View
39
Download
1
Category
Preview:
Citation preview
01.11.2013 Beispieltext Vortragsthema
Kai Osterhage
ISO 27001 vs. DSGVO
04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
01.11.2013 Beispieltext Vortragsthema
Wer steht vor Ihnen?
Kai Osterhage
• Bereichsleiter/Lead Auditor ISO 27001
• §8a BSIG
• §11 EnWG
• Kritis
Hintergrund:
• operativer Betrieb RZ KH - AK Datenschutz der Berl. KH beim BfDIBerlin
• CISO in Berliner AöR (Grundschutz), behördlicher DSB, Risikomanagement
• Beratung ISMS & Datenschutz
04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
01.11.2013 Beispieltext Vortragsthema
Inwiefern entspricht die Datenschutzfolgeabschätzungder Risikoanalyse?
04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
01.11.2013 Beispieltext Vortragsthema
§9a BDSG alte Fassung
§9a Datenschutzaudit
„Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt.“
04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
01.11.2013 Beispieltext Vortragsthema
Was war…
Zertifizierer mit proprietären Zertifikaten
• ULD• EuroPriSe• …• …
• §11 BDSG alt (Auftragsdatenverarbeitung)• §80 SGB X (Auftragsdatenverarbeitung)
04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
01.11.2013 Beispieltext Vortragsthema
DSGVO Art. 43 Abs. 1
04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
„Die Mitgliedstaaten stellen sicher, dass diese Zertifizierungsstellen von einer oder beiden der folgenden Stellen akkreditiert werden:
a) der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde;
b) der nationalen Akkreditierungsstelle, die gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates im Einklang mit EN-ISO/IEC 17065/2012 und mit den zusätzlichen von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde festgelegten Anforderungen benannt wurde.“
01.11.2013 Beispieltext Vortragsthema
DSGVO Art. 5 Abs. 2
04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“
Aber wie???
01.11.2013 Beispieltext Vortragsthema
Alisha Gühr, 23.05.2019
04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
01.11.2013 Beispieltext Vortragsthema04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
Lösungsansätze
• Cloudbereich:• ISO 27018
• nicht mit DSGVO harmonisiert• referenziert auf ISO 27001/2
• BSI C5• wenig verbreitet in Privatwirtschaft• auch nicht wirklich mit DSGVO harmonisiert
• Forschungsprojekt AUDITOR Cloud in Arbeit• ISO 29134 (lediglich Datenschutzfolgeabschätzung)• ISO 27001 ISMS
• ISO 27001 betrachtet Managementprozesse• DSGVO betrachtet hingegen Verarbeitungsvorgänge• ISO/IEC 27001 ist keine anerkannte Zertifizierungsnorm im
Sinne des Art. 43 DSGVO• DSK definiert Voraussetzungen zur Anerkennung• sehr verbreitet
01.11.2013 Beispieltext Vortragsthema04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
Was sagt die DSK?
Datenschutzkonferenz in den „Anforderungen zur Akkreditierung gemäß Art. 43 Abs. 3 DSGVO i.V.m. DIN EN ISO/IEC 17065“ vom 28.08.2018:
„Andere durch eine akkreditierte Zertifizierungsstelle erteilte Zertifizierungen als solche nach Art. 42 DSGVO (z.B. ISO-Zertifizierungen) können […] einen Faktor für die Konformität [nach DSGVO] darstellen und als solche im Rahmen der Zertifizierung beachtet werden.“
01.11.2013 Beispieltext Vortragsthema04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
Was sagt die DSK?
Voraussetzungen:
• Der im Rahmen der DSGVO zu berücksichtigende Datenverarbeitungsvorgang ist Bestandteil des Geltungsbereichs des nach ISO/IEC 27001 zertifizierten ISMS.
• Die Erklärung zur Anwendbarkeit (SoA) enthält einen genau beschriebenen Zertifizierungsgegenstand und eine Darstellung der Schnittstellen bzw. Übergänge zu anderen Systemen und Organisationen.
• Ein vollständiges Zertifizierungsgutachten (d.h. der Audit-Bericht und nicht nur die Zertifizierungsurkunde) liegt vor.
