Das Datenschutzmanagement und die GDPR – Teil 4

20 Jul

  • in Archiv
  • von
  • 0

Ein für sich stehendes Datenschutzmanagementsystem

Unternehmen, die kein Informationssicherheitsmanagementsystem betreiben oder wo der Anwendungsbereich des ISMS wesentlich von der gesamten Organisation abweicht, könnten den Bedarf haben, ein eigenständiges Datenschutzmanagementsystem einführen zu wollen.

Um dieser Anforderung nachzukommen ist die bereits erwähnte britische Norm BS 10012:2017 ein guter Einstiegspunkt. Die beiden wesentlichen Argumente für diese Norm seinen hier nochmals erwähnt:

Sie entspricht in Ihrem Aufbau dem sogenannten High Level Standard der ISO für Managementsystemnormen und lässt sich dadurch bequem mit bestehenden Managementsystemen kombinieren (z.B. einem Qualitätsmanagementsystem nach ISO 9001).
Sie hat in ihrer aktuellen Version die Anforderungen der GDPR die durch den Datenverarbeitende Organisation zu berücksichtigen sind bereits aufgenommen und abgbildet.
Der Grundaufbau der BS 10012:2017 ist handwerklich nicht durchgängig gelungen. Es gibt einige Redundanzen in der Norm, was ihrer Anwendung aber nicht im Weg steht. Besonders hervorhebenswert sind zwei Kapitel, in der die Anforderungen der GDPR durchschlagen.

Dies ist Kapitel 6.1, in dem es um die Analyse von Datenflüssen und die Rechtmäßigkeit der Verarbeitung personenbezogener Daten geht. Dies mündet dann in ein sogenanntes Privacy Impact Assessment (PIA). Viele Passagen sind aus der ISO/IEC 27001:2013 übernommen, vor allem die Aspekte der Risikobewertung und der Risikobehandlung. Insgesamt ist das Kapitel 6.1 komplex und nicht ganz einfach umzusetzen. Immerhin bekommt der Nutzer die Anforderungen präsentiert und kann diese in seinen eigenen Verfahren abbilden und implementieren.

Noch komplexer wird Kapitel 8.2, in dem alle weiteren GDPR-Anforderungen gelandet sind. Das Kapitel 8.2 selbst nimmt die Hälfte des Umfangs der gesamten Norm ein. Es wird eine Vielzahl von Verfahren und Anforderungen definiert, die letzendlich immer ihre Begründung in der GDPR finden. Entsprechende Verweise befinden sich im Normtext als Anmerkungen, so dass man Referenzen bei der Hand hat.

In der Anwendung kann man BS 10012 gerne noch durch die beiden ISO-Standards ISO/IEC 29151 und ISO/IEC 29134 ergänzen. Dadurch kann man sich das beste aus allen Welten holen, was aber nicht primär notwendig wäre.

Es existieren bereits Zertifizierungen nach BS 10012 für namhafte Unternehmen, die von einzelnen Datenschutzstellen wohlwollend betrachtet werden und international Anerkennung genießen. Eine Zertifizierung nach BS 10012:2017 ist derzeit nur nicht-akkreditiert möglich. Diesen Umstand kann man darüber umgehen, dass man entweder das Datenschutzmanagementsystem wie in Option 1 mit einem ISMS „koppelt“, oder ein Managementsystem wie ISO 9001 als Basis verwendet. Ob eine Akkreditierung oder Zulassung nach Art. 42 GDPR für BS 10012:2017 erfolgt, kann zum jetzigen Zeitpunkt noch nicht gesagt werden.

Schlussfolgerung

Derzeit kann noch niemand mit Sicherheit sagen, wie die Anwendung von Normen und Standards zur Erfüllung der GDPR-Anforderungen Rechtssicherheit erzeugen können. Es gibt schlicht und ergreifend noch keine Präzedenzfälle dafür. Die Anwendung von Standards stellen aber grundsätzlich einen validen Weg dar, um sich Aufgabenstellungen zu widmen und diese im eigenen Unternehmen umzusetzen. Die Ansätze sowohl in der ISO/IEC 29100-Reihe, als auch von BS 10012:2017 stellen eine brauchbare Basis dar.

Mit Bezug auf BS 10012:2017 könnten Kritiker jetzt mit dem Argument arbeiten, dass ein British Standard bei angekündigtem Brexit nicht die beste Lösung für die Implementierung der GDPR Anforderungen sei. Nun, BS 10012:2017 hat bereits Anpassungsklauseln für den Fall des Brexit im Normtext enthalten. Sie bildet zum jetzigen Zeitpunkt die GDPR-Anforderungen ab und ist damit als Basis für ein Datenschutzmanagementsystem geeignet. Es geht hier auch nicht darum, die Werbetrommel für einen einzelnen Standard zu rühren, sondern lediglich Ansätze zum Aufbau eines Datenschutzmanagementsystems aufzuzeigen, um die GDPR-Anforderungen strukturiert zu erfüllen.

Die anderen Teile dieser Serie:
Das Datenschutzmanagement und die GDPR – Teil 1
Das Datenschutzmanagement und die GDPR – Teil 2
Das Datenschutzmanagement und die GDPR – Teil 3

Urheberrecht Bild: (c) Schlierner – Fotolia.com

Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.