Kai Osterhage ISO 27001 vs. DSGVO · 01.11.2013 Beispieltext Vortragsthema ISO 27001 vs. DSGVO 04.06.2019 DuD2019 -ISO 27001 vs. DSGVO. 01.11.2013 Beispieltext Vortragsthema. 01.11.2013

01.11.2013 Beispieltext Vortragsthema

Kai Osterhage

ISO 27001 vs. DSGVO

04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO


Wer steht vor Ihnen?

Kai Osterhage

• Bereichsleiter/Lead Auditor ISO 27001

• §8a BSIG

• §11 EnWG

• Kritis

Hintergrund:

• operativer Betrieb RZ KH - AK Datenschutz der Berl. KH beim BfDIBerlin

• CISO in Berliner AöR (Grundschutz), behördlicher DSB, Risikomanagement

• Beratung ISMS & Datenschutz

04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO


Inwiefern entspricht die Datenschutzfolgeabschätzungder Risikoanalyse?

04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO


ISO 27001 vs. DSGVO

04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO



§9a BDSG alte Fassung

§9a Datenschutzaudit

„Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt.“

04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO


Was war…

Zertifizierer mit proprietären Zertifikaten

• ULD• EuroPriSe• …• …

• §11 BDSG alt (Auftragsdatenverarbeitung)• §80 SGB X (Auftragsdatenverarbeitung)

04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO


Was wird…

???

04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO


DSGVO Art. 43 Abs. 1

04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO

„Die Mitgliedstaaten stellen sicher, dass diese Zertifizierungsstellen von einer oder beiden der folgenden Stellen akkreditiert werden:

a) der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde;

b) der nationalen Akkreditierungsstelle, die gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates im Einklang mit EN-ISO/IEC 17065/2012 und mit den zusätzlichen von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde festgelegten Anforderungen benannt wurde.“


DSGVO Art. 5 Abs. 2

04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO

„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“

Aber wie???


Alisha Gühr, 23.05.2019

04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO

01.11.2013 Beispieltext Vortragsthema04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO

01.11.2013 Beispieltext Vortragsthema02.06.2019


Bug Workaround


Lösungsansätze

• Cloudbereich:• ISO 27018

• nicht mit DSGVO harmonisiert• referenziert auf ISO 27001/2

• BSI C5• wenig verbreitet in Privatwirtschaft• auch nicht wirklich mit DSGVO harmonisiert

• Forschungsprojekt AUDITOR Cloud in Arbeit• ISO 29134 (lediglich Datenschutzfolgeabschätzung)• ISO 27001 ISMS

• ISO 27001 betrachtet Managementprozesse• DSGVO betrachtet hingegen Verarbeitungsvorgänge• ISO/IEC 27001 ist keine anerkannte Zertifizierungsnorm im

Sinne des Art. 43 DSGVO• DSK definiert Voraussetzungen zur Anerkennung• sehr verbreitet


Was sagt die DSK?

Datenschutzkonferenz in den „Anforderungen zur Akkreditierung gemäß Art. 43 Abs. 3 DSGVO i.V.m. DIN EN ISO/IEC 17065“ vom 28.08.2018:

„Andere durch eine akkreditierte Zertifizierungsstelle erteilte Zertifizierungen als solche nach Art. 42 DSGVO (z.B. ISO-Zertifizierungen) können […] einen Faktor für die Konformität [nach DSGVO] darstellen und als solche im Rahmen der Zertifizierung beachtet werden.“


Was sagt die DSK?

Voraussetzungen:

• Der im Rahmen der DSGVO zu berücksichtigende Datenverarbeitungsvorgang ist Bestandteil des Geltungsbereichs des nach ISO/IEC 27001 zertifizierten ISMS.

• Die Erklärung zur Anwendbarkeit (SoA) enthält einen genau beschriebenen Zertifizierungsgegenstand und eine Darstellung der Schnittstellen bzw. Übergänge zu anderen Systemen und Organisationen.

• Ein vollständiges Zertifizierungsgutachten (d.h. der Audit-Bericht und nicht nur die Zertifizierungsurkunde) liegt vor.