01.11.2013 Beispieltext Vortragsthema04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
ISO 27001 vs. DSGVOControls zum Datenschutz
• Abs. 4.2 – Verstehen der Erfordernisse und Erwartungen interessierter Parteien
• Abs. 6.1.2 - Informationssicherheitsrisikobeurteilung• A.7.1.2 - Beschäftigungs- und Vertragsbedingungen• A.11 - Physische und umgebungsbezogene Sicherheit• A.13 – Kommunikationssicherheit• A.14.3.1 - Schutz von Testdaten• A.15.2.1 – Überwachung und Überprüfung von
Lieferantendienstleistungen• A.18.1.1 – Bestimmung der anwendbaren Gesetzgebung und der
vertraglichen Anforderungen
01.11.2013 Beispieltext Vortragsthema04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
ISO/IEC 27001 – Abs. 4.2Verstehen der Erfordernisse und Erwartungen interessierter Parteien
• Mit der DSGVO müssen z.B. erheblich erweiterte Meldepflichten bei Datenschutzverletzungen erfüllt werden.
• Finanzielle Risiken durch Bußgelder• Strafrechtliche Konsequenzen• Reputationsverluste
Werden die Datenschutzaufsichtsbehörden als interessierte Parteien genannt und wurden ihre Anforderungen analysiert?
01.11.2013 Beispieltext Vortragsthema04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
ISO/IEC 27001 – Abs. 6.1.2 Informationssicherheitsrisikobeurteilung
DSGVO - Datenschutzfolgeabschätzung:
• Beschreibung der geplanten Verarbeitungsvorgänge und -zwecke, ggf. einschl. der von dem Verantwortlichen verfolgten berechtigten Interessen
• Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
Verarbeitungsverzeichnis
• Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
Das lässt sich in jede ordentliche Risikoanalyse (z.B. ISO 27005 / 29134 / 31000, BSI Standard 100/200-3) einbauen. Die über die drei Primärschutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) hinausgehenden Datenschutzziele müssen identifiziert und methodisch dann gleich behandelt werden.
Wurden die Anforderungen der Datenschutzfolgeabschätzung in der Risikoanalyse berücksichtigt?
01.11.2013 Beispieltext Vortragsthema04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
ISO/IEC 27001 – A.7.1.2Beschäftigungs- und Vertragsbedingungen
Unter diesem Aspekt fallen z.B. folgende Themen:
• Verschwiegenheits- bzw. Vertraulichkeitsverpflichtungen• Schulungen bzw. Awareness-Maßnahmen
• für interne Mitarbeitende• aber auch für externe Auftragnehmer
• vertragliche Vereinbarungen• mit Beschäftigten• und Auftragnehmern/-gebern (AV-Verträge)
Sind (geteilte) Verantwortlichkeiten insbesondere hinsichtlich des Datenschutzes festgelegt? Werden neue Beschäftigte möglicherweise noch auf § 5 BDSG alt verpflichtet? Verarbeitungsverzeichnis als AN?
01.11.2013 Beispieltext Vortragsthema04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
ISO/IEC 27001 – A.11Physische und umgebungsbezogene Sicherheit
Regelmäßig wird ein Großteil der TOMs aus dem Bereich A.11 bei einem erfolgreichem Zertifizierungsaudit nach ISO/IEC 27001 erfüllt sein.
Insbesondere in den Bereichen• Zutritts-, Zugangs- und Zugriffskontrolle• Monitoring• Protokollierung• umgebungsbezogener physischer Schutzwerden die Anforderungen, die sich aus der DSGVO ergeben, als umgesetzt gelten können.
Sind die umgesetzten technischen und organisatorischen Maßnahmen zur Umgebungssicherheit geeignet, den Datenschutz zu gewährleisten?
01.11.2013 Beispieltext Vortragsthema04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
ISO/IEC 27001 – A.13Kommunikationssicherheit
Dieser Normaspekt fordert die Sicherstellung des Schutzes von Information in Netzwerken und den unterstützenden informationsverarbeitenden Einrichtungen.
Damit entspricht er im Wesentlichen den Anforderungen des datenschutzrechtlichen Aspekts der Transportkontrolle.
Sind Informationsdienste, Benutzer und Informationssysteme in Netzwerken angemessen voneinander getrennt? Werden Netzwerke angemessen überwacht, verwaltet und gesteuert?
