04. Feb 2021

Hohe Rechtssicherheit mit ISO 27701 durch Sorgfaltsprinzip

Interview: Datenschutz-Management

International setzten Vorreiter wie Microsoft, OneTrust oder Infosys auf die Datenschutz-Zertifizierung nach ISO 27701, als Erweiterung zu einem bestehenden Informationssicherheits-Managementsystem.

Als einer der ersten Zertifizierungspartner in Europa wurde CIS für ISO 27701 staatlich akkreditiert. Den wesentlichen Punkt stellt bei einer Datenschutz-Zertifizierung die dadurch zu erlangende Rechtssicherheit dar:

  • Wie kann mittels ISO 27701 für Datenschutzmanagement ein lückenlos DSGVO-konformes Datenschutzsystem aufgebaut werden?
  • Wodurch hält die solcherart umgesetzte DSGVO-Konformität auch im Fall einer Klage vor Gericht?

Diese Punkte werden in Fachkreisen diskutiert, weil die DSGVO sich in Richtung Produktzertifizierung orientiert, die ISO-Norm aber eine Systemzertifizierung vorsieht. Im Interview führen Rechtsanwalt und Datenschutz-Experte Dr. Markus Frank sowie CIS-Auditor Robert Jamnik aus, warum Organisationen mit ISO 27701 bei richtiger Umsetzung jedenfalls auf der sicheren Seite sind.

Herr Dr. Frank, wie ist die Sichtweise der DSGVO hinsichtlich einer Datenschutz-Zertifizierung?

Dr. Markus Frank: Grundsätzlich fordert die Datenschutz-Grundverordnung der EU (DSGVO) in § 43, dass ein Zertifizierungsverfahren auf Prozesse und Produkte abzielen muss. Auch die österreichische Datenschutzbehörde will als Zertifizierung im Sinne des § 43 DSGVO nur Produkt- oder Prozesszertifizierungen anerkennen. Die Kommission hat aber bisher kein Zertifizierungsverfahren offiziell anerkannt. Selbst wenn es eines geben würde, formuliert die DSGVO selbst sogar recht zaghaft, dass eine anerkannte DSGVO-Zertifizierung im Gerichtsprozess oder Behördenverfahren berücksichtigt werden „kann“ – das ist weit entfernt von „muss“. Es wird von der DSGVO also keinesfalls in den Raum gestellt, dass eine durch die EU-anerkannte Zertifizierung per se eine tragfähige Rechtssicherheit bringen würde.

Wodurch kann demnach eine DSGVO-konforme und hohe Rechtssicherheit mittels ISO 27701-Zertifizierung realisiert werden?

Dr. Markus Frank: ISO 27001 und ISO 27701 sehen die Zertifizierung eines gesamten Managementsystems vor und keine explizite Produkt- oder Prozesszertifizierung. Allerdings ist vor den Behörden oder vor Gericht, im Fall einer Datenpanne, nicht das bloße „Siegel“ auf einem Service oder Prozess lebensrettend – auch dann nicht, wenn es von der EU anerkannt ist. Sondern, was letztlich zählt, ist der stichhaltige Nachweis, wie sorgfältig im Unternehmen mit den Datenschutz-Anforderungen tatsächlich umgegangen wird – also welche Maßnahmen umgesetzt wurden und die dazugehörige Dokumentation. Vor diesem Hintergrund ist mit einer ISO 27701-Zertifizierung jedenfalls ein hohes Maß an Rechtssicherheit zu erzielen - sofern das System auch nach der externen Überprüfung und Zertifizierung tagtäglich ernsthaft gelebt wird. Die strukturierte Dokumentation sowie die technischen Protokollierungen ermöglichen im Fall der Fälle das Erbringen eines erforderlichen Sorgfaltsnachweises. Das ist für Bußgeld- und Haftungsfragen ganz entscheidend.

Herr Jamnik, welche Vorteile bringt ein Datenschutz-Managementsystem nach ISO 27701 gegenüber einer reinen Produktzertifizierung?

Robert Jamnik: Die DSGVO fordert „geeignete technische und organisatorische Maßnahmen und Verfahren“, damit die Datenverarbeitung den Anforderungen der Verordnung genügt. Derart systematische Anforderungen lassen sich zweifelsfrei mit einem Datenschutzmanagement-System besser erfüllen als ohne. Die System-immanente Logik des kontinuierlichen Monitorings und Optimierung gemäß ISO 27701 ermöglichen einen höchstmöglichen Grad an DSGVO-Compliance.

 

Ebenso kommt die gesetzliche Forderung nach einer Datenschutz-Folgenabschätzung einer geeigneten Datenschutz-Risikoanalyse gleich, wobei auf Fachwissen aus dem Bereich Risikomanagement im Rahmen des Basissystems nach ISO 27001 zurückgegriffen werden kann. Dokumentation und Protokollierungen im Rahmen des implementierten Datenschutzmanagement-Systems belegen die DSGVO-konforme Umsetzung der Datenschutzmaßnahmen im Unternehmen – und wirken in dieser Form haftungsminimierend.