ISO 27001 vs. DSGVOControls zum Datenschutz

• Abs. 4.2 – Verstehen der Erfordernisse und Erwartungen interessierter Parteien

• Abs. 6.1.2 - Informationssicherheitsrisikobeurteilung• A.7.1.2 - Beschäftigungs- und Vertragsbedingungen• A.11 - Physische und umgebungsbezogene Sicherheit• A.13 – Kommunikationssicherheit• A.14.3.1 - Schutz von Testdaten• A.15.2.1 – Überwachung und Überprüfung von

Lieferantendienstleistungen• A.18.1.1 – Bestimmung der anwendbaren Gesetzgebung und der

vertraglichen Anforderungen


ISO/IEC 27001 – Abs. 4.2Verstehen der Erfordernisse und Erwartungen interessierter Parteien

• Mit der DSGVO müssen z.B. erheblich erweiterte Meldepflichten bei Datenschutzverletzungen erfüllt werden.

• Finanzielle Risiken durch Bußgelder• Strafrechtliche Konsequenzen• Reputationsverluste

Werden die Datenschutzaufsichtsbehörden als interessierte Parteien genannt und wurden ihre Anforderungen analysiert?


ISO/IEC 27001 – Abs. 6.1.2 Informationssicherheitsrisikobeurteilung

DSGVO - Datenschutzfolgeabschätzung:

• Beschreibung der geplanten Verarbeitungsvorgänge und -zwecke, ggf. einschl. der von dem Verantwortlichen verfolgten berechtigten Interessen

• Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck

Verarbeitungsverzeichnis

• Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen

Das lässt sich in jede ordentliche Risikoanalyse (z.B. ISO 27005 / 29134 / 31000, BSI Standard 100/200-3) einbauen. Die über die drei Primärschutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) hinausgehenden Datenschutzziele müssen identifiziert und methodisch dann gleich behandelt werden.

Wurden die Anforderungen der Datenschutzfolgeabschätzung in der Risikoanalyse berücksichtigt?


ISO/IEC 27001 – A.7.1.2Beschäftigungs- und Vertragsbedingungen

Unter diesem Aspekt fallen z.B. folgende Themen:

• Verschwiegenheits- bzw. Vertraulichkeitsverpflichtungen• Schulungen bzw. Awareness-Maßnahmen

• für interne Mitarbeitende• aber auch für externe Auftragnehmer

• vertragliche Vereinbarungen• mit Beschäftigten• und Auftragnehmern/-gebern (AV-Verträge)

Sind (geteilte) Verantwortlichkeiten insbesondere hinsichtlich des Datenschutzes festgelegt? Werden neue Beschäftigte möglicherweise noch auf § 5 BDSG alt verpflichtet? Verarbeitungsverzeichnis als AN?


ISO/IEC 27001 – A.11Physische und umgebungsbezogene Sicherheit

Regelmäßig wird ein Großteil der TOMs aus dem Bereich A.11 bei einem erfolgreichem Zertifizierungsaudit nach ISO/IEC 27001 erfüllt sein.

Insbesondere in den Bereichen• Zutritts-, Zugangs- und Zugriffskontrolle• Monitoring• Protokollierung• umgebungsbezogener physischer Schutzwerden die Anforderungen, die sich aus der DSGVO ergeben, als umgesetzt gelten können.

Sind die umgesetzten technischen und organisatorischen Maßnahmen zur Umgebungssicherheit geeignet, den Datenschutz zu gewährleisten?


ISO/IEC 27001 – A.13Kommunikationssicherheit

Dieser Normaspekt fordert die Sicherstellung des Schutzes von Information in Netzwerken und den unterstützenden informationsverarbeitenden Einrichtungen.

Damit entspricht er im Wesentlichen den Anforderungen des datenschutzrechtlichen Aspekts der Transportkontrolle.

Sind Informationsdienste, Benutzer und Informationssysteme in Netzwerken angemessen voneinander getrennt? Werden Netzwerke angemessen überwacht, verwaltet und gesteuert?


ISO/IEC 27001 – A.14.3.1Schutz von Testdaten

• Der Einsatz von personenbezogenen Echtdaten bei Tests war datenschutzrechtlich schon immer problematisch.