01.11.2013 Beispieltext Vortragsthema04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
ISO/IEC 27001 – A.14.3.1Schutz von Testdaten
• Der Einsatz von personenbezogenen Echtdaten bei Tests war datenschutzrechtlich schon immer problematisch.
• Die Erhebung personenbezogener Daten darf nur zweckgebunden erfolgen und erfordert vorherige Einwilligung der betroffenen Personen.
Die Einwilligung zur Verwendung der erhobenen Daten zu Testzwecken wird jedoch in den meisten Fällen weder abgefragt noch erteilt worden sein. Sollten personenbezogene Echtdaten legitimer Weise zu Testzwecken zum Einsatz kommen, ist darauf zu achten, dass die erforderlichen Sicherheitsmaßnahmen von Testsystemen, die von Produktivsystemen nicht unterschreiten.
Wurden Maßnahmen zur Pseudonymisierung oder Anonymisierung umgesetzt? Wurden die Daten minimiert? Wurde die ggf. notwendige Einwilligung der betroffenen Personen vorher eingeholt und dokumentiert? Werden personenbezogene Daten in Testsystemen durch technische und organisatorische Maßnahmen angemessen geschützt?
01.11.2013 Beispieltext Vortragsthema04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
ISO/IEC 27001 – A.15.2.1Überwachung und Überprüfung von Lieferanten
• Die ISO 27001 fordert, dass Organisationen die Dienstleistungserbringung durch Lieferanten hinsichtlich Informationssicherheit regelmäßig überwachen, überprüfen und auditieren.
• Auch das BDSG alt forderte dies im Zusammenhang mit Auftragsdatenverarbeitungsverhältnissen.
• Die ISO/IEC 27001 geht an dieser Stelle jedoch über die Forderungen der DSGVO hinaus, da die DSGVO mit Art. 28 lediglich eine Unterstützungspflicht durch den Auftragnehmer vorsieht, jedoch keine explizite Prüfpflicht durch den Auftraggeber. Diese ergibt sich aus der DSGVO nur indirekt.
• Gleichwohl sind auch hier Kontrollen gemäß Art. 5 DSGVO nachzuweisen.
Werden Auftragsverarbeiter regelmäßig hinsichtlich der Einhaltung der datenschutzrechtlichen und vertraglichen Anforderungen geprüft?
01.11.2013 Beispieltext Vortragsthema04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
ISO/IEC 27001 – A.18.1.1Bestimmung der anwendbaren Gesetzgebung und der vertraglichen Anforderungen
• Welche Gesetzgebung zum Datenschutz ist einschlägig?• DSGVO, Bundes- oder Landesdatenschutzgesetze?• Gibt es die Verpflichtung zur Bestellung eines
Datenschutzbeauftragten?• Liegen entsprechende Fachkompetenznachweise vor?• Wurden Meldepflichten in den Ablaufprozessen berücksichtigt?• Enthalten die Verträge zu Auftragsverarbeitungsverhältnissen alle
relevanten Angaben?• Ist der Auftragnehmer verpflichtet, ein Verarbeitungsverzeichnis
inklusive der Verarbeitungsvorgänge des Auftraggebers zu führen (geteilte Verantwortlichkeit)?
• etc…• pp…
01.11.2013 Beispieltext Vortragsthema04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
ISO/IEC 27001 – A.18.1.4Privatsphäre und Schutz personenbezogener Informationen
• Hierunter dürften sich die meisten Überschneidungen mit der DSGVO ergeben, deren Schutzzweck sich ebenfalls auf den Schutz personenbezogener Informationen bezieht.
• Es können nahezu beliebige länderspezifische datenschutzrechtliche Vorgaben Berücksichtigung finden und vom Auditor abgeprüft werden.
Welche personenbezogenen Daten verarbeitet die Organisation? Ist sich die Organisation überhaupt darüber bewusst, dass es solche Informationen verarbeitet? Wurden diese Daten in die Risikoüberlegungen einbezogen? Wie sind diese Daten geschützt? Wie verhält es sich mit einem immer kritischen Drittstaatentransfer der Daten? Welche länderspezifischen rechtlichen Vorgaben (DSGVO!) müssen berücksichtigt werden?
01.11.2013 Beispieltext Vortragsthema
Fazit - ein Jahr nach Anwendung der DSGVO
• Keine offiziellen Zertifikate• keine belastbaren Erfahrungen im Umgang der
Datenschutzaufsichtsbehörden mit ISO/IEC 27001-Zertifikaten• Prüfpflichten können nicht erfüllt werden• Erhebliche Unsicherheit in der Wirtschaft (Rechenschaftspflicht)• Mehrwert für Betroffene?• Auswirkungen auf Datensauger?• Realität (insb. Videoüberwachung )
04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
01.11.2013 Beispieltext Vortragsthema
Terminhinweis: Verleihung Big Brother Awards
https://bigbrotherawards.de/
04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
01.11.2013 Beispieltext Vortragsthema
Vielen Dank für die Aufmerksamkeit!
Diskussion/Fragen?
datenschutz cert GmbHKonsul-Smidt-Straße 88a28217 BremenTel.: 0421 69 66 32 50office@datenschutz-cert.dewww.datenschutz-cert.de
Kai OsterhageBereichsleiter/Lead AuditorISO 27001
Telefon: 0421 69 66 32 556kosterhage@datenschutz-cert.de
04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO
Von Kai Osterhage
ISO/IEC 27001 vs. DSGVO
Die bereits seit Mai letzten Jahres in allen Mitgliedstaaten Europas umzusetzende Datenschutz-
Grundverordnung (DSGVO) sieht in ihrem Art. 42 ähnlich wie im alten Bundesdatenschutzgesetz eine
Zertifizierung vor. Nach wie vor gibt es in Deutschland allerdings keine akkreditierten Stellen, die ein
anerkanntes Zertifikat zum Datenschutz nach Art. 42 DSGVO erteilen dürfen. Warum das so ist,
wurde bereits an anderer Stelle dargestellt (https://www.datenschutz-notizen.de/zertifizierungen-
gemaess-dsgvo-0021733/ und https://www.datenschutz-notizen.de/zertifizierungen-gemaess-dsgvo-
2-2622667/). Aus diesem Grund stellt sich die Frage, welche Alternative eventuell zur Erfüllung der
Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO hilfreich sein könnte. Es ist naheliegend, sich näher mit
der Zertifizierungsnorm ISO/IEC 27001 zu beschäftigen, nach der ein strukturiertes
Informationssicherheitsmanagementsystem nachgewiesen werden kann, welches auch Compliance-
Aspekte bzw. den Datenschutz berücksichtigt.
Aber wie verhalten sich ISO/IEC 27001 und die DSGVO zueinander? Erwachsen einer Organisation
Vorteile aus einer bestehenden ISO/IEC 27001-Zertifizierung im Hinblick auf (künftige)
Zertifizierungen nach Art. 42 DSGVO oder im Hinblick auf die Rechenschaftspflicht nach Art. 5 Abs. 2
DSGVO? Welche Vorteile bringt in diesem Zusammenhang eine Erweiterung auf ISO/IEC 27018
(Datenschutz in Cloud-Systemen)?
ISO/IEC 27001
Um diese Fragen zu beantworten, ist zunächst ein genauerer Blick auf die ISO/IEC 27001 erforderlich
und hilfreich. Mit dieser Norm werden Managementsysteme zur Informationssicherheit betrachtet
und zertifiziert. In diese Managementsysteme müssen auch Aspekte des Datenschutzes mit
aufgenommen werden. Die ISO/IEC 27001 betrachtet das Thema Datenschutz jedoch aus einer
übergeordneten Sicht als Teilaspekt des Themenbereichs Compliance. Da ISO-Normen international
gelten, müssen alle möglichen länderspezifischen rechtlichen Vorgaben berücksichtigen werden, was
im Rahmen einer ISO-Norm nur generisch dargestellt werden kann. Spezifische europäische oder
deutsche Vorgaben werden deshalb weder durch die ISO/IEC 27001 abgebildet, noch durch die
Erweiterungen ISO/IEC 27018, die Handlungsempfehlungen zum Datenschutz in Cloud-Systemen
darstellt. Auch dieses Thema wird in einem weiteren Artikel in diesem Blog beleuchtet werden.
