Die bereits seit Mai letzten Jahres in allen Mitgliedstaaten Europas umzusetzende Datenschutz-Grundverordnung (DSGVO) sieht in ihrem Art. 42 ähnlich wie im alten Bundesdatenschutzgesetz eine Zertifizierung vor. Nach wie vor gibt es in Deutschland allerdings keine akkreditierten Stellen, die ein anerkanntes Zertifikat zum Datenschutz nach Art. 42 DSGVO erteilen dürfen. Warum das so ist, wurde bereits in einem eigenen Beitrag in diesem Blog dargestellt. Aus diesem Grund stellt sich die Frage, welche Alternative eventuell zur Erfüllung der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO hilfreich sein könnte. Es ist naheliegend, sich näher mit der Zertifizierungsnorm ISO/IEC 27001 zu beschäftigen, nach der ein strukturiertes Informationssicherheitsmanagementsystem nachgewiesen werden kann, welches auch Compliance-Aspekte bzw. den Datenschutz berücksichtigt.
Aber wie verhalten sich ISO/IEC 27001 und die DSGVO zueinander? Erwachsen einer Organisation Vorteile aus einer bestehenden ISO/IEC 27001-Zertifizierung im Hinblick auf (künftige) Zertifizierungen nach Art. 42 DSGVO oder im Hinblick auf die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO? Welche Vorteile bringt in diesem Zusammenhang eine Erweiterung auf ISO/IEC 27018 (Datenschutz in Cloud-Systemen)?
ISO/IEC 27001
Um diese Fragen zu beantworten, ist zunächst ein genauerer Blick auf die ISO/IEC 27001 erforderlich und hilfreich. Mit dieser Norm werden Managementsysteme zur Informationssicherheit betrachtet und zertifiziert. In diese Managementsysteme müssen auch Aspekte des Datenschutzes mit aufgenommen werden. Die ISO/IEC 27001 betrachtet das Thema Datenschutz jedoch aus einer übergeordneten Sicht als Teilaspekt des Themenbereichs Compliance. Da ISO-Normen international gelten, müssen alle möglichen länderspezifischen rechtlichen Vorgaben berücksichtigen werden, was im Rahmen einer ISO-Norm nur generisch dargestellt werden kann. Spezifische europäische oder deutsche Vorgaben werden deshalb weder durch die ISO/IEC 27001 abgebildet, noch durch die Erweiterungen ISO/IEC 27018, die Handlungsempfehlungen zum Datenschutz in Cloud-Systemen darstellt. Auch dieses Thema wird in einem weiteren Artikel in diesem Blog beleuchtet werden.
Managementsystem vs Datenverarbeitungsvorgang
Die ISO/IEC 27001 ist keine anerkannte Zertifizierungsnorm im Sinne des Art. 43 DSGVO. Für Stellen, die ISO/IEC 27001-Zertifikate erteilen, gilt als Akkreditierungsvoraussetzung u.a. die Erfüllung der ISO/IEC 17021-1. Diese Norm formuliert Anforderungen an Zertifizierungsstellen, die Managementsysteme (z.B. ISO/IEC 27001 oder auch ISO/IEC 9001) auditieren und zertifizieren.
Im Gegensatz dazu fordert die DSGVO für Stellen, die Datenschutzzertifikate nach Art. 42 DSGVO ausstellen wollen, eine Erfüllung der ISO/IEC 17065. Diese formuliert Anforderungen an Stellen, die Zertifizierungen von Produkten, Prozessen und Dienstleistungen anbietet. Der Zertifizierungsgegenstand selbst ist immer ein Datenverarbeitungsvorgang.
Eine Zertifizierung nach ISO/IEC 27001 ist also keine Zertifizierung von Datenverarbeitungsvorgängen, sondern von Managementsystemen. Die Datenschutzkonferenz kommt in ihren „Anforderungen zur Akkreditierung gemäß Art. 43 Abs. 3 DSGVO i.V.m. DIN EN ISO/IEC 17065“ vom 28.08.2018 zu diesem Ergebnis: „Managementsysteme [sind] für die Steuerung von Datenverarbeitungsvorgängen als Gegenstand der Zertifizierung ausgeschlossen.“ Managementsysteme finden lediglich unter bestimmten Bedingungen als Teil eines Zertifizierungsmechanismus Berücksichtigung (siehe dazu unten).
Dennoch gibt es eine Reihe von Anforderungen im Bereich der ISO/IEC 27001, die den Datenschutz betreffen. Und so liegt es letztlich also im Ermessen des Auditors, welche länderspezifischen Datenschutz-Aspekte Gegenstand eines zeitlich begrenzten ISO/IEC 27001-Audits mit Stichprobencharakter sind und ob die umgesetzten Maßnahmen zum Datenschutz ausreichen.
Was soll denn nun geprüft werden?
