Der Wunsch nach einer Datenschutz-Zertifizierung im Sinne der DSGVO wird immer größer. Zunächst schien es so, dass die ISO 27701 hier eine Erlösung bringt. Doch ist das wirklich so? Dieser und weiterer Fragen wollen wir in unserer Artikelreihe “Datenschutz-Zertifizierung nach ISO 27701” nachgehen.
Der Inhalt im Überblick
Was ist die ISO 27701?
Die ISO 27701 ist eine relativ neue Erweiterung von ISO 27001 und ISO 27002 um das Thema Datenschutz. Das Regelwerk wurde im August 2019 veröffentlicht und kann nur zusammen mit ISO 27001 zertifiziert werden. Eine Konformität mit der ISO 27701 setzt also immer zwingend voraus, dass auch die Anforderungen aus der ISO 27001 erfüllt werden. Überprüft und zertifiziert wird das von akkreditierten Zertifizierungsstellen. Jedoch hat sich die DakkS (Deutsche Akkreditierungsstelle) bei der Festlegung der Akkreditierungsbedingungen der Zertifizierungsstellen für ISO 27701 Zeit gelassen, sodass es in Deutschland bisher noch keine solcher Stellen gibt. Man munkelt, dass im zweiten Quartal 2022 die ersten deutschen Unternehmen von der DAkkS akkreditiert sein werden und dann auch hierzulande eine Zertifizierung nach ISO 27701 möglich ist.
Inhaltlich legt die ISO 27701 fest, wie Maßnahmen zum Datenschutz und zur Informationssicherheit zu verknüpfen sind, um die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Managementsystems für Informationen zum Datenschutz (PIMS, en: Privacy Information Management System) zu erreichen.
Handelt es sich bei ISO 27701 um eine Zertifizierung im Sinne der DSGVO?
Wie wir bereits berichtet haben, ist eine Zertifizierung nach ISO 27701 nach aktuellem Stand leider keine Zertifizierung im Sinne der DSGVO.
Denn Art. 42 Abs. 1 DSGVO sieht ein Zertifizierungsverfahren für Verarbeitungsvorgänge vor, die von akkreditierten Zertifizierungsstellen durchgeführt werden können:
„Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.“
Die Anforderungen an die Zertifizierungsstelle werden in Art. 43 der DSGVO beschrieben:
„Die Mitgliedstaaten stellen sicher, dass diese Zertifizierungsstellen von einer oder beiden der folgenden Stellen akkreditiert werden:
1. der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde;
2. der nationalen Akkreditierungsstelle, die gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates im Einklang mit EN-ISO/IEC 17065/2012 und mit den zusätzlichen von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde festgelegten Anforderungen benannt wurde.“
Da es sich bei der ISO 27701 um eine Erweiterung der ISO 27001 handelt, stehen auch hier Managementsysteme im Mittelpunkt. Eine Zertifizierung hierfür erfolgt durch Zertifizierungsstellen, die nach ISO 17021 durch die DakkS akkreditiert wurden. Art. 43 DSGVO hingegen fordert die Akkreditierung von Zertifizierungsstellen entsprechend ISO 17065, die auf eine Zertifizierung von Produkten, Prozessen und Dienstleistungen ausgerichtet ist. Daher entspricht ein ISO 27701-Zertifikat (noch) nicht den Anforderungen der DSGVO.
Das kann gegebenenfalls für ein formales Problem gehalten werden, da Managementsysteme im Kern auch prozessorientiert aufgebaut sind. Grundsätzlich wäre für die Zukunft ein DSGVO-Zertifikat auf der Basis der ISO 27701 also vorstellbar.
Welche Vorteile hat eine Datenschutz-Zertifizierung nach ISO 27701?
