Österreich
Secure Your Business
 

Auditvorbereitung hinsichtlich
Datentransfer in die USA


Ende des Privacy Shields: Wie sollten sich zertifizierte Organisationen aktuell auf ein CIS-Audit vorbereiten? Eine Stellungnahme von CIS-Auditor und Datenschutz-Expeterte Werner Sponer.

 

06 -Werner_SponerCIS-NL Sept 2020 - Vielfach stellt sich die Frage, wie sich ISO-27001-zertifizierte Unternehmen hinsichtlich Compliance-Anforderungen vor dem Hintergrund des gekippten Privacy Shields auf Audits vorbereiten können. Diese Frage zu beantworten erscheint vordergründig einfach, die Umsetzung kann aber im Einzelfall sehr komplex werden. Beginnen wir mit dem Ziel der ISO/IEC 27001. Der internationale Standard ISO 27001 beschreibt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheits-Managementsystems (ISMS). Im Rahmen einer ISO-27001-Zertifizierung wird die Funktionalität und Wirksamkeit des ISMS bewertet.
 

Ein wesentlicher Faktor in unserer Zeit im Allgemeinen und in der IT im Speziellen ist die immerwährende Veränderung. Ich möchte hier bewusst als Analogie ein technisches Beispiel anführen: die laufende Weiterentwicklung von kryptographischen Algorithmen. Solche Algorithmen werden entwickelt, in Produkten oder Lösungen verwendet, dann irgendwann gehackt und somit unbrauchbar gemacht. Danach müssen sie aus den Produkten oder Lösungen entfernt und durch neuere, bessere Algorithmen ersetzt werden. Dieses Szenario ist in der IT-Welt wohlbekannt und wird gewissermaßen in „Lebenszyklen“ abgebildet. Dies wird auch im Rahmen der ISO-27001-Zertifizierung geprüft. Etwas weniger vertraut ist das Szenario der sich ändernden gesetzlichen Grundlagen. Als Teil der ISO-27001-Zertifizierung werden in diesem Bereich die Themen „Einhaltung gesetzlicher und vertraglicher Anforderungen“, also Compliance, sowie „Privatsphäre und Schutz von personenbezogenen Informationen“, also Datenschutz, behandelt. In diese beiden Themen spielt nun das Kippen des Privacy Shields hinein. Nun muss jedes Unternehmen überprüfen, ob es weiterhin „legal“ Daten verarbeitet oder ob es etwas getan werden muss. Dabei spielt es keine Rolle, ob das Unternehmen zertifiziert ist oder nicht.
 

Auditor prüft Umgang mit Veränderungen

Um auf die Eingangsfrage zurückzukommen: Im Rahmen eines Audits prüft die CIS selbstverständlich auch wie das auditierte Unternehmen mit Veränderungen umgeht. Dazu gehört im Jahr 2020 natürlich auch das gekippte Privacy Shield und wo/wie die diesbezüglich geplanten und umgesetzten Maßnahmen besprochen und intern auditiert werden. Im Fall des gekippten Privacy Shields ist nun in einem ersten Schritt zu prüfen, ob das Unternehmen als solches, oder eine allenfalls an Dienstleister ausgelagerte Datenverarbeitung, davon betroffen ist. Dabei hilft ein kritischer Blick ins Rechtsregister, in welchem die anwendbare Gesetzgebung und die vertraglichen Anforderungen dokumentiert sind. Das Unternehmen sollte nun auch prüfen, ob die Auflistung im Rechtsregister tatsächlich vollständig ist oder ob es Ergänzungsbedarf gibt. Es wird sicherlich Fälle geben, wo der eine oder andere Dienstleister unter anderem auch der angesprochenen US-Gesetzgebung unterliegt, was dann möglicherweise einen Einfluss auf die Vertraulichkeit der Daten des Unternehmens haben kann. Einige beliebte Cloud-Anbieter und Newsletter-Dienstleister sind davon betroffen. Max Schrems hat auf seiner Homepage www.noyb.eu einige betroffene Dienstleister angeführt. Mit solchen Dienstleistern sollte die Situation im Einzelfall abgeklärt und dokumentiert werden. Möglicherweise gibt es für betroffene IT-Services eine „europäische“ Lösung, welche anstelle einer US-amerikanischen verwendet werden kann.
 

In einem zweiten Schritt ist zu ermitteln, welche Anforderungen an Informationssicherheit sich aus der anwendbaren Gesetzgebung ergeben. Die Anforderungen sind hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit zu prüfen. Diese Anforderungen müssen durch geeignete Maßnahmen umgesetzt werden. Gerade zum Thema Datenschutz ist es nicht einfach und klar ersichtlich, welche technischen und organisatorischen Maßnahmen zu treffen sind, um den Anforderungen des hohen europäischen Datenschutzniveaus zu genügen.
 

Evaluierung der Auswirkungen auf das Unternehmen

Die CIS prüft die Wirksamkeit des Managementsystems, im konkreten Fall, ob das Unternehmen Schritte gesetzt hat, die Auswirkungen des EuGH-Urteils auf das Unternehmen zu bewerten. Die Verantwortung für die Bewertung, Auswahl und Umsetzung von Maßnahmen liegt beim Unternehmen. Wer sich also auf ein Audit gut vorbereiten möchte, sollte daran denken Dokumente oder Nachweise vorlegen zu können, in denen der Umgang mit der neuen Situationen dokumentiert ist. Dies kann beispielsweise durch Meeting-Protokolle, einer aktuellen Risikobewertung, einem internen Auditbericht oder ähnlichen Unterlagen erfolgen. In diesem Zusammenhang sollte nicht vergessen werden zu überlegen, wie künftig Änderungen in der anwendbaren Gesetzgebung bemerkt und bewertet werden.

 

Werner Sponer ist Datenschutzbeauftragter in der Privatwirtschaft sowie im Auftrag der CIS Netzwerkpartner und Auditor für Datenschutzmanagement nach ISO 27001, ISO 27701 u.a.

 

___________________________

Herausgeber des CIS-Newsletters:

CIS - Certification & Information Security Services GmbH, www.cis-cert.com, office@cis-cert.com

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Datenschutz Impressum

AGB