Als Empfehlung sollten bei einem nativen ISO/IEC 27001-Audit mindestens die folgenden Prüfpunkte zur DSGVO Berücksichtigung finden. Diese Auflistung erhebt keinen Anspruch auf Vollständigkeit, enthält aber einige mögliche Prüffragen, die während eines Audits betrachtet werden könnten:
ISO/IEC 27001 – Abs. 4.2 – Verstehen der Erfordernisse und Erwartungen interessierter Parteien
Die Norm fordert, dass die Organisation die interessierten Parteien bestimmt, die für ihr Informationssicherheitsmanagementsystem relevant sind und die Anforderungen dieser interessierten Parteien mit Bezug zur Informationssicherheit berücksichtigt. Mit der DSGVO müssen erheblich erweiterte Meldepflichten bei Datenschutzverletzungen erfüllt werden. Werden die Datenschutzaufsichtsbehörden als interessierte Parteien genannt und wurden ihre Anforderungen analysiert?
ISO/IEC 27001 – 6.1.2 – Informationssicherheitsrisikobeurteilung
In welchem Verhältnis klassische Risikoanalysen nach ISO/IEC 27005 oder dem BSI-Standard 200-3 zur Datenschutzfolgeabschätzung nach DSGVO stehen, wird demnächst detailliert in einem weiteren Artikel in diesem Blog beleuchtet werden, da dies den Rahmen dieses Artikels sprengen würde. Dennoch sollen die wichtigsten Anforderungen der in bestimmten Anwendungsfällen geforderten Datenschutzfolgeabschätzung hier genannt sein, mit der eine klassische Risikoanalyse im Hinblick auf die DSGVO ergänzt werden sollte:
- Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen. Diese Beschreibungen könnten auch in das Verarbeitungsverzeichnis aufgenommen werden.
- Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck. Auch diese Bewertung könnte in das Verarbeitungsverzeichnis aufgenommen werden.
- Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen. Hier bietet es sich an, eine entsprechende Bewertung in die Risikoanalyse des Informationssicherheitsmanagements in Form der über die drei Primärschutzziele hinausgehenden datenschutzgetriebenen Anforderungen (z.B. Belastbarkeit der Systeme und Dienste oder Trennbarkeit) aufzunehmen. Faktisch läuft das auf die Aufnahme einer zusätzlichen Spalte in der Risikoanalyse hinaus. Der Aufwand dazu scheint überschaubar.
Wurden die Anforderungen der Datenschutzfolgeabschätzung in der Risikoanalyse berücksichtigt?
ISO/IEC 27001 – A.7.1.2 – Beschäftigungs- und Vertragsbedingungen
Unter diesem Aspekt sollen Themen wie Verschwiegenheits- bzw. Vertraulichkeitsverpflichtungen, aber auch Schulungen bzw. Awareness-Maßnahmen für interne Mitarbeitende aber auch für externe Auftragnehmer beleuchtet werden. Sind in den vertraglichen Vereinbarungen mit Beschäftigten und Auftragnehmern deren Verantwortlichkeiten und diejenigen der Organisation insbesondere hinsichtlich des Datenschutzes festgelegt? Werden neue Beschäftigte möglicherweise noch auf § 5 BDSG alt verpflichtet?
ISO/IEC 27001 – A.11 – Physische und umgebungsbezogene Sicherheit
Regelmäßig wird ein Großteil der technischen und organisatorischen Maßnahmen aus diesem Bereich bei einem erfolgreichem Zertifizierungsaudit nach ISO/IEC 27001 erfüllt sein. Insbesondere im Bereich der Zutritts-, Zugangs- und Zugriffskontrolle sowie des Monitorings, der Protokollierung und des umgebungsbezogenen physischen Schutzes werden die Anforderungen, die sich aus der DSGVO ergeben, in vielen Fällen als umgesetzt gelten können. Sind die umgesetzten technischen und organisatorischen Maßnahmen zur Umgebungssicherheit geeignet, den Datenschutz zu gewährleisten?
ISO/IEC 27001 – A.13 – Kommunikationssicherheit
Dieser Normaspekt fordert die Sicherstellung des Schutzes von Information in Netzwerken und den unterstützenden informationsverarbeitenden Einrichtungen. Damit entspricht er im Wesentlichen den Anforderungen des datenschutzrechtlichen Aspekts der Transportkontrolle. Sind Informationsdienste, Benutzer und Informationssysteme in Netzwerken angemessen voneinander getrennt? Werden Netzwerke angemessen überwacht, verwaltet und gesteuert?
ISO/IEC 27001 – A.14.3.1 – Schutz von Testdaten
Der Einsatz von personenbezogenen Echtdaten bei Tests ist datenschutzrechtlich schon immer problematisch gewesen. Die Erhebung personenbezogener Daten darf nur zweckgebunden erfolgen und erfordert die vorherige Einwilligung der betroffenen Personen. Die Einwilligung zur Verwendung der erhobenen Daten zu Testzwecken wird jedoch in den meisten Fällen weder abgefragt noch erteilt worden sein. Sollten personenbezogene Echtdaten zu Testzwecken zum Einsatz kommen, ist darauf zu achten, dass die erforderlichen Sicherheitsmaßnahmen von Testsystemen, die von Produktivsystemen nicht unterschreiten. Wurden Maßnahmen zur Pseudonymisierung oder Anonymisierung umgesetzt? Wurden die Daten minimiert? Wurde die ggf. notwendige Einwilligung der betroffenen Personen vorher eingeholt und dokumentiert? Werden personenbezogene Daten in Testsystemen durch technische und organisatorische Maßnahmen angemessen geschützt?
