Datenschutzmanagementsysteme – wie Unternehmen ihrer Verantwortung systematisch nachkommen können

05 Apr

  • in DSMS
  • von
  • 0

Managementsysteme erleichtern die Einführung der Prozesse zur Einhaltung der EU-DSGVO. Dabei gibt es eine ganze Reihe an Normen, die dabei in Betracht gezogen werden können. Eine Übersicht der unterschiedlichen Ansätze wird in diesem Artikel dargestellt.

Beitrag in der KES vom 04.04.2018 auf Seite 26/27

Uwe Rühl, RUCON Gruppe, Gesellschafter

Die EU-DSGVO, deren in Kraft treten am 25. Mai 2018 mit Riesenschritten näherkommt, stellt Unternehmen und Ihre Mitarbeiter an vielen Stellen vor große Herausforderungen. Viele Fragezeichen sieht man in den ratlosen Gesichtern der Verantwortlichen besonders in den Bereichen HR und Marketing, die mit personenbezogenen Daten arbeiten. Da kommen schnell die Fragen auf: welche Daten darf ich überhaupt noch verwenden? Auf was muss ich bei der Verarbeitung achten? Welche Daten fallen unter die personenbezogenen? Wie kann ich das Datenschutzmanagement nachhaltig dokumentieren, um die hohen Strafen zu vermeiden.

Lösungsansätze gibt es bereits eine Menge, die in vielen Artikeln bereits beschreiben werden. Ein pragmatischer Ansatz, um den Anforderungen der EU-DSGVO Rechenschaft zu tragen, ist das Andocken an ein bereits vorhandenes Managementsystem. Managementsysteme sind in unterschiedlichen Bereichen schon lange Alltag, so dass Unternehmen und Ihre Mitarbeiter wissen, wie sie damit umgehen sollen. Jetzt werden Sie im Zusammenhang mit der EU-DSGVO zunehmend weiter interessant für Unternehmen, die ihre Datenschutzverantwortung systematisch umsetzen wollen. Dabei ist das Thema in der Normenwelt nicht ganz neu. Bereits seit 2009 gibt es eine Datenschutzmanagementsystemnorm, nach der unter anderem ein sehr bedeutendes Softwarehaus seit Jahren weltweit zertifiziert ist.

Was kann ein Datenschutzmanagementsystem leisten?

Unternehmen müssen in der Lage sein zu wissen, auf welcher Grundlage die Verarbeitung von personenbezogenen Daten geschieht und welche personenbezogenen Daten verarbeitet werden. Weiterhin müssen sie mit allen Situationen umgehen, in denen die Anforderungen des Datenschutzes nicht oder nicht richtig erfüllt wurden. Ein Managementsystem hilft den Unternehmen dabei, nachzuweisen, wie es mit diesen Aspekten umgeht und die notwendigen Prozesse laufend aufrechterhält. Die EU-DSGVO sieht Zertifizierungen explizit als eine Möglichkeit des Nachweises zur Einhaltung der Datenschutz-Prinzipien vor. Darüber hinaus sind unterschiedliche Datenschutzsiegel denkbar. Die Freigabe erfolgt entweder über die Datenschutzbehörden oder über die nationalen Akkreditierungsstellen.

Welche Möglichkeiten der Umsetzung gibt es?

Dazu gibt es in der Zwischenzeit einige Ansätze, von einem „reinen“ Datenschutzmanagementsystem-Standard bis hin zu unterschiedlichen Lösungen, Datenschutz mit bestehenden Managementsystemen zu verbinden. Hier allen voran die ISO/IEC 27001 als Managementsystem-Standard für Informationssicherheit, der mit anderen Standards aus der ISO-Welt ergänzt sinnvoll werden kann zu einem Datenschutzmanagementsystem. Der Vorteil hier: ISO/IEC 27001 ist akkreditiert und damit als Basis ein anerkanntes Managementsystem.

Wie ist ein IS-DS-MS aufgebaut und was sagt die Normenwelt dazu?

Wenn ein Unternehmen bereits ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001:2013 betreibt, kommt schnell die Frage auf: reicht die Umsetzung des Controls A.18.1.4 zum Thema Datenschutz nicht aus?

Nun: wenn man dieses eine generische Control nutzt, um damit seine gesamten Verfahren und spezifischen Maßnahmen zum Datenschutz abzubilden kann man das durchaus tun. Übersichtlich und im Fall einer datenschutzrechtlichen Auditierung oder Prüfung ist das vermutlich aber nicht.

Warum also nicht nutzen, was uns die ISO-Welt anbietet. Mit der ISO/IEC 29100 gibt es eine Definition von Datenschutzprinzipien. Um ISO/IEC 29100 siedelt sich derzeit eine ganze Normenreihe rund um das Thema Data Privacy an. In diesem Zusammenhang steht die Norm ISO/IEC  29151. Diese Norm ist tatsächlich das, was wir suchen: ein Code of Practice mit datenschutzrelevanten Controls! Und das schöne für alle Betreiber eines ISMS ist: dieser ist kompatibel mit den Controls der ISO/IEC 27001 Anhang A oder mit ISO/IEC 27002. Mit einer ärgerlichen Einschränkung: alle Controls sind um eine Nummer „verrutscht“, weil man beim Design der Norm jeweils ein „Vorwort“, eine Introduction, eingebaut hat. Wie auch immer: ISO/IEC 29151 verweist auf ISO/IEC 27002 und gibt zusätzliche Anleitung zur Umsetzung der Controls aus Datenschutzsicht. In einem Anhang A der ISO/IEC 29151 werden noch zusätzliche Controls definiert, um die Datenschutzprinzipien der ISO/IEC 29100 zu erfüllen. Insgesamt also ein vollständiges und recht rundes Normenwerk, um technische und organisatorische Maßnahmen rund um den Datenschutz abzubilden.

