Österreich
Secure Your Business
 

Erstes Datenschutz-Zertifikat mit internationaler
Geltung: nach ISO 27701

 

CIS ist als Österreichs erste Prüfstelle für Datenschutzmanagement nach ISO 27701 akkreditiert


CIS-NL Sept 2020 - Während die EU beim Thema Datenschutz hohe Strafen bei Verfehlungen vorsieht, ist ein von der EU anerkanntes Datenschutz-Zertifizierungsverfahren bis heute ausständig geblieben. Besonders prekär ist die Situation, weil ein Daten-Eigentümer jedenfalls mithaftet, wenn bei seinem Provider oder Hosting-Partner eine Datenpanne passiert und er sich nicht zuvor einen Nachweis für sorgfältiges Vorgehen in Sachen Datenschutz und Informationssicherheit von seinem Partner eingeholt hat. Ohne anerkannte Zertifizierung war dies bis dato aber schwierig.


01 - hoch - VS - ISO27001_Zertifikat+KlausAbhilfe soll die Zertifizierung nach ISO/IEC 27701 für Datenschutzmanagement schaffen, welche als direktes Add-On zu dem international anerkannten Standard für Informationssicherheit konzipiert wurde. In Österreich wurde nun mit der CIS die erste Zertifizierungsgesellschaft durch das Wirtschaftsministerium akkreditiert und somit befugt, Zertifizierungen nach ISO 27701 durchzuführen. Aufgrund der Akkreditierung sind die CIS-Zertifikate staatlich anerkannt. „Da die Datenschutzmanagement-Norm auf dem internationalen Standard für Informationssicherheit aufbaut, ist dies die erste und bisher einzige Datenschutz-Zertifizierung mit internationaler Tragweite – und anwendbar für alle Organisationen, unabhängig von Größe und Branche“, betont CIS-Prokurist Klaus Veselko.

 

Globale Vorreiter setzen auf Datenschutz nach ISO 27701
Einige Global Player sind bereits weltweite Vorreiter: So hat Microsoft jene Teile der IT-Infrastruktur für Cloud Services wie Dynamics oder Azure nach ISO 27701 zertifizieren lassen. Auch andere IT-Größen wie OneTrust oder Infosys setzen auf die neue Datenschutz-Zertifizierung aus dem Hause ISO.
Grundsätzlich ist der Standard mit dem langen Namen „ISO/IEC 27701:2019 Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“ eine Subnorm der ISO-27000-Familie und nicht alleinstehend zertifizierbar. „Als Erweiterung zu einem Informationssicherheits-Managementsystem nach ISO 27001 werden bei einem Zertifizierungsaudit die Datenschutz-Anforderungen nach ISO 27701 ebenfalls auditiert. Im Sinne der Norm wird Datenschutz zum integralen Bestandteil des Gesamtsystems und ist in dieser Form dann auch zertifizierbar“, erklärt Veselko. „Das auditierte Unternehmen erhält ein eigenes Zertifikat für sein Datenschutz-Managementsystem nach ISO 27701, das ein wichtiges Vertrauenssignal für Kunden und Lieferanten darstellt.“
 

Rechtssicherheit mit ISO 27701 durch System-Logik
Als große Frage steht bei einer Datenschutz-Zertifizierung die dadurch erlangte Rechtssicherheit im Raum. Nach heutigem Wissenstand werden die Datenschutzbehörden solche Zertifizierungsverfahren gemäß Art 42 der Datenschutz-Grundverordnung der EU (DSGVO) anerkennen, welche auf Prozesse und Produkte abzielen und nicht auf ein ganzes Managementsystem, wie es bei ISO 27001 und ISO 27701 der Fall ist. Allerdings hilft im Bußgeldverfahren vor der Datenschutzbehörde, zum Beispiel wegen vermeintlich unzureichender Informationen an Betroffene, nicht das „Pickerl“ auf einem Service oder Prozess. Das gilt auch bei der Abwehr von Schadenersatzforderungen, etwa wegen unzulässiger Datenübermittlungen. „Vor Behörde oder Gericht notwendig ist ein Nachweis, wie im Unternehmen mit den Datenschutz-Anforderungen tatsächlich umgegangen wird – also, welche Maßnahmen umgesetzt wurden, und ob dies mit entsprechender Dokumentation nachgewiesen werden kann“, erläutert Rechtsanwalt und CIS-Datenschutzexperte Dr. Markus Frank.