• Die Erhebung personenbezogener Daten darf nur zweckgebunden erfolgen und erfordert vorherige Einwilligung der betroffenen Personen.

Die Einwilligung zur Verwendung der erhobenen Daten zu Testzwecken wird jedoch in den meisten Fällen weder abgefragt noch erteilt worden sein. Sollten personenbezogene Echtdaten legitimer Weise zu Testzwecken zum Einsatz kommen, ist darauf zu achten, dass die erforderlichen Sicherheitsmaßnahmen von Testsystemen, die von Produktivsystemen nicht unterschreiten.

Wurden Maßnahmen zur Pseudonymisierung oder Anonymisierung umgesetzt? Wurden die Daten minimiert? Wurde die ggf. notwendige Einwilligung der betroffenen Personen vorher eingeholt und dokumentiert? Werden personenbezogene Daten in Testsystemen durch technische und organisatorische Maßnahmen angemessen geschützt?


ISO/IEC 27001 – A.15.2.1Überwachung und Überprüfung von Lieferanten

• Die ISO 27001 fordert, dass Organisationen die Dienstleistungserbringung durch Lieferanten hinsichtlich Informationssicherheit regelmäßig überwachen, überprüfen und auditieren.

• Auch das BDSG alt forderte dies im Zusammenhang mit Auftragsdatenverarbeitungsverhältnissen.

• Die ISO/IEC 27001 geht an dieser Stelle jedoch über die Forderungen der DSGVO hinaus, da die DSGVO mit Art. 28 lediglich eine Unterstützungspflicht durch den Auftragnehmer vorsieht, jedoch keine explizite Prüfpflicht durch den Auftraggeber. Diese ergibt sich aus der DSGVO nur indirekt.

• Gleichwohl sind auch hier Kontrollen gemäß Art. 5 DSGVO nachzuweisen.

Werden Auftragsverarbeiter regelmäßig hinsichtlich der Einhaltung der datenschutzrechtlichen und vertraglichen Anforderungen geprüft?


ISO/IEC 27001 – A.18.1.1Bestimmung der anwendbaren Gesetzgebung und der vertraglichen Anforderungen

• Welche Gesetzgebung zum Datenschutz ist einschlägig?• DSGVO, Bundes- oder Landesdatenschutzgesetze?• Gibt es die Verpflichtung zur Bestellung eines

Datenschutzbeauftragten?• Liegen entsprechende Fachkompetenznachweise vor?• Wurden Meldepflichten in den Ablaufprozessen berücksichtigt?• Enthalten die Verträge zu Auftragsverarbeitungsverhältnissen alle

relevanten Angaben?• Ist der Auftragnehmer verpflichtet, ein Verarbeitungsverzeichnis

inklusive der Verarbeitungsvorgänge des Auftraggebers zu führen (geteilte Verantwortlichkeit)?

• etc…• pp…


ISO/IEC 27001 – A.18.1.4Privatsphäre und Schutz personenbezogener Informationen

• Hierunter dürften sich die meisten Überschneidungen mit der DSGVO ergeben, deren Schutzzweck sich ebenfalls auf den Schutz personenbezogener Informationen bezieht.

• Es können nahezu beliebige länderspezifische datenschutzrechtliche Vorgaben Berücksichtigung finden und vom Auditor abgeprüft werden.

Welche personenbezogenen Daten verarbeitet die Organisation? Ist sich die Organisation überhaupt darüber bewusst, dass es solche Informationen verarbeitet? Wurden diese Daten in die Risikoüberlegungen einbezogen? Wie sind diese Daten geschützt? Wie verhält es sich mit einem immer kritischen Drittstaatentransfer der Daten? Welche länderspezifischen rechtlichen Vorgaben (DSGVO!) müssen berücksichtigt werden?


Fazit - ein Jahr nach Anwendung der DSGVO

• Keine offiziellen Zertifikate• keine belastbaren Erfahrungen im Umgang der

Datenschutzaufsichtsbehörden mit ISO/IEC 27001-Zertifikaten• Prüfpflichten können nicht erfüllt werden• Erhebliche Unsicherheit in der Wirtschaft (Rechenschaftspflicht)• Mehrwert für Betroffene?• Auswirkungen auf Datensauger?• Realität (insb. Videoüberwachung )

04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO


Terminhinweis: Verleihung Big Brother Awards

https://bigbrotherawards.de/

04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO


Vielen Dank für die Aufmerksamkeit!

