Mit der Weihnachtszeit naht auch das Jahresende und somit steht auch immer ein kleiner Jahresrückblick an. Was hat sich verändert? Was ist neu?
Auch wenn wir uns gewünscht hätten in diesem Jahr endlich ein Datenschutzzertifikat gemäß DSGVO unter den Weihnachtsbaum legen zu können, werden wir diesen Wunsch wohl erst im nächsten Jahr erfüllen können. Dennoch gibt es eine kleine Überraschung für unser Zertifikatsportfolio.
Wer eine Zertifizierung für ein Informationsmanagementsystem nach ISO/IEC 27001 anstrebt oder gar schon hat, kann sich endlich auch mit einem Datenschutzzertifikat beschenken. Denn hierfür kann, mit der Ergänzungsnorm ISO/IEC 27701, auch ein Datenschutz-Managementsystem zertifiziert werden.
Aber was bedeutet Ergänzungsnorm?
Konkret wird das nach ISO/IEC 27001 zu zertifizierendes Informationssicherheits-Managementsystem um Datenschutz-Aspekte erweitert. Die Basis bildet ein ISO/IEC 27001 Managementsystem für Informationssicherheit. Es also nur möglich ein Datenschutzmanagementsystem zertifizieren zu lassen, wenn auch ein Informationssicherheits-Managementsystem besteht und zertifiziert wird oder wurde. Mit der Ergänzungsnorm können im ISMS über das Statement of Applicability (SOA-Dokument) weitere normative Anforderungen, wie etwa die ISO/IEC 27701, aufgenommen und im Rahmen eines Audits geprüft und zertifiziert werden.
Eine Zertifizierung gemäß ISO/IEC 27701 alleine kann nicht erteilt werden, da es sich hierbei nicht um eine Zertifizierungsnorm handelt. Zertifiziert wird stets ein ISMS gemäß ISO/IEC 27001.
Also doch kein Datenschutzzertifikat?
Nun hieß es aber doch so lange es gibt kein Datenschutzzertifikat. Ist das Warten nun vorbei? Hierzu muss man unterscheiden zwischen Zertifikaten gemäß Artikel 42 DSGVO und der ISO-Norm für ein Datenschutzmanagementsystem gemäß ISO/IEC 27701. Im Gegensatz zu einem DSGVO Zertifikat steht bei der ISO/IEC 27701 keine Datenverarbeitung im Vordergrund, sondern ein allgemeines Managementsystem mit Prozessen für den Datenschutz. Folglich werden nicht die Datenverarbeitungen an sich geprüft und zertifiziert, wohl aber z. B. ob die Prozesse zum Lieferantenmanagement auch in Bezug auf Auftragsverarbeitung funktionieren.
Beide Ansätze fördern auf Ihre Weise die Einhaltung der Vorgaben für den Datenschutz. Ein Zertifikat nach Artikel 42 DSGVO bestätigt die Einhaltung der DSGVO für eine ganz konkrete Datenverarbeitung. Ein Datenschutzmanagementsystem dient der Aufrechterhaltung von bestimmten festgelegten Prozessen und Regeln für den Umgang mit Datenschutzaspekten, welche sodann ein DSGVO-konformes Handeln steuern können.
Es ist jedoch so, dass es sich bei der ISO/IEC 27701 um eine Managementnorm handelt, und die Zertifizierungsstellen werden gemäß der Akkreditierungsnorm ISO/IEC 17021-1 bzw. ISO/IEC 27006 akkreditiert. Wann immer in der DSGVO von einer Zertifizierung gemäß Artikel 42 gesprochen wird, ist eine andere Akkreditierungsnorm gemeint, nämlich die ISO/IEC 17065 für Produkte und Dienstleistungen.
Wenn also in Art. 25 Abs. 3 der DSGVO davon gesprochen wird, dass ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 als Faktor herangezogen werden kann, um die Erfüllung der in den Absätzen 1 und 2 genannten Anforderungen nachzuweisen, so ist dies nur möglich, wenn hierfür ein Zertifizierungsverfahren welches auf der Grundlage von ISO/IEC 17065 angewendet wurde.
Ist ein zertifiziertes Datenschutz-Managementsystem sinnvoll?
Ein Datenschutz-Managementsystem hilft dabei Prozesse zu steuern, die zur Einhaltung des Datenschutzrechts im Unternehmen dienen, z. B. durch bestehende Anweisungen, Regeln, Formblätter sowie eine umfassende Dokumentation. Dies trägt erheblich zur Erfüllung von Rechenschafts- und Nachweispflichten bei. Damit können nicht nur diese Pflichten erfüllt werden, sondern auch Unstimmigkeiten aufgedeckt werden und Datenschutzverletzungen vermieden werden oder aber etwaige Datenschutzverletzungen besser gesteuert und nachvollzogen werden. Ein zertifiziertes Datenschutz-Managementsystem bedeutet, dass dieses von einer unabhängigen dritten Stelle geprüft und deren Wirksamkeit bestätigt wurde. Akkreditierte Zertifizierungsstelle unterliegen selber strengen Anforderungen bei der Durchführung von Audits, sodass das Zertifikat eine entsprechende Aussagekraft erhält. Im Bereich des Informationssicherheits-Managementsystem hat es bspw. für Rechenzentren bereits durchgesetzt die Erfüllung von Sicherheitsstandards durch ein ISO/IEC 27001 Zertifikat nachzuweisen. Dies erleichtert zum Beispiel den Nachweis für Audits durch Verantwortliche bei den jeweiligen Rechenzentren. Eine Erweiterung des ISO/IEC 27001 Zertifikats um ein ISO/IEC 27701 Zertifikat, zeigt den Verantwortlichen in so einem Fall, dass auch die datenschutzrechtlichen Prozesse geprüft wurde.
Auch wenn sich die DSGVO nicht direkt auf die Managementzertifizierungen bezieht wird ein funktionierendes Datenschutzmanagementsystem immer positive Auswirkungen auf die Einhaltung des Datenschutzes im Unternehmen haben und sicherlich auch von Datenschutzaufsichtsbehörden als Maßnahme zur Einhaltung und Förderung des Datenschutzes gewertet werden.
Und was ist nun mit dem Artikel 42 DSGVO Zertifikat?
DSGVO-Zertifikate mussten von Grund auf neu entwickelt werden und unterliegen einem langen Genehmigungsprozess der deutschen Akkreditierungsstelle und der zuständigen Datenschutzaufsichtsbehörden. Diese Prozesse dauern noch immer an. In Deutschland gibt es derzeit also noch keine akkreditierten Zertifizierungsstellen, die ein solches Zertifikat erteilen dürfen. Diese Zertifikate sind also weiterhin nur in Vorbereitung. Dazu werden wir demnächst (hoffentlich) mehr sagen können. Wir freuen uns auf die News in 2024 zu diesem Thema und sind sicher: 2024 wird es auch ein solches Zertifikat geben.