Controls können nun -so wie wir es im ISMS gewohnt sind- in einer Erklärung zur Anwendung (Statement of Applicability) dokumentiert und nachgewiesen werden.

Ein wichtiger Aspekt, nämlich die Durchführung eines Data Privacy Impact Assessments, wird uns durch die ISO-Welt ebenfalls nahe gebracht: in einer im Juni 2017 veröffentlichten Norm ÌSO/IEC  29134 finden wir Hilfestellung zur Durchführung eines Privacy Impact Assessments. Dieses ist durchaus geeignet, die Anforderungen der GDPR zu erfüllen. Wenn man diesen Aspekt in den Risiko Management Ansatz des ISMS integriert, erhält man eine recht saubere Lösung um Informationssicherheits- und Datenschutzanforderungen zu bewerten und die relevanten Maßnahmen zum Schutz der Informationen und Daten abzuleiten.

Eine kleine Einschränkung: alle ISO-Standards richten sich an den Datenschutzprinzipien aus ISO 29100 aus, die von den Grundsätzen der OECD abgeleitet wurden. Die speziellen Anforderungen einer EU-Gesetzgebung finden sich in ISO-Normen natürlich nicht wieder. Diese Lücke wird auch ISO/IEC 27552 nicht schließen, die derzeit in einem frühen Entwurfsstadium als Ergänzung der ISO/IEC 27001 erstellt wird, um ein ISMS zu einem IS-DS-MS zu erweitern.

Diese Lücke kann aber gefüllt werden: 2017 wurde der British Standard 10012 umfänglich an GDPR und der Aufbau der Norm an etablierte ISO-Standards angepasst. Auch in anderen EU Ländern wird an vergleichbaren Standards gearbeitet, die BS 10012:2017 kann aber bereits jetzt eine wirklich große Hilfe sein, da sie sowohl zum Thema Data Privacy Impact Assessment im Kapitel 6.1 und zu den GDPR-relevanten Prozessen im Kapitel 8.2 alles parat hat, was wir brauchen. Es ist also nun möglich, diese Anforderungen zu nehmen und mit in das ISMS einzuschleusen um daraus ein Informationssicherheits- und Datenschutzmanagementsystem zu kreieren.

Wie kann ein Datenschutzmanagementsystem international interessant sein?

EU-DSGVO beschäftigt nicht nur die Unternehmen in Deutschland. Als Abkürzung GDPR ist der EU-Datenschutz weltweit in aller Munde, da Unternehmen die einen Service an EU-Bürger richten grundsätzlich unter die gesetzlichen Regelungen fallen. Gerade in diesem Zusammenhang ist ein steigendes Interesse an Datenschutzmanagementsystemen und Zertifizierung zu beobachten, da Unternehmen einen datenschutzkonformen Umgang mit den personenbezogenen Daten nachweisen wollen. Wir sehen auch vermehrt rechtliche Anforderungen an Datenschutz im außereuropäischen Bereich. Viele Länder haben bereits sehr EU-nahe Datenschutzregularien im Einsatz, andere zumindest in einzelnen Branchen. Um Datenschutz als international tätiges Unternehmen abzubilden sind insbesondere Zertifizierungen ein relevantes Mittel der Wahl. Da die ISO-Datenschutzprinzipien auf denen der OECD beruhen, herrscht ein steigendes Interesse z.B. an ISO/IEC 27018. Diese Ergänzungsnorm zur ISO 27002 aus dem Jahr 2014 kann in ein Zertifizierungsverfahren einbezogen werden und deckt den Schutz personenbezogener Daten in Public Cloud Lösungen ab. Darüber hinaus ist auch BS 10012 im außereuropäischen Bereich bereits auf Interesse gestoßen. Wir betreuen seit 2010 weltweit ein Datenschutzmanagementsystem und wirken aktiv an der Normgestaltung mit.

Natürlich darf man einen Rückschluss nicht ziehen: die Anwendung einer ISO-Norm oder die Zertifizierung nach einer solchen entbindet kein Unternehmen davon, die jeweilige Gesetzgebung zu beachten und zu integrieren. Deshalb muss auch der Anwender eines ISMS, egal mit welcher normativen Ergänzung, einen genauen Blick auf die jeweiligen Rechte und Freiheiten der natürlichen Personen werfen und stabile Prozesse etablieren, damit natürliche Personen ihre Rechte wirklich nutzen können. Oder Meldepflichten und -fristen an Datenschutzbehörden integrieren. Hier herrscht nach unserer Erfahrung noch häufig eine laxe Haltung bei zertifizierten Unternehmen. Es gilt also: nicht nur Unwissenheit schützt vor Strafe nicht; dies gilt auch für Zertifizierungen.

Verlagsbeilage April 2018, Deckblatt KES

 

Teilen Sie diesen Eintrag.
Share on twitter
Share on google
Send contact request
Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.