Datenschutz – DSMS wird zu PIMS

17 Dez

  • in DSMS
  • von
  • 0

Durch die EU-DSGVO wurde 2018 mehr über Datenschutzmanagementsysteme (DSMS) diskutiert. Aber was hat PIMS damit zu tun?

Das Joint Technical Committee 1 veröffentlichte aus der I Arbeitsgruppe 5 des ISO27 Sub Committees im Juni 2018 einen Commiditee Draft zur ISO/IEC 27552. Diese entsteht derzeit unter Federführung der DIN für die International Organization for Standarization. Es geht inhaltlich um eine Ergänzung der ISO/IEC 27001 zu einem Personal Information Management Systems (PIMS). Dies entspricht von Zweck, Scope und Inhalt her einem Datenschutzmanagementsystem . Inhaltlich ist die ISO/IEC 27552 eine Zusammenfassung der ISO/IEC 27001 und ISO/IEC 27002 ergänzt um datenschutzrechtliche Anforderungen und Empfehlungen (Requirements and Guidance). Damit wird der von uns bereits seit Jahren gelebte IS-PI-MS (vorher IS-DS-MS) Ansatz abgebildet.

Im Management System Standard (MSS) der ISO werden die Kapitel „Context of the organization“ und „Planning“ um datenschutzrechtliche Anforderungen ergänzt. Weiterhin werden Ergänzungen zur ISO/IEC 27002 definiert und im Anhang A und B der ISO/IEC 27552 zusätzliche Datenschutz-Controls für Controller und Processor definiert.

Das Kapitel „Context of the organization“ wird um die Steuerung und Verarbeitung personenbezogener Daten ergänzt.

Im Kapitel „Planning“ wird zusätzlich die Themen datenschutzrechtliche Risiken und Umgang mit Risiken personenbezogener Daten behandelt.

Wer sich nach der Norm ISO/IEC 27552 zertifizieren lassen möchte, benötigt als Grundlage eine Zertifizierung des Informationssicherheitsmanagementsystems nach ISO/IEC 27001. Vor Ende 2019 ist aber mit einer Zertifizierungsmöglicheit nach ISO/IEC 27001 + ISO/IEC 27552 nicht zu rechnen. Der vorliegende Draft (derzeit erhältlich bei der British Standards Institution) ist noch der Vorläufer des der öffentlichen Entwurfs-Version (ISO/IEC DIS 27552).

Eine solche PIMS-Zertifizierung kann mehrere Vorteile mit sich bringen:

  1. Die allgemeine Datenschutzgrundverordnung enthält eine Vielzahl von Anforderungen, die es schwer machen, sie zu steuern. Dank der ISO/IEC 27552 können diese Anforderungen über das Managementsystem gesteuert werden. In Anhang C der Norm befindet sich ein Mapping der DSGVO auf die Norm, das zeigt, dass mehrere Anforderungen der DSGVO auf ein Control anwendbar sind. Dieser Ansatz reduziert die Komplexität bei der Einhaltung der DSGVO erheblich.
  2. Datenschutzbeauftragte müssen dem oberen Management die Nachweise über Fortschritte bei der Einhaltung der Datenschutzvorschriften vorlegen. Durch das Betreiben eines PIMS werden Konformitätsnachweise erzeugt, die die notwendige Sicherheit geben, dass die Anforderungen erfüllt werden.
  3. Diese Zertifizierung kann Kunden und Partnern kommuniziert werden und damit bewiesen, dass die datenschutzrechtlichen Bestimmungen eingehalten werden. Die Zertifizierung kann dazu dienen, in der Öffentlichkeit vertrauenswürdig zu erscheinen. Potenziell ist auch denkbar eine solche PIMS-Zertifizierung zu nutzen im Sinn des Art. 42 EU-DSGVO.

Urheberrecht Bild: (c) Schlierner – Fotolia.com

Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.