Wer schon ein ISMS nach ISO 27001 betreibt, ist gut vorbereitet, um mit denselben Werkzeugen auch die Anforderungen des Datenschutzes zu managen. Aber auch wer in nächster Zeit plant, ein ISMS nach ISO 27001 aufzubauen, sollte in Erwägung ziehen, die ISO 27701 von vorneherein ebenfalls abzudecken. Ein ISMS ist an sich gut geeignet, die Anforderungen des Art. 32 DSGVO zu erfüllen (vgl. unsere Reihe ISMS & DSGVO oder etwa auch das UDZ Saarland, TB 2019, S. 27). Ein PIMS nach ISO 27701 hilft dann die restlichen Regelungen der DSGVO abzudecken. Zudem können Ressourcen (z.B. Schulungstools) gemeinsam genutzt werden.
Die ISO 27701 kann nicht nur beim Nachweis der Einhaltung von Datenschutzbestimmungen in Europa helfen, sondern weltweit. So baut die Norm zwar stark auf der DSGVO auf, fordert aber immer wieder explizit die Einhaltung der in den jeweiligen Ländern gültigen Regularien.
Auch wenn die neue ISO 27701 nach aktuellem Stand keine „DSGVO-Zertifizierung“ gemäß Art. 42 DSGVO ermöglicht, bietet sie die Möglichkeit, den Nachweis des DSGVO-konformen Umgangs mit personenbezogenen Daten zu erleichtern. Eine Zertifizierung des Datenschutzmanagementsystems nach ISO 27701 hat also definitiv Vorteile.
Dieser Artikel ist Teil unserer Reihe zur ISO 27701
In unserer Artikelreihe „Datenschutz-Zertifizierung nach ISO 27701“ möchten wir Ihnen zeigen, dass die Themenbereiche Informationssicherheits- und Datenschutzmanagement mit Hilfe der ISO-Normen erfolgreich im Unternehmen integriert werden können. Im Lichte der ISO 27001 und ISO 27701 werden wir uns in Zukunft folgende Themen anschauen und dann auch hier verlinken:
- ISO-Welt und Managementsysteme
- Datenschutzmanagementsystem
- Datenschutzvorfall
- Betroffenenrechte
- Verarbeitungsverzeichnisse
- Datenschutz-Folgenabschätzung
- Auftraggeber-Management & Kundenzufriedenheit
- Auftragnehmer-Management & Dienstleisterbewertung
- Risikobegriff & Risikobehandlung
- Löschkonzept
- Privacy by Design & Privacy by Default
- Technische und organisatorische Maßnahmen
Aber mal ehrlich: Was haben wir denn davon, wenn Google, Facebook, Daimler und die Werbeindustrie ein Zertifikat haben? Wieso muss man sich überhaupt zertifizieren lassen, dass man geltende Gesetze einhält? Sollte das nicht selbstverständlich sein?
„Sollte das nicht selbstverständlich sein?“ Sollte es. :-)
Aber es ist nicht selbstverständlich. Viele Managementsysteme (z. B. die ISO 9001 und die 27001) verlangen vom ISMS-Betreiber, dass er seine Lieferanten regelmäßig auf Einhaltung der Vorgaben überprüft. Und da reicht es dann eben nicht mehr aus, dass der Lieferant antwortet: „Das ist doch selbstverständlich!“ An dieser Stelle verlangt spätestens der Auditor den Beweis, dass die Prozesse und Vorgaben beim Lieferanten auch wirklich funktionieren. Diesen Beweis der Funktionalität seines ISMS erbringt der Lieferant dann entweder dadurch, dass er einen umfangreichen Fragenkatalog möglichst ausführliche beantwortet, oder eben mit einem gültigen Zertifikat.
Jugendämter halten sich nicht an die DSGVO. Auskünfte werden verweigert und eine Datenkopie gibt es nicht. Selbst eine Folgenabschätzung Art. 35 Absatz 7 DS-GVO werden in familiengerichtlichen Verfahren, wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, nicht befolgt und nicht eingehalten. Das ist kein Einzelfall sondern die gängige Praxis bei allen Jugendämter in der Bundesrepublik Deutschland. Offensichtlich ist die DS-GVO nicht angekommen.