04. Feb 2021

Hohe Rechtssicherheit mit ISO 27701 durch Sorgfaltsprinzip

Interview: Datenschutz-Management

International setzten Vorreiter wie Microsoft, OneTrust oder Infosys auf die Datenschutz-Zertifizierung nach ISO 27701, als Erweiterung zu einem bestehenden Informationssicherheits-Managementsystem.

Als einer der ersten Zertifizierungspartner in Europa wurde CIS für ISO 27701 staatlich akkreditiert. Den wesentlichen Punkt stellt bei einer Datenschutz-Zertifizierung die dadurch zu erlangende Rechtssicherheit dar:

  • Wie kann mittels ISO 27701 für Datenschutzmanagement ein lückenlos DSGVO-konformes Datenschutzsystem aufgebaut werden?
  • Wodurch hält die solcherart umgesetzte DSGVO-Konformität auch im Fall einer Klage vor Gericht?

Diese Punkte werden in Fachkreisen diskutiert, weil die DSGVO sich in Richtung Produktzertifizierung orientiert, die ISO-Norm aber eine Systemzertifizierung vorsieht. Im Interview führen Rechtsanwalt und Datenschutz-Experte Dr. Markus Frank sowie CIS-Auditor Robert Jamnik aus, warum Organisationen mit ISO 27701 bei richtiger Umsetzung jedenfalls auf der sicheren Seite sind.

Herr Dr. Frank, wie ist die Sichtweise der DSGVO hinsichtlich einer Datenschutz-Zertifizierung?

Dr. Markus Frank: Grundsätzlich fordert die Datenschutz-Grundverordnung der EU (DSGVO) in § 43, dass ein Zertifizierungsverfahren auf Prozesse und Produkte abzielen muss. Auch die österreichische Datenschutzbehörde will als Zertifizierung im Sinne des § 43 DSGVO nur Produkt- oder Prozesszertifizierungen anerkennen. Die Kommission hat aber bisher kein Zertifizierungsverfahren offiziell anerkannt. Selbst wenn es eines geben würde, formuliert die DSGVO selbst sogar recht zaghaft, dass eine anerkannte DSGVO-Zertifizierung im Gerichtsprozess oder Behördenverfahren berücksichtigt werden „kann“ – das ist weit entfernt von „muss“. Es wird von der DSGVO also keinesfalls in den Raum gestellt, dass eine durch die EU-anerkannte Zertifizierung per se eine tragfähige Rechtssicherheit bringen würde.

Wodurch kann demnach eine DSGVO-konforme und hohe Rechtssicherheit mittels ISO 27701-Zertifizierung realisiert werden?

Dr. Markus Frank: ISO 27001 und ISO 27701 sehen die Zertifizierung eines gesamten Managementsystems vor und keine explizite Produkt- oder Prozesszertifizierung. Allerdings ist vor den Behörden oder vor Gericht, im Fall einer Datenpanne, nicht das bloße „Siegel“ auf einem Service oder Prozess lebensrettend – auch dann nicht, wenn es von der EU anerkannt ist. Sondern, was letztlich zählt, ist der stichhaltige Nachweis, wie sorgfältig im Unternehmen mit den Datenschutz-Anforderungen tatsächlich umgegangen wird – also welche Maßnahmen umgesetzt wurden und die dazugehörige Dokumentation. Vor diesem Hintergrund ist mit einer ISO 27701-Zertifizierung jedenfalls ein hohes Maß an Rechtssicherheit zu erzielen - sofern das System auch nach der externen Überprüfung und Zertifizierung tagtäglich ernsthaft gelebt wird. Die strukturierte Dokumentation sowie die technischen Protokollierungen ermöglichen im Fall der Fälle das Erbringen eines erforderlichen Sorgfaltsnachweises. Das ist für Bußgeld- und Haftungsfragen ganz entscheidend.

Herr Jamnik, welche Vorteile bringt ein Datenschutz-Managementsystem nach ISO 27701 gegenüber einer reinen Produktzertifizierung?

Robert Jamnik: Die DSGVO fordert „geeignete technische und organisatorische Maßnahmen und Verfahren“, damit die Datenverarbeitung den Anforderungen der Verordnung genügt. Derart systematische Anforderungen lassen sich zweifelsfrei mit einem Datenschutzmanagement-System besser erfüllen als ohne. Die System-immanente Logik des kontinuierlichen Monitorings und Optimierung gemäß ISO 27701 ermöglichen einen höchstmöglichen Grad an DSGVO-Compliance.

 

Ebenso kommt die gesetzliche Forderung nach einer Datenschutz-Folgenabschätzung einer geeigneten Datenschutz-Risikoanalyse gleich, wobei auf Fachwissen aus dem Bereich Risikomanagement im Rahmen des Basissystems nach ISO 27001 zurückgegriffen werden kann. Dokumentation und Protokollierungen im Rahmen des implementierten Datenschutzmanagement-Systems belegen die DSGVO-konforme Umsetzung der Datenschutzmaßnahmen im Unternehmen – und wirken in dieser Form haftungsminimierend.

