Österreich
Secure Your Business
 

EU-Datenschutz NEU: Inwieweit
hilft eine ISO-27001-Zertifizierung?

 

Die neue EU-Verordnung für einen europaweit einheitlichen Datenschutz soll 2013 veröffentlicht werden und ab 2015 die nationalen DSG ablösen. Damit werden die Zeiten härter – Strafen bis zu einer Million Euro werden möglich. Auch Datenschutz-Zertifizierungen sollen künftig stark forciert werden. Inwieweit deckt eine ISO-27001-Zertifizierung bereits wesentliche Inhalte dieser Datenschutz-Anforderungen ab? Informationssicherheit und Datenschutz überschneiden sich in vielerlei Hinsicht. Ein Kommentar von CIS-Fachexperte Herbert Bieber.

 

01_Bieber_web_mr(CIS-Newsletter März 2013) - Die EU-Richtlinie 95/46/EG (Datenschutzrichtlinie), die die Basis für das Österreichische Datenschutzgesetz DSG 2000 bildet, ist in die Jahre gekommen. Im „Geburtsjahr“ 1995 konnte noch kaum jemand absehen, wie sich WWW und Internet entwickeln würden. Themen wie Web 2.0 oder Big Data haben nicht einmal die kühnsten Visionäre erahnen können. Dem hat Brüssel Rechnung getragen: Im Januar 2012 wurde von EU-Kommissarin Viviane Reding der Entwurf eines 91 Kapitel umfassenden novellierten europäischen Datenschutzgesetzes der Öffentlichkeit vorgestellt. Optimisten gehen davon aus, dass die Verordnung noch 2013 verabschiedet wird. Der Entwurf sieht ein Inkrafttreten 2 Jahre nach Veröffentlichung vor, d. h., voraussichtlich im Jahr 2015.

EU-Verordnung löst nationale DSG ab
Vieles wird neu: So soll der Datenschutz nicht mehr durch eine Richtlinie, sondern durch eine Verordnung geschützt werden. Diese gilt - anders als eine Richtlinie - unmittelbar in jedem Mitgliedsland, eine Umsetzung in nationales Recht ist nicht mehr nötig. Damit wird also auch das österreichische DSG abgelöst und europaweit ein einheitliches Datenschutzreglement erreicht. Leider sind etliche Kernpunkte der Verordnung an zahlreichen Stellen (insgesamt 45) noch offen. Dadurch ist der Verordnungsentwurf im Moment noch löchrig wie ein Emmentaler. So hat EU-Berichterstatter Jan Philipp Albrecht im Dezember 2012 sage und schreibe 350 Änderungsanträge eingereicht.

Strafen bis 1 Million Euro möglich
Von einigen signifikanten Neuerungen kann allerdings auf jeden Fall ausgegangen werden. Der maximale Verwaltungsstrafrahmen wird dramatisch erhöht werden – bis zu 1 Million Euro bzw. 2% des Konzernumsatzes sind im Gespräch. Selbst für Vergehen, die heute noch als Kavaliersdelikt betrachtet werden, können derartig hohe Strafen verhängt werden: z.B. im Falle der Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, bei Missachtung des Widerspruchsrechts Betroffener oder wenn keine Datenschutz-Folgenabschätzung durchgeführt wurde. Damit soll dem häufig beobachteten schlampigen Umgang mit Datenschutz Einhalt geboten werden.
 