So formuliert die DSGVO selbst hinsichtlich anerkannter Zertifizierungen recht zaghaft, unter anderem in Art 24 (3): „Die Einhaltung eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen.“

paragraph orange _29308164_istockphoto-Mattz90Vor diesem Hintergrund ist mit einer ISO-27701-Zertifizierung de facto ein hohes Maß an Rechtssicherheit zu erzielen, wenn das System auch nach der externen Überprüfung und Zertifizierung tagtäglich ernsthaft gelebt wird: Die DSGVO fordert „geeignete technische und organisatorische Maßnahmen und Verfahren“, damit die Datenverarbeitung den Anforderungen der Verordnung genügt. „Derart systematische Anforderungen lassen sich zweifelsfrei mit einem Datenschutzmanagement-System leichter erfüllen als ohne“, unterstreicht CIS-Auditor Robert Jamnik. „Die System-immanente Logik des kontinuierlichen Monitorings und der Optimierung gemäß ISO 27701 ermöglichen einen höchstmöglichen Grad an DSGVO-Compliance.“ Ebenso kommt die gesetzliche Forderung nach einer Datenschutz-Folgenabschätzung einer geeigneten Datenschutz-Risikoanalyse gleich, wobei auf Fachwissen aus dem Bereich Risikomanagement im Rahmen des Basissystems nach ISO 27001 zurückgegriffen werden kann. Vor diesem Hintergrund resümiert der CIS-Auditor: „Dokumentation und Protokollierungen im Rahmen des implementierten Datenschutzmanagement-Systems belegen die DSGVO-konforme Umsetzung der Datenschutzmaßnahmen im Unternehmen. Sie sind somit vor Behörden und vor Gericht aussagekräftig – und wirken in dieser Form haftungsminimierend“.

 

Nachweis für Sorgfalt minimiert Haftung
Obwohl die für eine weltweite Anwendung konzipierte ISO 27701 generisch auf geltende Datenschutz-Rechtsnormen hin ausformuliert ist, diente die europäische Gesetzgebung mit der DSGVO als Vorbild im Entwicklungsprozess. Im Anhang A der Norm befindet sich eine Referenztabelle, welche die Normforderungen den Anforderungen der DSGVO direkt zuordnet. Entsprechend bedeutet dies auch für Partner, Lieferanten und Kunden, das ein CIS-Zertifikat nach ISO 27701 grundsätzlich erhöhte Sicherheit in puncto Datenschutz bietet. Allerdings besagt das CIS-Zertifikat nicht explizit, welches nationale Datenschutzrecht von dem zertifizierten Unternehmen umgesetzt wurde – wobei sich dies folgerichtig aus dem geographischen Standort ergibt. Weiters beschreibt das Zertifikat naturgemäß auch nicht, welche Datenschutzmaßnahmen im Einzelnen realisiert wurden.


„Ein Nachweis für sorgfältiges Vorgehen in Bezug auf die DSGVO wird das ISO-27701-Zertifikat für Dritte dann, wenn die zertifizierte Organisation einem Kunden oder Lieferanten die ausgefüllte Referenztabelle oder das ‚Statement of Applicability‘ mitliefert“, erklärt Robert Jamnik. Diese ‚Erklärung zur Anwendbarkeit‘ enthält zu jedem Normpunkt aus dem Anhang A der ISO 27701 die einzelnen umgesetzten Datenschutzmaßnahmen zur Erfüllung der DSGVO-Anforderungen inklusive ihrer jeweiligen Zielsetzung im Unternehmen. Da das Statement of Applicability auch im Zertifizierungsaudit überprüft wird, kann dies als Nachweis für Dritte herangezogen werden. Als Auditor und Norm-Experte betont Robert Jamnik: „In diesem Sinne ermöglicht die Zertifizierung nach ISO 27701 eine hohe Rechtssicherheit, sowohl für das Unternehmen selbst als auch für Partner und Kunden.“
 


___________________________

Herausgeber des CIS-Newsletters:

CIS - Certification & Information Security Services GmbH, www.cis-cert.com, office@cis-cert.com

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Datenschutz Impressum

AGB