ISO-Zertifizierungen sind hierzulande unverändert hoch im Kurs. Man verspricht sich Sicherheit und gleichzeitig Arbeitsersparnis bei Auswahl und Prüfung von Assets oder auch Geschäftspartnern. Obgleich vorhandene Zertifizierungen zahlreiche Vorteile bieten und durchaus als Teil einer gelungenen Compliance angesehen werden können, sollte im datenschutzrechtlichen Bereich durchaus ein kritischer Blick gewahrt werden.
Der Inhalt im Überblick
Zertifizierung als Nonplusultra?
Wir Deutschen lieben Zertifizierungen. Ob TÜV, DEKRA oder die Internationale Organisation für Normung (ISO), das Vorliegen eines Nachweises über die Einhaltung vorab definierter Anforderungen sorgt bei uns für ein wohliges Gefühl der Sicherheit.
Auch spart man sich vermeintlich mühsame Feinarbeit, wenn nötige Prüfungen doch bereits von einer unabhängigen und angesehenen Stelle durchgeführt wurden. So zumindest die täglich gebetsmühlenartig wiederholten Argumente von Verantwortlichen.
Uns Datenschützern begegnet eine Zertifizierung dieser Tage besonders häufig: Die ISO/IEC 27001 gilt als der heilige Gral im IT-Dienstleistermanagement. Wer sie vorweisen kann, ist oft bereits über jeden Zweifel erhaben. Doch kann es wirklich so einfach gehen?
Was steckt hinter der Norm?
Wir haben bereits in anderen Artikeln sowie in entsprechenden Webinaren ausführlich über die ISO/IEC 27001-Zertifizierung und Ihren Wert für Unternehmen gesprochen. Die Zertifizierung attestiert dem zertifizierten Unternehmen ein dem internationalen Standard entsprechendes Informationssicherheitsmanagement (ISMS). Geprüft werden Schutzziele wie Vertraulichkeit und Integrität von Daten, die sich so teilweise auch in den Anforderungen der DSGVO wiederfinden.
Der Prozess der Zertifizierung ist oft ein steiniger, kann sich jedoch für das betroffene Unternehmen durchaus rechnen. Dies nicht zuletzt deshalb, da ein aktuelles ISO/IEC 27001-Zertifikat oftmals als Garant für Zuverlässigkeit und Sicherheit angesehen wird. Dieser Ruf kommt dabei nicht von ungefähr, wird das Unternehmen doch auf Herz und Nieren geprüft und insbesondere das ISMS im Rahmen der Prüfung einmal auf links gedreht.
Was aus der Sicht eines Informationssicherheitsbeauftragten (zurecht) ein Quell wahrer Freude ist, ist auch für den Datenschützer bisweilen verführerisch. Wie einfach wäre eine Kontrolle von Dienstleistern, wenn man stets einfach auf vorhandene Zertifizierungen abstellen könnte und sich eine Prüfung im Einzelfall erspart?
Anforderungen an die Dienstleisterkontrolle nach der DSGVO
Bei der Einbindung neuer Dienstleister erfordert Art. 28 Abs. 1 DSGVO, dass nur solche Unternehmen mit einer Leistung beauftragt werden, die „hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen“ vorliegen, um den Anforderungen der DSGVO zu genügen und den Schutz der Rechte der Betroffenen zu gewährleisten.
Diese Anforderung führt dazu, dass neue Dienstleister grundsätzlich vor der Beauftragung auf vorhandene Maßnahmen zu prüfen und danach regelmäßig zu kontrollieren sind. Die Anforderungen finden sich in detaillierterer Form in Art. 32 DSGVO wieder. Die Prüfung und Kontrolle solcher Dienstleister kann sich mitunter durchaus umfangreich gestalten. Der schnelle Blick in die standardmäßig übermittelte Liste vorhandener technischer und organisatorischer Maßnahmen („TOM“) führt nur in seltenen Fällen zu umfassenden Einblicken.