Diskussion/Fragen?

datenschutz cert GmbHKonsul-Smidt-Straße 88a28217 BremenTel.: 0421 69 66 32 [email protected]

Kai OsterhageBereichsleiter/Lead AuditorISO 27001

Telefon: 0421 69 66 32 [email protected]

04.06.2019 DuD 2019 - ISO 27001 vs. DSGVO

Von Kai Osterhage

ISO/IEC 27001 vs. DSGVO

Die bereits seit Mai letzten Jahres in allen Mitgliedstaaten Europas umzusetzende Datenschutz-

Grundverordnung (DSGVO) sieht in ihrem Art. 42 ähnlich wie im alten Bundesdatenschutzgesetz eine

Zertifizierung vor. Nach wie vor gibt es in Deutschland allerdings keine akkreditierten Stellen, die ein

anerkanntes Zertifikat zum Datenschutz nach Art. 42 DSGVO erteilen dürfen. Warum das so ist,

wurde bereits an anderer Stelle dargestellt (https://www.datenschutz-notizen.de/zertifizierungen-

gemaess-dsgvo-0021733/ und https://www.datenschutz-notizen.de/zertifizierungen-gemaess-dsgvo-

2-2622667/). Aus diesem Grund stellt sich die Frage, welche Alternative eventuell zur Erfüllung der

Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO hilfreich sein könnte. Es ist naheliegend, sich näher mit

der Zertifizierungsnorm ISO/IEC 27001 zu beschäftigen, nach der ein strukturiertes

Informationssicherheitsmanagementsystem nachgewiesen werden kann, welches auch Compliance-

Aspekte bzw. den Datenschutz berücksichtigt.

Aber wie verhalten sich ISO/IEC 27001 und die DSGVO zueinander? Erwachsen einer Organisation

Vorteile aus einer bestehenden ISO/IEC 27001-Zertifizierung im Hinblick auf (künftige)

Zertifizierungen nach Art. 42 DSGVO oder im Hinblick auf die Rechenschaftspflicht nach Art. 5 Abs. 2

DSGVO? Welche Vorteile bringt in diesem Zusammenhang eine Erweiterung auf ISO/IEC 27018

(Datenschutz in Cloud-Systemen)?

ISO/IEC 27001

Um diese Fragen zu beantworten, ist zunächst ein genauerer Blick auf die ISO/IEC 27001 erforderlich

und hilfreich. Mit dieser Norm werden Managementsysteme zur Informationssicherheit betrachtet

und zertifiziert. In diese Managementsysteme müssen auch Aspekte des Datenschutzes mit

aufgenommen werden. Die ISO/IEC 27001 betrachtet das Thema Datenschutz jedoch aus einer

übergeordneten Sicht als Teilaspekt des Themenbereichs Compliance. Da ISO-Normen international

gelten, müssen alle möglichen länderspezifischen rechtlichen Vorgaben berücksichtigen werden, was

im Rahmen einer ISO-Norm nur generisch dargestellt werden kann. Spezifische europäische oder

deutsche Vorgaben werden deshalb weder durch die ISO/IEC 27001 abgebildet, noch durch die

Erweiterungen ISO/IEC 27018, die Handlungsempfehlungen zum Datenschutz in Cloud-Systemen

darstellt. Auch dieses Thema wird in einem weiteren Artikel in diesem Blog beleuchtet werden.

Managementsystem vs. Datenverarbeitungsvorgang

Die ISO/IEC 27001 ist keine anerkannte Zertifizierungsnorm im Sinne des Art. 43 DSGVO. Für Stellen,

die ISO/IEC 27001-Zertifikate erteilen, gilt als Akkreditierungsvoraussetzung u.a. die Erfüllung der

ISO/IEC 17021-1. Diese Norm formuliert Anforderungen an Zertifizierungsstellen, die

Managementsysteme (z.B. ISO/IEC 27001 oder auch ISO/IEC 9001) auditieren und zertifizieren.

Im Gegensatz dazu fordert die DSGVO für Stellen, die Datenschutzzertifikate nach Art. 42 DSGVO

ausstellen wollen, eine Erfüllung der ISO/IEC 17065. Diese formuliert Anforderungen an Stellen, die

Zertifizierungen von Produkten, Prozessen und Dienstleistungen anbietet. Der

Zertifizierungsgegenstand selbst ist immer ein Datenverarbeitungsvorgang.

Eine Zertifizierung nach ISO/IEC 27001 ist also keine Zertifizierung von

Datenverarbeitungsvorgängen, sondern von Managementsystemen. Die Datenschutzkonferenz

kommt in ihren „Anforderungen zur Akkreditierung gemäß Art. 43 Abs. 3 DSGVO i.V.m. DIN EN

ISO/IEC 17065“ vom 28.08.2018 zu diesem Ergebnis: „Managementsysteme [sind] für die Steuerung

von Datenverarbeitungsvorgängen als Gegenstand der Zertifizierung ausgeschlossen.“

Managementsysteme finden lediglich unter bestimmten Bedingungen als Teil eines

Zertifizierungsmechanismus Berücksichtigung (siehe dazu unten).

Dennoch gibt es eine Reihe von Anforderungen im Bereich der ISO/IEC 27001, die den Datenschutz

betreffen. Und so liegt es letztlich also im Ermessen des Auditors, welche länderspezifischen

Datenschutz-Aspekte Gegenstand eines zeitlich begrenzten ISO/IEC 27001-Audits mit

Stichprobencharakter sind und ob die umgesetzten Maßnahmen zum Datenschutz ausreichen.

Was soll denn nun geprüft werden?

Als Empfehlung sollten bei einem nativen ISO/IEC 27001-Audit mindestens die folgenden Prüfpunkte

zur DSGVO Berücksichtigung finden. Diese Auflistung erhebt keinen Anspruch auf Vollständigkeit,

enthält aber einige mögliche Prüffragen, die während eines Audits betrachtet werden könnten:

ISO/IEC 27001 – Abs. 4.2 – Verstehen der Erfordernisse und Erwartungen interessierter Parteien

Die Norm fordert, dass die Organisation die interessierten Parteien bestimmt, die für ihr

Informationssicherheitsmanagementsystem relevant sind und die Anforderungen dieser

interessierten Parteien mit Bezug zur Informationssicherheit berücksichtigt. Mit der DSGVO müssen

erheblich erweiterte Meldepflichten bei Datenschutzverletzungen erfüllt werden.

Werden die Datenschutzaufsichtsbehörden als interessierte Parteien genannt und wurden ihre

Anforderungen analysiert?

ISO/IEC 27001 – 6.1.2 – Informationssicherheitsrisikobeurteilung

In welchem Verhältnis klassische Risikoanalysen nach ISO/IEC 27005 oder dem BSI-Standard 200-3

zur Datenschutzfolgeabschätzung nach DSGVO stehen, wird demnächst detailliert in einem weiteren

Artikel in diesem Blog beleuchtet werden, da dies den Rahmen dieses Artikels sprengen würde.

Dennoch sollen die wichtigsten Anforderungen der in bestimmten Anwendungsfällen geforderten

Datenschutzfolgeabschätzung hier genannt sein, mit der eine klassische Risikoanalyse im Hinblick auf

die DSGVO ergänzt werden sollte:

• Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der

Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten

berechtigten Interessen. Diese Beschreibungen könnten auch in das

Verarbeitungsverzeichnis aufgenommen werden.

• Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in

Bezug auf den Zweck. Auch diese Bewertung könnte in das Verarbeitungsverzeichnis

aufgenommen werden.

• Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen. Hier

bietet es sich an, eine entsprechende Bewertung in die Risikoanalyse des

Informationssicherheitsmanagements in Form der über die drei Primärschutzziele

hinausgehenden datenschutzgetriebenen Anforderungen (z.B. Belastbarkeit der Systeme und

Dienste oder Trennbarkeit) aufzunehmen. Faktisch läuft das auf die Aufnahme einer

zusätzlichen Spalte in der Risikoanalyse hinaus. Der Aufwand dazu scheint überschaubar.