Inwieweit nimmt die internationale ISO Norm explizit Bezug auf das europäische Datenschutzrecht?

Robert Jamnik: Obwohl die für eine weltweite Anwendung konzipierte ISO 27701 generisch auf geltende Datenschutz-Rechtsnormen hin ausformuliert ist, diente die europäische Gesetzgebung mit der DSGVO als Vorbild im Entwicklungsprozess. Im Anhang A des Standards befindet sich eine Referenztabelle, welche die Normforderungen den Anforderungen der DSGVO direkt zuordnet. Entsprechend bedeutet dies auch für Partner, Lieferanten und Kunden, dass ein CIS-Zertifikat nach ISO 27701 grundsätzlich eine hohe Sicherheit in puncto Datenschutz bietet. Allerdings besagt das ISO 27701-Zertifikat nicht explizit, welches nationale Datenschutzrecht von dem zertifizierten Unternehmen umgesetzt wurde – wobei sich dies folgerichtig aus dem geographischen Standort ergibt. Weiters beschreibt das Zertifikat auch nicht, welche Datenschutzmaßnahmen im Einzelnen realisiert wurden.

Welche Vorgehensweise empfehlen Sie demnach, um die DSGVO-Konformität des Datenschutz-Managementsystems nach außen sichtbar zu machen?

Robert Jamnik: Ein Nachweis für sorgfältiges Vorgehen in Bezug auf die DSGVO wird das ISO 27701-Zertifikat für Dritte dann, wenn die zertifizierte Organisation einem Kunden oder Lieferanten die ausgefüllte Referenztabelle oder das ‚Statement of Applicability‘ mitliefert. Diese ‚Erklärung zur Anwendbarkeit‘ enthält zu jedem Normpunkt aus dem Anhang A der ISO 27701 die einzelnen umgesetzten Datenschutzmaßnahmen zur Erfüllung der DSGVO-Anforderungen inklusive ihrer jeweiligen Zielsetzung im Unternehmen. Da das Statement of Applicability auch im Zertifizierungsaudit überprüft wird, kann dies als Nachweis für Dritte herangezogen werden. In diesem Sinne ermöglicht die Zertifizierung nach ISO 27701 eine hohe Rechtssicherheit und DSGVO-Compliance, sowohl für das Unternehmen selbst als auch für Partner und Kunden.

Herr Dr. Frank, Herr Jamnik, vielen Dank für das informative Gespräch!

Weitere News & Events

Immer topaktuell informiert

11. Jan 2022

NIS-Gesetz: Systemrelevanten Unternehmen drohen Strafen bei nicht zeitgerechter Umsetzung

Experte Klaus Veselko warnt

Mehr erfahren
30. Nov 2021

Wir machen Sie fit für die Zukunft der Digitalisierung!

Warum wir gerade jetzt Information Security Manager benötigen

Mehr erfahren
25. Nov 2021

Mit einer ISO 27001-Zertifizierung den nächsten Gipfel stürmen

Nutzen Sie Managementsysteme für Ihre Ziele!

Mehr erfahren
25. Nov 2021

Cyberkriminalität im Gesundheitswesen kann jeden treffen!

Medizinische Einrichtungen geraten immer stärker in den Fokus

Mehr erfahren
24. Nov 2021

TISAX® als Firewall

Prototypen- und Datenschutz in der Automotive Industrie.

Mehr erfahren
24. Nov 2021

IT-Sicherheit in Smart Factories stärken – gewusst, wie!

Von IT und OT

Mehr erfahren
22. Nov 2021

CIS auditiert ab sofort Cyber Trust Austria® Label Gold

Kooperation zur Unterstützung auf Ihrem Weg zum Cyber Trust Austria® Label Gold

Mehr erfahren
08. Nov 2021

Auf das Unerwartete vorbereitet sein

Siemens Digital Grid wurde als erste Einheit in der EU erfolgreich nach ISO 22301 zertifiziert.

Mehr erfahren
08. Okt 2021

Wie sieht IT Security im Spital 2.0 aus?

Cybersicherheit im Gesundheitswesen

Mehr erfahren
09. Sep 2021

Wie man sich mit Künstlicher Intelligenz (KI) vor KI-Bedrohungen schützt

Das war der CIS Compliance Summit 2021

Mehr erfahren
08. Sep 2021

Erfolgsrezept Integriertes Managementsystem

Gastkommentar von Bernhard Bachofner, Chief Technology Officer (CTO) der Fiegl & Spielberger Gruppe

Mehr erfahren
+43 732 34 23 22