Das Datenschutzmanagement und die GDPR – Teil 3

11 Jul

  • in Archiv
  • von
  • 0

Datenschutzanforderungen in einem Informationssicherheitsmanagementsystem nach ISO/IEC 27001

Wenn ein Unternehmen bereits ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001:2013 betreibt, kommt schnell die Frage auf: reicht die Umsetzung des Controls A.18.1.4 zum Thema Datenschutz aus?

Nun: wenn man dieses eine generische Control nutzt, um damit seine gesamten Verfahren und spezifischen Maßnahmen zum Datenschutz abzubilden, kann man das durchaus tun. Übersichtlich und im Fall einer datenschutzrechtlichen Auditierung oder Prüfung ist es das vermutlich aber nicht.

Warum also nicht nutzen, was uns die ISO-Welt sonst noch anbietet. Weiter oben wurde bereits erwähnt, dass es mit ISO/IEC 29100 eine Definition von Datenschutzprinzipien gibt. Um ISO/IEC 29100 siedelt sich derzeit eine ganze Normenreihe rund um das Thema Data Privacy an. In diesem Zusammenhang steht eine kurz vor finaler Veröffentlichung stehende Norm ISO/IEC FDIS 29151. Diese Norm ist tatsächlich das, was wir hier vermutlich eher suchen: ein Code of Practice mit datenschutzrelevanten Controls! Und das schöne für alle Betreiber eines ISMS ist: dieser ist kompatibel mit den Controls der ISO/IEC 27001 Anhang A oder mit ISO/IEC 27002. Mit einer ärgerlichen Einschränkung: zumindest in der jetzigen Entwurfsversion sind alle Controls um eine Nummer „verrutscht“. Wie auch immer: ISO/IEC 29151 verweist auf ISO/IEC 27002 und gibt zusätzliche Anleitung zur Umsetzung der Controls aus Datenschutzsicht. In einem Anhang A der ISO/IEC FDIS 29151 werden noch zusätzliche Controls definiert, um die Datenschutzprinzipien der ISO/IEC 29100 zu erfüllen. Insgesamt also ein vollständiges und recht rundes Normenwerk, um technische und organisatorische Maßnahmen rund um den Datenschutz abzubilden.

Diese Controls können nun -so wie wir es im ISMS gewohnt sind- in einer Erklärung zur Anwendung (Statement of Applicability) dokumentiert und nachgewiesen werden.

Doch dies ist erst die halbe Miete. Um die Anforderungen der GDPR zu erfüllen sind noch einige Aspekte mehr zu berücksichtigen, die sich rund um die Themen Zustimmung, Rechtmäßigkeit der Verarbeitung und nicht zuletzt das Data Privacy Impact Assessment drehen. Was hier nochmals erwähnt werden muss: es ist nicht die Intention einer ISO-Norm, die Anforderungen eines spezifischen Rechtsraums, hier der EU und des EEA, zu erfüllen. Deshalb gibt es keine „fertige“ ISO-Norm, welche alle GDPR-Anforderungen integriert hat. Dafür werden wir weiter unten noch auf einen anderen Lösungsansatz eingehen.

Ein wichtiger Aspekt, nämlich die Durchführung eines Data Privacy Impact Assessments, wird uns durch die ISO-Welt ebenfalls nahe gebracht: in einer im Juni 2017 veröffentlichten Norm ÌSO/IEC 29134 finden wir Hilfestellung zur Durchführung eines Privacy Impact Assessments. Dieses ist durchaus geeignet, die Anforderungen der GDPR zu erfüllen. Wenn man diesen Aspekt in den Risiko Management Ansatz des ISMS integriert, erhält man eine recht saubere Lösung um Informationssicherheits- und Datenschutzanforderungen zu bewerten und die relevanten Maßnahmen zum Schutz der Informationen und Daten abzuleiten.

Ein großes ABER gilt es zu beachten: wichtig ist in jedem Fall die Frage, ob der Anwendungsbereich des ISMS so gewählt ist, dass er alle Prozesse, Verfahren und Systeme umfasst, die zur Verarbeitung von personenbezogenen Daten herangezogen werden? Dies kann eine Stolperfalle sein, da viele Unternehmen zwar ein ISMS betreiben, dieses aber aus nachvollziehbaren Gründen auf einzelne Teile des Unternehmens eingegrenzt haben. Die GDPR interessiert sich hier nicht für Anwendungsbereiche, sondern adressiert die Verantwortung einer Organisation. Hier muss ggf. der Anwendungsbereich des ISMS ausgeweitet werden. Dies führt, bei allen die eine Zertifizierung nach ISO/IEC 27001:2013 haben, nicht automatisch dazu, dass auch der Geltungsbereich des Zertifikates erweitert werden muss. Diese Überlegung kann ggf. entkoppelt werden.

Jetzt haben wir also ein Data Privacy Impact Assessment verankert, Controls ausgewählt und gesteuert. Um die Anforderungen der GDPR zu erfüllen, fehlen uns aber noch einige wesentliche Aspekte. Hier wird uns die ISO Welt nicht weiterhelfen. Bei einem Blick in die Normenwelt ist aber auch hier Hilfe zu finden. Die Britische Norm für Datenschutzmanagementsysteme BS 10012 wurde erstmalig im Jahr 2009 veröffentlicht und wurde bereits erfolgreich angewendet und für die Zertifizierung von Datenschutzmanagementsystemen verwendet.

In diesem Jahr wurde diese Norm umfänglich an GDPR angepasst und auch der Aufbau an etablierte ISO-Standards wie ISO/IEC 27001:2013 angepasst. Auch in anderen EU Ländern wird an vergleichbaren Standards gearbeitet, die BS 10012:2017 kann aber bereits jetzt eine wirklich große Hilfe sein, da sie sowohl zum Thema Data Privacy Impact Assessment im Kapitel 6.1 und zu den GDPR-relevanten Prozessen im Kapitel 8.2 alles parat hat, was wir brauchen. Es ist also nun möglich, diese Anforderungen zu nehmen und mit in das ISMS einzuschleusen, um daraus ein Informationssicherheits- und Datenschutzmanagementsystem zu kreieren.

Die anderen Teile dieser Reihe:
Das Datenschutzmanagement und die GDPR – Teil 1
Das Datenschutzmanagement und die GDPR – Teil 2
Das Datenschutzmanagement und die GDPR – Teil 4

Urheberrecht Bild: (c) Schlierner – Fotolia.com

Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.