Managementsystem vs. Datenverarbeitungsvorgang
Die ISO/IEC 27001 ist keine anerkannte Zertifizierungsnorm im Sinne des Art. 43 DSGVO. Für Stellen,
die ISO/IEC 27001-Zertifikate erteilen, gilt als Akkreditierungsvoraussetzung u.a. die Erfüllung der
ISO/IEC 17021-1. Diese Norm formuliert Anforderungen an Zertifizierungsstellen, die
Managementsysteme (z.B. ISO/IEC 27001 oder auch ISO/IEC 9001) auditieren und zertifizieren.
Im Gegensatz dazu fordert die DSGVO für Stellen, die Datenschutzzertifikate nach Art. 42 DSGVO
ausstellen wollen, eine Erfüllung der ISO/IEC 17065. Diese formuliert Anforderungen an Stellen, die
Zertifizierungen von Produkten, Prozessen und Dienstleistungen anbietet. Der
Zertifizierungsgegenstand selbst ist immer ein Datenverarbeitungsvorgang.
Eine Zertifizierung nach ISO/IEC 27001 ist also keine Zertifizierung von
Datenverarbeitungsvorgängen, sondern von Managementsystemen. Die Datenschutzkonferenz
kommt in ihren „Anforderungen zur Akkreditierung gemäß Art. 43 Abs. 3 DSGVO i.V.m. DIN EN
ISO/IEC 17065“ vom 28.08.2018 zu diesem Ergebnis: „Managementsysteme [sind] für die Steuerung
von Datenverarbeitungsvorgängen als Gegenstand der Zertifizierung ausgeschlossen.“
Managementsysteme finden lediglich unter bestimmten Bedingungen als Teil eines
Zertifizierungsmechanismus Berücksichtigung (siehe dazu unten).
Dennoch gibt es eine Reihe von Anforderungen im Bereich der ISO/IEC 27001, die den Datenschutz
betreffen. Und so liegt es letztlich also im Ermessen des Auditors, welche länderspezifischen
Datenschutz-Aspekte Gegenstand eines zeitlich begrenzten ISO/IEC 27001-Audits mit
Stichprobencharakter sind und ob die umgesetzten Maßnahmen zum Datenschutz ausreichen.
Was soll denn nun geprüft werden?
Als Empfehlung sollten bei einem nativen ISO/IEC 27001-Audit mindestens die folgenden Prüfpunkte
zur DSGVO Berücksichtigung finden. Diese Auflistung erhebt keinen Anspruch auf Vollständigkeit,
enthält aber einige mögliche Prüffragen, die während eines Audits betrachtet werden könnten:
ISO/IEC 27001 – Abs. 4.2 – Verstehen der Erfordernisse und Erwartungen interessierter Parteien
Die Norm fordert, dass die Organisation die interessierten Parteien bestimmt, die für ihr
Informationssicherheitsmanagementsystem relevant sind und die Anforderungen dieser
interessierten Parteien mit Bezug zur Informationssicherheit berücksichtigt. Mit der DSGVO müssen
erheblich erweiterte Meldepflichten bei Datenschutzverletzungen erfüllt werden.
Werden die Datenschutzaufsichtsbehörden als interessierte Parteien genannt und wurden ihre
Anforderungen analysiert?
ISO/IEC 27001 – 6.1.2 – Informationssicherheitsrisikobeurteilung
In welchem Verhältnis klassische Risikoanalysen nach ISO/IEC 27005 oder dem BSI-Standard 200-3
zur Datenschutzfolgeabschätzung nach DSGVO stehen, wird demnächst detailliert in einem weiteren
Artikel in diesem Blog beleuchtet werden, da dies den Rahmen dieses Artikels sprengen würde.
Dennoch sollen die wichtigsten Anforderungen der in bestimmten Anwendungsfällen geforderten
Datenschutzfolgeabschätzung hier genannt sein, mit der eine klassische Risikoanalyse im Hinblick auf
die DSGVO ergänzt werden sollte:
• Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der
Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten
berechtigten Interessen. Diese Beschreibungen könnten auch in das
Verarbeitungsverzeichnis aufgenommen werden.
• Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in
Bezug auf den Zweck. Auch diese Bewertung könnte in das Verarbeitungsverzeichnis
aufgenommen werden.
• Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen. Hier
bietet es sich an, eine entsprechende Bewertung in die Risikoanalyse des
Informationssicherheitsmanagements in Form der über die drei Primärschutzziele
hinausgehenden datenschutzgetriebenen Anforderungen (z.B. Belastbarkeit der Systeme und
Dienste oder Trennbarkeit) aufzunehmen. Faktisch läuft das auf die Aufnahme einer
zusätzlichen Spalte in der Risikoanalyse hinaus. Der Aufwand dazu scheint überschaubar.
Wurden die Anforderungen der Datenschutzfolgeabschätzung in der Risikoanalyse berücksichtigt?
ISO/IEC 27001 – A.7.1.2 – Beschäftigungs- und Vertragsbedingungen
Unter diesem Aspekt sollen Themen wie Verschwiegenheits- bzw. Vertraulichkeitsverpflichtungen,
aber auch Schulungen bzw. Awareness-Maßnahmen für interne Mitarbeitende aber auch für externe
Auftragnehmer beleuchtet werden.
Sind in den vertraglichen Vereinbarungen mit Beschäftigten und Auftragnehmern deren
Verantwortlichkeiten und diejenigen der Organisation insbesondere hinsichtlich des Datenschutzes
festgelegt? Werden neue Beschäftigte möglicherweise noch auf § 5 BDSG alt verpflichtet?
ISO/IEC 27001 – A.11 – Physische und umgebungsbezogene Sicherheit
Regelmäßig wird ein Großteil der technischen und organisatorischen Maßnahmen aus diesem
Bereich bei einem erfolgreichem Zertifizierungsaudit nach ISO/IEC 27001 erfüllt sein. Insbesondere
im Bereich der Zutritts-, Zugangs- und Zugriffskontrolle sowie des Monitorings, der Protokollierung
und des umgebungsbezogenen physischen Schutzes werden die Anforderungen, die sich aus der
DSGVO ergeben, in vielen Fällen als umgesetzt gelten können.
Sind die umgesetzten technischen und organisatorischen Maßnahmen zur Umgebungssicherheit
geeignet, den Datenschutz zu gewährleisten?
ISO/IEC 27001 – A.13 – Kommunikationssicherheit
Dieser Normaspekt fordert die Sicherstellung des Schutzes von Information in Netzwerken und den
unterstützenden informationsverarbeitenden Einrichtungen. Damit entspricht er im Wesentlichen
den Anforderungen des datenschutzrechtlichen Aspekts der Transportkontrolle.
Sind Informationsdienste, Benutzer und Informationssysteme in Netzwerken angemessen
voneinander getrennt? Werden Netzwerke angemessen überwacht, verwaltet und gesteuert?
ISO/IEC 27001 – A.14.3.1 – Schutz von Testdaten
Der Einsatz von personenbezogenen Echtdaten bei Tests ist datenschutzrechtlich schon immer
problematisch gewesen. Die Erhebung personenbezogener Daten darf nur zweckgebunden erfolgen
und erfordert die vorherige Einwilligung der betroffenen Personen. Die Einwilligung zur Verwendung
der erhobenen Daten zu Testzwecken wird jedoch in den meisten Fällen weder abgefragt noch erteilt
worden sein. Sollten personenbezogene Echtdaten zu Testzwecken zum Einsatz kommen, ist darauf
zu achten, dass die erforderlichen Sicherheitsmaßnahmen von Testsystemen, die von
Produktivsystemen nicht unterschreiten.
Wurden Maßnahmen zur Pseudonymisierung oder Anonymisierung umgesetzt? Wurden die Daten
minimiert? Wurde die ggf. notwendige Einwilligung der betroffenen Personen vorher eingeholt und
dokumentiert? Werden personenbezogene Daten in Testsystemen durch technische und
organisatorische Maßnahmen angemessen geschützt?
ISO/IEC 27001 – A.15.2.1 – Überwachung und Überprüfung von Lieferantendienstleistungen
Generell wird von der Norm gefordert, dass Organisationen die Dienstleistungserbringung durch
Lieferanten hinsichtlich Informationssicherheit regelmäßig überwachen, überprüfen und auditieren.
Auch das alte BDSG forderte dies im Zusammenhang mit Auftragsdatenverarbeitungsverhältnissen.