Inwieweit nimmt die internationale ISO Norm explizit Bezug auf das europäische Datenschutzrecht?

Robert Jamnik: Obwohl die für eine weltweite Anwendung konzipierte ISO 27701 generisch auf geltende Datenschutz-Rechtsnormen hin ausformuliert ist, diente die europäische Gesetzgebung mit der DSGVO als Vorbild im Entwicklungsprozess. Im Anhang A des Standards befindet sich eine Referenztabelle, welche die Normforderungen den Anforderungen der DSGVO direkt zuordnet. Entsprechend bedeutet dies auch für Partner, Lieferanten und Kunden, dass ein CIS-Zertifikat nach ISO 27701 grundsätzlich eine hohe Sicherheit in puncto Datenschutz bietet. Allerdings besagt das ISO 27701-Zertifikat nicht explizit, welches nationale Datenschutzrecht von dem zertifizierten Unternehmen umgesetzt wurde – wobei sich dies folgerichtig aus dem geographischen Standort ergibt. Weiters beschreibt das Zertifikat auch nicht, welche Datenschutzmaßnahmen im Einzelnen realisiert wurden.

Welche Vorgehensweise empfehlen Sie demnach, um die DSGVO-Konformität des Datenschutz-Managementsystems nach außen sichtbar zu machen?

Robert Jamnik: Ein Nachweis für sorgfältiges Vorgehen in Bezug auf die DSGVO wird das ISO 27701-Zertifikat für Dritte dann, wenn die zertifizierte Organisation einem Kunden oder Lieferanten die ausgefüllte Referenztabelle oder das ‚Statement of Applicability‘ mitliefert. Diese ‚Erklärung zur Anwendbarkeit‘ enthält zu jedem Normpunkt aus dem Anhang A der ISO 27701 die einzelnen umgesetzten Datenschutzmaßnahmen zur Erfüllung der DSGVO-Anforderungen inklusive ihrer jeweiligen Zielsetzung im Unternehmen. Da das Statement of Applicability auch im Zertifizierungsaudit überprüft wird, kann dies als Nachweis für Dritte herangezogen werden. In diesem Sinne ermöglicht die Zertifizierung nach ISO 27701 eine hohe Rechtssicherheit und DSGVO-Compliance, sowohl für das Unternehmen selbst als auch für Partner und Kunden.

Herr Dr. Frank, Herr Jamnik, vielen Dank für das informative Gespräch!

Weitere News & Events

Immer topaktuell informiert

09. Sep 2021

Wie man sich mit Künstlicher Intelligenz (KI) vor KI-Bedrohungen schützt

Das war der CIS Compliance Summit 2021

Mehr erfahren
08. Sep 2021

Erfolgsrezept Integriertes Managementsystem

Gastkommentar von Bernhard Bachofner, Chief Technology Officer (CTO) der Fiegl & Spielberger Gruppe

Mehr erfahren
06. Sep 2021

NISG und NISV: Nachweis der Erfüllung von Sicherheits­vorkehrungen

Was Betreiber wesentlicher Dienste und Dienstleister jetzt zum Netz- und Informationssystemsicherheitsgesetz (NISG) wissen müssen

Mehr erfahren
11. Aug 2021

Sommergespräch mit Klaus Veselko und Clemens Wasner

CIS Compliance Summit

Mehr erfahren
27. Jul 2021

Global Threat Report 2021

Die wichtigsten Cybersecurity-Trends und wie sich Unternehmen jetzt wappnen können

Mehr erfahren
26. Jul 2021

Dem Blackout entgehen

Informationssicherheit in der Energiewirtschaft

Mehr erfahren
26. Jul 2021

Wie uns KI vor KI schützen wird

CIS lädt IT-Branche zu neuem Fachevent

Mehr erfahren
23. Jul 2021

How to break a Hacker’s Heart

Cyber Security und ISMS – a perfect Match

Mehr erfahren
21. Jul 2021

Cyber Resilience – Wenn Sicherheits­kraft nicht mehr ausreicht, brauchen Sie Widerstands­kraft

Der Schutz vor Cyber-Angriffen ist wichtig

Mehr erfahren
08. Sep 2021

Event: CIS Compliance Summit

Security | Privacy | Continuity

Mehr erfahren
11. Feb 2021

Tendenz steigend: Cyber-Attacken auf Produktions­betriebe

Wie sich Unternehmen mittels Informationssicherheits-Managementsystemen schützen können

Mehr erfahren
10. Feb 2021

ISO 27002 ist in Überarbeitung

Nachfolgenorm der ISO 27002:2013 für 2021 geplant

Mehr erfahren
+43 732 34 23 22