Wurden die Anforderungen der Datenschutzfolgeabschätzung in der Risikoanalyse berücksichtigt?

ISO/IEC 27001 – A.7.1.2 – Beschäftigungs- und Vertragsbedingungen

Unter diesem Aspekt sollen Themen wie Verschwiegenheits- bzw. Vertraulichkeitsverpflichtungen,

aber auch Schulungen bzw. Awareness-Maßnahmen für interne Mitarbeitende aber auch für externe

Auftragnehmer beleuchtet werden.

Sind in den vertraglichen Vereinbarungen mit Beschäftigten und Auftragnehmern deren

Verantwortlichkeiten und diejenigen der Organisation insbesondere hinsichtlich des Datenschutzes

festgelegt? Werden neue Beschäftigte möglicherweise noch auf § 5 BDSG alt verpflichtet?

ISO/IEC 27001 – A.11 – Physische und umgebungsbezogene Sicherheit

Regelmäßig wird ein Großteil der technischen und organisatorischen Maßnahmen aus diesem

Bereich bei einem erfolgreichem Zertifizierungsaudit nach ISO/IEC 27001 erfüllt sein. Insbesondere

im Bereich der Zutritts-, Zugangs- und Zugriffskontrolle sowie des Monitorings, der Protokollierung

und des umgebungsbezogenen physischen Schutzes werden die Anforderungen, die sich aus der

DSGVO ergeben, in vielen Fällen als umgesetzt gelten können.

Sind die umgesetzten technischen und organisatorischen Maßnahmen zur Umgebungssicherheit

geeignet, den Datenschutz zu gewährleisten?

ISO/IEC 27001 – A.13 – Kommunikationssicherheit

Dieser Normaspekt fordert die Sicherstellung des Schutzes von Information in Netzwerken und den

unterstützenden informationsverarbeitenden Einrichtungen. Damit entspricht er im Wesentlichen

den Anforderungen des datenschutzrechtlichen Aspekts der Transportkontrolle.

Sind Informationsdienste, Benutzer und Informationssysteme in Netzwerken angemessen

voneinander getrennt? Werden Netzwerke angemessen überwacht, verwaltet und gesteuert?

ISO/IEC 27001 – A.14.3.1 – Schutz von Testdaten

Der Einsatz von personenbezogenen Echtdaten bei Tests ist datenschutzrechtlich schon immer

problematisch gewesen. Die Erhebung personenbezogener Daten darf nur zweckgebunden erfolgen

und erfordert die vorherige Einwilligung der betroffenen Personen. Die Einwilligung zur Verwendung

der erhobenen Daten zu Testzwecken wird jedoch in den meisten Fällen weder abgefragt noch erteilt

worden sein. Sollten personenbezogene Echtdaten zu Testzwecken zum Einsatz kommen, ist darauf

zu achten, dass die erforderlichen Sicherheitsmaßnahmen von Testsystemen, die von

Produktivsystemen nicht unterschreiten.

Wurden Maßnahmen zur Pseudonymisierung oder Anonymisierung umgesetzt? Wurden die Daten

minimiert? Wurde die ggf. notwendige Einwilligung der betroffenen Personen vorher eingeholt und

dokumentiert? Werden personenbezogene Daten in Testsystemen durch technische und

organisatorische Maßnahmen angemessen geschützt?

ISO/IEC 27001 – A.15.2.1 – Überwachung und Überprüfung von Lieferantendienstleistungen

Generell wird von der Norm gefordert, dass Organisationen die Dienstleistungserbringung durch

Lieferanten hinsichtlich Informationssicherheit regelmäßig überwachen, überprüfen und auditieren.

Auch das alte BDSG forderte dies im Zusammenhang mit Auftragsdatenverarbeitungsverhältnissen.

Die ISO/IEC 27001 geht an dieser Stelle jedoch über die Forderungen der DSGVO hinaus, da die

DSGVO mit Art. 28 lediglich eine Unterstützungspflicht durch den Auftragnehmer vorsieht, jedoch

keine explizite Prüfpflicht durch den Auftraggeber. Diese ergibt sich aus der DSGVO nur indirekt.

Gleichwohl sind auch hier Kontrollen gemäß Art. 5 DSGVO nachzuweisen.