ISO/IEC 27001 – A.15.2.1 – Überwachung und Überprüfung von Lieferantendienstleistungen
Generell wird von der Norm gefordert, dass Organisationen die Dienstleistungserbringung durch Lieferanten hinsichtlich Informationssicherheit regelmäßig überwachen, überprüfen und auditieren. Auch das alte BDSG forderte dies im Zusammenhang mit Auftragsdatenverarbeitungsverhältnissen. Die ISO/IEC 27001 geht an dieser Stelle jedoch über die Forderungen der DSGVO hinaus, da die DSGVO mit Art. 28 lediglich eine Unterstützungspflicht durch den Auftragnehmer vorsieht, jedoch keine explizite Prüfpflicht durch den Auftraggeber. Diese ergibt sich aus der DSGVO nur indirekt. Gleichwohl sind auch hier Kontrollen gemäß Art. 5 DSGVO nachzuweisen.
ISO/IEC 27001 – A.18.1.1 – Bestimmung der anwendbaren Gesetzgebung und der vertraglichen Anforderungen
Welche Gesetzgebung zum Datenschutz ist einschlägig? DSGVO, Bundes- oder Landesdatenschutzgesetze? Gibt es die Verpflichtung zur Bestellung eines Datenschutzbeauftragten? Liegen entsprechende Fachkompetenznachweise vor? Wurden Meldepflichten in den Ablaufprozessen berücksichtigt? Enthalten die Verträge zu Auftragsverarbeitungsverhältnissen alle relevanten Angaben? Ist der Auftragnehmer verpflichtet, ein Verarbeitungsverzeichnis inklusive der Verarbeitungsvorgänge des Auftraggebers zu führen?
ISO/IEC 27001 – A.18.1.4 – Privatsphäre und Schutz personenbezogener Informationen
Hierunter dürften sich die meisten Überschneidungen mit der DSGVO ergeben, deren Schutzzweck sich ebenfalls auf den Schutz personenbezogener Informationen bezieht. Es können nahezu beliebige länderspezifische datenschutzrechtliche Vorgaben Berücksichtigung finden und vom Auditor abgeprüft werden. Welche personenbezogenen Daten verarbeitet die Organisation? Ist sich die Organisation überhaupt darüber bewusst, dass es solche Informationen verarbeitet? Wurden diese Daten in die Risikoüberlegungen einbezogen? Wie sind diese Daten geschützt? Wie verhält es sich mit einem immer kritischen Drittstaatentransfer der Daten?
Erfüllungsgehilfe der Rechenschaftspflicht
Informationssicherheit stellt eine der Grundsäulen für den Datenschutz dar. Eine Zertifizierung nach ISO/IEC 27001, mit der ein funktionierendes und strukturiertes Informationssicherheitsmanagement nachgewiesen werden kann, sollte abhängig von den konkret geprüften Anforderungen und unter Berücksichtigung der folgenden Punkte durchaus eine Hilfe bei der Erfüllung der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO sein:
- Der im Rahmen der DSGVO zu berücksichtigende Datenverarbeitungsvorgang ist Bestandteil des Geltungsbereichs des nach ISO/IEC 27001 zertifizierten Informationsmanagementsystems.
- Die Erklärung zur Anwendbarkeit enthält einen genau beschriebenen Zertifizierungsgegenstand und eine Darstellung der Schnittstellen bzw. Übergänge zu anderen Systemen und Organisationen.
- Ein vollständiges Zertifizierungsgutachten (d.h. der Audit-Bericht und nicht nur die Zertifizierungsurkunde) liegt vor.
Gestützt wird dies durch die Datenschutzkonferenz in den „Anforderungen zur Akkreditierung gemäß Art. 43 Abs. 3 DSGVO i.V.m. DIN EN ISO/IEC 17065“ vom 28.08.2018: „Andere durch eine akkreditierte Zertifizierungsstelle erteilte Zertifizierungen als solche nach Art. 42 DSGVO (z.B. ISO-Zertifizierungen) können […] einen Faktor für die Konformität [nach DSGVO] darstellen und als solche im Rahmen der Zertifizierung beachtet werden.“
Tatsächlich gibt es jedoch auch fast ein Jahr nach Anwendung der DSGVO keine belastbaren Erfahrungen im Umgang der Datenschutzaufsichtsbehörden mit ISO/IEC 27001-Zertifikaten. Die Eingangs gestellte Frage, ob eine ISO/IEC 27001-Zertifizierung also bei der Erfüllung der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO hilft, muss also mit einem entschiedenen „Es kommt darauf an“ beantwortet werden.