Datenschutzbeauftragter & Folgeabschätzung
Den Unternehmen werden zahlreiche neue Pflichten auferlegt. So wird ein Datenschutzbeauftragter mit vielerlei Aufgaben, hauptsächlich beratender und überwachender Natur, verpflichtend vorzusehen sein. Die Kriterien sind zurzeit noch Thema heftiger Diskussionen. So sieht der Entwurf den Datenschutzbeauftragten für Unternehmen mit mindestens 250 Mitarbeitern verpflichtend vor, für Behörden oder öffentliche Einrichtungen generell. Albrecht hingegen meint, dass all jene Unternehmen, die Daten von mehr als 500 Personen/Jahr verarbeiten, einen Datenschutzbeauftragten benötigen werden.
Ein bisher völlig neues Thema wird die Datenschutz-Folgenabschätzung sein. Bei der Einführung neuer Systeme soll jedem Unternehmen die Pflicht auferlegt werden, Untersuchungen durchzuführen, welche Auswirkungen aus Sicht der Betroffenen bestehen könnten. Alle neuen Systeme werden ihre Voreinstellungen datenschutzfreundlich zu gestalten haben (Privacy by Default). Um das zu erreichen, werden Risikoanalysen, wie sie in der Informationssicherheit seit Jahren gang und gäbe sind, gesetzlich vorgeschrieben sein.
01_flaggen_web_istockphoto FankyDeMeyer
Datenschutz-Zertifizierungen
Ein weiterer Artikel (39) ist dem Thema Siegel und Zertifizierung gewidmet. Obgleich auch zu diesem Aspekt eine genauere Ausgestaltung noch fehlt, lässt sich doch erkennen, dass Organisationen ermutigt werden, Datenschutz-Zertifizierungen bzw. -Siegel zu erreichen. So lautet der Entwurf derzeit: „Die Mitgliedstaaten und die Kommission fördern insbesondere auf europäischer Ebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und –zeichen.“ Ziel soll sein, dass Betroffene rasch das Datenschutzniveau der IT-Produkte und IT-basierenden Dienste in Erfahrung bringen können. Das bekannteste Siegel ist das European Privacy Seal . Dieses prüft die Datenschutz-Compliance gemäß der Europäischen Datenschutz-Richtlinie bzw. -Verordnung. Inhalte des Auditkatalogs adressieren u.a. die Punkte: Welche Daten werden verarbeitet, welche sind sensibel, wer verarbeitet die Daten, Übermittlung/Überlassung von Daten, Datenvermeidung, Betroffenenrechte, Zustimmungserklärungen etc. Aus technisch/organisatorischer Sicht wird geprüft, ob die Daten sicher verarbeitet werden. Dazu zählen gemäß Auditkatalog: Sicherheitspolitik, Zutrittsschutz, Zugriffschutz, Netzwerksicherheit, Risikomanagement etc., vor allem aber, ob und wie ein Managementsystem etabliert ist – praktisch alle Maßnahmen und -ziele, die in den Informationssicherheitsnormen der Serie ISO 2700x beschrieben werden.

ISO 27001 als Basis für Datenschutzanforderungen
Zusammenfassend kann gesagt werden, dass es ohne Informationssicherheits-Managementsystem (ISMS) ungleich schwieriger sein wird, die Anforderungen der neuen Datenschutzgrundverordnung zu erfüllen. Insbesondere für Themen wie Privacy-Impact-Analysen, Risikoanalysen, technisch/organisatorische Maßnahmen, Datenschutz-Zertifizierungen etc. erleichtert ein Informationssicherheits-Managementsystem nach ISO 27001 die Arbeit des Datenschutzbeauftragten enorm. Darüber hinaus liefert ein zertifiziertes System im Streitfall den Nachweis, dass ein technisch/organisatorisches Managementsystem implementiert ist und die Sicherheit bei der Verarbeitung der personenbezogenen Daten gesetzeskonform, angemessen und nach dem Stand der Technik erfüllt ist.
 
Verfügbarkeit, Vertraulichkeit und Integrität von Daten
Abschließend lässt sich feststellen: ISO 27001 deckt als Standard für Informationssicherheit alle in einem Unternehmen vorhandenen Informationen ab, gemäß dem gewählten Geltungsbereich. Im Vergleich dazu betrifft das Datenschutzgesetz nur die personenbezogenen Daten. ISO 27001 geht also inhaltlich einerseits über die DSG-Anforderungen hinaus. Andererseits deckt der Security-Standard aber die tiefergehenden Datenschutz-Spezifika wie die Überprüfung der Zulässigkeitsvoraussetzungen, die Einhaltung der schutzwürdigen Geheimhaltungsinteressen, die Wahrung der Betroffenenrechte u.a. nicht ab. Insgesamt unterstützt eine Zertifizierung nach ISO 27001 europäische Datenschutzzertifizierungen in Hinblick auf Verfügbarkeit, Vertraulichkeit und Integrität von Daten erheblich. Ein zertifiziertes Informationssicherheits-Managementsystem ist daher zwar kein Ersatz für eine Datenschutzzertifizierung, deckt aber einen wesentlichen Teil der Anforderungen ab bzw. unterstützt die Erfüllung dieser wesentlich.
 

Ing. Herbert Bieber, MSc, CISA ist unabhängiger Fachberater und Trainer in den Bereichen Informationssicherheit und Datenschutz. Er fungiert als CIS-Fachexperte für Datenschutzfragen.


_________________
1 KOM(2012) 11 / 4;
http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_de.pdf
2 Jan Philipp Albrecht (EU-Berichterstatter) "ENTWURF EINES BERICHTS"; http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387de.pdf
3 Artikel 37
4 Während der Vorschlag der Kommission einen verpflichtenden Datenschutzbeauftragten für etwa 0,3% aller österreichischen Unternehmen bedeuten würde, würde nach Albrechts Vorschlag nahezu jedes Unternehmen einen benötigen.
5 http://www.european-privacy-seal.eu
6 zB der Autor

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB