternehmen – und wirken in dieser Form haftungsminimierend.

Inwieweit nimmt die internationale ISO Norm explizit Bezug auf das europäische Datenschutzrecht?

Robert Jamnik: Obwohl die für eine weltweite Anwendung konzipierte ISO 27701 generisch auf geltende Datenschutz-Rechtsnormen hin ausformuliert ist, diente die europäische Gesetzgebung mit der DSGVO als Vorbild im Entwicklungsprozess. Im Anhang A des Standards befindet sich eine Referenztabelle, welche die Normforderungen den Anforderungen der DSGVO direkt zuordnet. Entsprechend bedeutet dies auch für Partner, Lieferanten und Kunden, dass ein CIS-Zertifikat nach ISO 27701 grundsätzlich eine hohe Sicherheit in puncto Datenschutz bietet. Allerdings besagt das ISO 27701-Zertifikat nicht explizit, welches nationale Datenschutzrecht von dem zertifizierten Unternehmen umgesetzt wurde – wobei sich dies folgerichtig aus dem geographischen Standort ergibt. Weiters beschreibt das Zertifikat auch nicht, welche Datenschutzmaßnahmen im Einzelnen realisiert wurden.

Welche Vorgehensweise empfehlen Sie demnach, um die DSGVO-Konformität des Datenschutz-Managementsystems nach außen sichtbar zu machen?

Robert Jamnik: Ein Nachweis für sorgfältiges Vorgehen in Bezug auf die DSGVO wird das ISO 27701-Zertifikat für Dritte dann, wenn die zertifizierte Organisation einem Kunden oder Lieferanten die ausgefüllte Referenztabelle oder das ‚Statement of Applicability‘ mitliefert. Diese ‚Erklärung zur Anwendbarkeit‘ enthält zu jedem Normpunkt aus dem Anhang A der ISO 27701 die einzelnen umgesetzten Datenschutzmaßnahmen zur Erfüllung der DSGVO-Anforderungen inklusive ihrer jeweiligen Zielsetzung im Unternehmen. Da das Statement of Applicability auch im Zertifizierungsaudit überprüft wird, kann dies als Nachweis für Dritte herangezogen werden. In diesem Sinne ermöglicht die Zertifizierung nach ISO 27701 eine hohe Rechtssicherheit und DSGVO-Compliance, sowohl für das Unternehmen selbst als auch für Partner und Kunden.

Herr Dr. Frank, Herr Jamnik, vielen Dank für das informative Gespräch!

Weitere News & Events

Immer topaktuell informiert

18. Sep 2024

Event: CIS Compliance Summit 2024

Security | Privacy | Continuity

Mehr erfahren
25. Sep 2023

Auszeichnung „CISO of the Year“ zum zweiten Mal verliehen

Die besten Chief Information Security Officer des Landes sind gekürt:

Mehr erfahren
22. Sep 2023

Neuer Trainingsfolder der CIS veröffentlicht

Zahlreiche Neuerungen am Puls der Zeit

Mehr erfahren
20. Sep 2023

New Work: Durch neue Arbeitsweisen und Technologien bleibt der Mensch Risikofaktor Nummer 1

Das war der CIS Compliance Summit 2023

Mehr erfahren
12. Sep 2023

Business Continuity rückt in den Fokus

Ein Schnittstellenthema mit Boost durch NIS und DORA

Mehr erfahren
01. Sep 2023

NIS 2: Was muss Ihr Unternehmen wann umsetzen?

07. Aug 2023

Im Gespräch mit Harald Erkinger und Christoph Mondl über New Work, Chancen und Risiken

Die aktuellen Themen der Cyber Security

Mehr erfahren
03. Aug 2023

Auf welches Know-how wir uns beim CIS Compliance Summit 2023 freuen dürfen

Die Vorfreude auf hochkarätige Vortragende steigt!

Mehr erfahren
01. Aug 2023

Cyberkriminalität – 3 aktuelle Gefahren, mit denen Sie rechnen müssen!

Neuer Bericht des BKI

Mehr erfahren
27. Jul 2023

Webinar ISO/IEC 27001:2022: Was Sie wissen müssen

CIS-Webinar am 9. November

Mehr erfahren
09. Nov 2023

Event: Webinar: Neue ISO 27001:2022 – Das müssen Unternehmen jetzt wissen

Webinarreihe Unternehmen & Qualität – Praxiserprobte Lösungen

Mehr erfahren
06. Jul 2023

Global Threat Report 2023: Trends in aktive Chancen umwandeln

Erkenntnisse, Trends und Handlungsempfehlungen

Mehr erfahren
+43 1 532 98 90