Dies liegt üblicherweise daran, dass eine pauschale Beurteilung nur in den seltensten Fällen möglich ist. Art. 32 Abs. 1 DSGVO fordert vielmehr eine Berücksichtigung folgender Punkte:
- Stand der Technik
- Implementierungskosten
- Art, Umfang, Umstände und Zwecke der Verarbeitung
- Eintrittswahrscheinlichkeit und Schwere des Risikos
Bereits aus dem Verweis auf Art, Umfang, Umstände und Zwecke der Verarbeitung wird klar: Pauschale Angaben helfen wenig, wenn es in jedem Fall auf die konkret verarbeiteten Daten ankommt.
Die Anforderungen an einen Cloud-Dienstleister etwa sind bei der Verarbeitung von Gesundheitsinformationen völlig anders zu beurteilen als bei der Speicherung dienstlicher E-Mail-Adressen.
Dies führt dazu, dass die TOM von Dienstleistern, aber auch Verantwortlichem selbst stets am konkreten Einzelfall gemessen werden müssen. Ein Dienstleister, der für den einen Zweck völlig geeignet erscheint, kann sich für einen gänzlich anderen Zweck als hochriskante Wahl entpuppen.
ISO 27001 als Nachweis geeigneter TOM?
Dass eine solche einzelfallbezogene Prüfung einiges an Ressourcen und Zeit beansprucht, und insbesondere bei den „großen“ Anbietern aufgrund durchwachsener Informationsdichte kaum möglich ist, fällt schnell ins Auge. Oft kommt an dieser Stelle eine vorhandene ISO/IEC-Zertifizierung ins Spiel. Ob man nicht deshalb auf eine detaillierte Prüfung verzichten könne, schließlich wäre doch alles schon einmal geprüft worden.
Dabei wird allerdings oftmals verkannt, welchen Scope eine ISO/IEC 27001-Zertifizierung tatsächlich hat. Als Zertifizierung für ein Informationssicherheitsmanagementsystem sagt sie nämlich zunächst nichts aus über die Geeignetheit der vorliegenden Maßnahmen bezogen auf den konkreten Zweck. Auch die Prüfungsinhalte unterscheiden sich oft maßgeblich von den Anforderungen, die im Einzelfall an die ergriffenen Maßnahmen zu stellen sind.
Stets sollte deshalb im Blick behalten werden
- Welche Inhalte im Rahmen der Zertifizierung geprüft wurden und ob diese mit der geplanten Verarbeitung vereinbar sind.
- Ob die geprüften Inhalte überhaupt auf den Bereich des Dienstleisters, der für die geplante Verarbeitung relevant ist, bezogen werden können.
Man könnte hier auf den Gedanken kommen, ergänzend die ISO 27701 heranzuziehen, welche sich stärker auf Datenschutzmanagement-Systeme konzentriert. Doch auch diese führt nicht zum erwünschten Ergebnis. Nach wie vor fehlt nämlich eine Beurteilung einzelner Prozesse, der Fokus liegt auch hier auf dem Managementsystem selbst. Eine umfassendere Betrachtung haben wir in einem separaten Artikel vorgenommen.
Kein Allheilmittel, aber ein guter Anfang
Es gilt demnach die klare Aussage: Die ISO/IEC 27001 ist keine datenschutzrechtliche Zertifizierung i.S.d. Art. 42 DSGVO. Auch kann eine solche Zertifizierung die Prüfung der technischen und organisatorischen Maßnahmen eines Dienstleisters oder eines Verantwortlichen nicht ersetzen.
Nichtsdestotrotz kann eine vorhandene Zertifizierung bei der Entscheidungsfindung maßgeblich sein. So zeigt sie zumindest, dass ein strukturiertes, durchdachtes und belastbares ISMS vorliegt und interne Prozesse existieren, die durchaus auch Grundlage für ein geeignetes Datenschutzmanagement sein können.
Zu dieser Thematik verweisen wir gerne insbesondere auf die Kollegin Anna Cardillo (Twitter: @annacardillo_), welche diese Thematik nicht nur in einem spannenden Vortrag beim 2. Communitytreffen des #TeamDatenschutz darstellte, sondern den rechtlichen Hintergründen in einem entsprechenden Aufsatz weitaus detaillierter auf den Grund geht, als wir es hier könnten.
Zudem verweisen wir auf den informativen Podcast des Kollegen Stephan Hansen-Oest zu diesem Thema.