ISO/IEC 27001 – A.18.1.1 – Bestimmung der anwendbaren Gesetzgebung und der vertraglichen

Anforderungen

Welche Gesetzgebung zum Datenschutz ist einschlägig? DSGVO, Bundes- oder

Landesdatenschutzgesetze? Gibt es die Verpflichtung zur Bestellung eines Datenschutzbeauftragten?

Liegen entsprechende Fachkompetenznachweise vor? Wurden Meldepflichten in den Ablaufprozessen

berücksichtigt? Enthalten die Verträge zu Auftragsverarbeitungsverhältnissen alle relevanten

Angaben? Ist der Auftragnehmer verpflichtet, ein Verarbeitungsverzeichnis inklusive der

Verarbeitungsvorgänge des Auftraggebers zu führen?

ISO/IEC 27001 – A.18.1.4 – Privatsphäre und Schutz personenbezogener Informationen

Hierunter dürften sich die meisten Überschneidungen mit der DSGVO ergeben, deren Schutzzweck

sich ebenfalls auf den Schutz personenbezogener Informationen bezieht. Es können nahezu beliebige

länderspezifische datenschutzrechtliche Vorgaben Berücksichtigung finden und vom Auditor

abgeprüft werden.

Welche personenbezogenen Daten verarbeitet die Organisation? Ist sich die Organisation überhaupt

darüber bewusst, dass es solche Informationen verarbeitet? Wurden diese Daten in die

Risikoüberlegungen einbezogen? Wie sind diese Daten geschützt? Wie verhält es sich mit einem

immer kritischen Drittstaatentransfer der Daten?

Erfüllungsgehilfe der Rechenschaftspflicht

Informationssicherheit stellt eine der Grundsäulen für den Datenschutz dar. Eine Zertifizierung nach

ISO/IEC 27001, mit der ein funktionierendes und strukturiertes Informationssicherheitsmanagement

nachgewiesen werden kann, sollte abhängig von den konkret geprüften Anforderungen und unter

Berücksichtigung der folgenden Punkte durchaus eine Hilfe bei der Erfüllung der Rechenschaftspflicht

aus Art. 5 Abs. 2 DSGVO sein:

• Der im Rahmen der DSGVO zu berücksichtigende Datenverarbeitungsvorgang ist Bestandteil

des Geltungsbereichs des nach ISO/IEC 27001 zertifizierten

Informationsmanagementsystems.

• Die Erklärung zur Anwendbarkeit enthält einen genau beschriebenen

Zertifizierungsgegenstand und eine Darstellung der Schnittstellen bzw. Übergänge zu

anderen Systemen und Organisationen.

• Ein vollständiges Zertifizierungsgutachten (d.h. der Audit-Bericht und nicht nur die

Zertifizierungsurkunde) liegt vor.

Gestützt wird dies durch die Datenschutzkonferenz in den „Anforderungen zur Akkreditierung gemäß

Art. 43 Abs. 3 DSGVO i.V.m. DIN EN ISO/IEC 17065“ vom 28.08.2018: „Andere durch eine akkreditierte

Zertifizierungsstelle erteilte Zertifizierungen als solche nach Art. 42 DSGVO (z.B. ISO-Zertifizierungen)

können […] einen Faktor für die Konformität [nach DSGVO] darstellen und als solche im Rahmen der

Zertifizierung beachtet werden.“

Tatsächlich gibt es jedoch auch fast ein Jahr nach Anwendung der DSGVO keine belastbaren

Erfahrungen im Umgang der Datenschutzaufsichtsbehörden mit ISO/IEC 27001-Zertifikaten. Die

Eingangs gestellte Frage, ob eine ISO/IEC 27001-Zertifizierung also bei der Erfüllung der

Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO hilft, muss also mit einem entschiedenen „Es kommt

darauf an“ beantwortet werden.

Documents

Kai Osterhage ISO 27001 vs. DSGVO · 01.11.2013 Beispieltext Vortragsthema ISO 27001 vs. DSGVO 04.06.2019 DuD2019 -ISO 27001 vs. DSGVO. 01.11.2013 Beispieltext Vortragsthema. 01.11.2013