Die ISO/IEC 27001 geht an dieser Stelle jedoch über die Forderungen der DSGVO hinaus, da die
DSGVO mit Art. 28 lediglich eine Unterstützungspflicht durch den Auftragnehmer vorsieht, jedoch
keine explizite Prüfpflicht durch den Auftraggeber. Diese ergibt sich aus der DSGVO nur indirekt.
Gleichwohl sind auch hier Kontrollen gemäß Art. 5 DSGVO nachzuweisen.
ISO/IEC 27001 – A.18.1.1 – Bestimmung der anwendbaren Gesetzgebung und der vertraglichen
Anforderungen
Welche Gesetzgebung zum Datenschutz ist einschlägig? DSGVO, Bundes- oder
Landesdatenschutzgesetze? Gibt es die Verpflichtung zur Bestellung eines Datenschutzbeauftragten?
Liegen entsprechende Fachkompetenznachweise vor? Wurden Meldepflichten in den Ablaufprozessen
berücksichtigt? Enthalten die Verträge zu Auftragsverarbeitungsverhältnissen alle relevanten
Angaben? Ist der Auftragnehmer verpflichtet, ein Verarbeitungsverzeichnis inklusive der
Verarbeitungsvorgänge des Auftraggebers zu führen?
ISO/IEC 27001 – A.18.1.4 – Privatsphäre und Schutz personenbezogener Informationen
Hierunter dürften sich die meisten Überschneidungen mit der DSGVO ergeben, deren Schutzzweck
sich ebenfalls auf den Schutz personenbezogener Informationen bezieht. Es können nahezu beliebige
länderspezifische datenschutzrechtliche Vorgaben Berücksichtigung finden und vom Auditor
abgeprüft werden.
Welche personenbezogenen Daten verarbeitet die Organisation? Ist sich die Organisation überhaupt
darüber bewusst, dass es solche Informationen verarbeitet? Wurden diese Daten in die
Risikoüberlegungen einbezogen? Wie sind diese Daten geschützt? Wie verhält es sich mit einem
immer kritischen Drittstaatentransfer der Daten?
Erfüllungsgehilfe der Rechenschaftspflicht
Informationssicherheit stellt eine der Grundsäulen für den Datenschutz dar. Eine Zertifizierung nach
ISO/IEC 27001, mit der ein funktionierendes und strukturiertes Informationssicherheitsmanagement
nachgewiesen werden kann, sollte abhängig von den konkret geprüften Anforderungen und unter
Berücksichtigung der folgenden Punkte durchaus eine Hilfe bei der Erfüllung der Rechenschaftspflicht
aus Art. 5 Abs. 2 DSGVO sein:
• Der im Rahmen der DSGVO zu berücksichtigende Datenverarbeitungsvorgang ist Bestandteil
des Geltungsbereichs des nach ISO/IEC 27001 zertifizierten
Informationsmanagementsystems.
• Die Erklärung zur Anwendbarkeit enthält einen genau beschriebenen
Zertifizierungsgegenstand und eine Darstellung der Schnittstellen bzw. Übergänge zu
anderen Systemen und Organisationen.
• Ein vollständiges Zertifizierungsgutachten (d.h. der Audit-Bericht und nicht nur die
Zertifizierungsurkunde) liegt vor.
Gestützt wird dies durch die Datenschutzkonferenz in den „Anforderungen zur Akkreditierung gemäß
Art. 43 Abs. 3 DSGVO i.V.m. DIN EN ISO/IEC 17065“ vom 28.08.2018: „Andere durch eine akkreditierte
Zertifizierungsstelle erteilte Zertifizierungen als solche nach Art. 42 DSGVO (z.B. ISO-Zertifizierungen)
können […] einen Faktor für die Konformität [nach DSGVO] darstellen und als solche im Rahmen der
Zertifizierung beachtet werden.“
Tatsächlich gibt es jedoch auch fast ein Jahr nach Anwendung der DSGVO keine belastbaren
Erfahrungen im Umgang der Datenschutzaufsichtsbehörden mit ISO/IEC 27001-Zertifikaten. Die
Eingangs gestellte Frage, ob eine ISO/IEC 27001-Zertifizierung also bei der Erfüllung der
Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO hilft, muss also mit einem entschiedenen „Es kommt
darauf an“ beantwortet werden.
Recommended