Viele Unternehmen sind auf der Suche nach einem Zertifikat, mit dem Sie die Einhaltung der DSGVO nachweisen und ihrer Rechenschaftspflicht nachkommen können.
Verstärkt erscheinen Unternehmen auf der Bildfläche, die in diesem Zusammenhang die ISO/IEC 27552 ins Spiel bringen und eine Prüfung nach dieser Norm anbieten. Doch was genau wird eigentlich mit dieser Norm zertifiziert und: Ist das Ergebnis DSGVO-konform?
Datenschutz als Ergänzung für das Managementsystem
Mit der Norm ISO/IEC 27552 „Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“, die derzeit als Entwurf diskutiert wird, lässt sich ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 wunderbar um Datenschutz-Aspekte ergänzen.
Ähnlich wie bei ISO/IEC 27017, 27018 oder 27019 erweitert auch die ISO/IEC 27552 die Controls der ISO/IEC 27001 um Datenschutz-Anforderungen, die dann im Kontext einer ISO/IEC 27001-Auditierung mitbetrachtet werden können. Kurzum: Das nach ISO/IEC 27001 zu zertifizierende Informationssicherheits-Managementsystem wird um Datenschutz-Aspekte erweitert.
ISO/IEC 27552 ist keine Zertifizierungsnorm
Dabei ist wichtig zu wissen: ISO/IEC 27552 ist keine Zertifizierungsnorm. Zertifiziert wird stets ein ISMS gem. ISO/IEC 27001. Es ist aber möglich, in seinem ISMS über das Statement of Applicability (SOA-Dokument) weitere normative Anforderungen, wie etwa die 27552, hinzuzufügen – und diese auch im Rahmen eines Audits mit überprüfen zu lassen. ABER: Zertifiziert wird nur das ISMS.
Keine Zertifizierung gemäß DSGVO
Die EU-Datenschutz-Grundverordnung (DSGVO) sieht in Artikel 42 Zertifizierungsverfahren für Verarbeitungsvorgänge vor, die von akkreditierten Zertifizierungsstellen durchgeführt werden können.
Die ISO/IEC 27552 ist jedoch KEINE per se zugelassene Norm, die sich hier anwenden ließe. Hintergrund ist, dass der Gesetzgeber in der DSGVO die Akkreditierungsnorm ISO/IEC 17065 für Produkte und Dienstleistungen vorgegeben hat, während ISO/IEC 27001 zu den sogenannten Managementsystemnormen zählt. Derzeit gibt es noch keine DSGVO-konformen Zertifizierungen. Zum aktuellen Sachstand bzgl. zugelassener DSGVO-Zertifizierungsverfahren verweisen wir auf unseren Artikel „Zertifizierungen gemäß DSGVO“.
David Gabel
5. März 2019 @ 7:41
Wie sieht es denn mit Art. 43 Abs. 1 lit. a aus? ISO/IEC 17065 ist nur eine von zwei Möglichkeiten, oder? Die Dakks und die Aufsichtsbehörden in Deutschland können sich doch auch für ISO/IEC 17021 entscheiden und die ISO/IEC 27001 i.V.m. ISO/IEC 27002 und ISO/IEC 27552 akzeptieren.
Dr. Sönke Maseberg
5. März 2019 @ 8:59
Sehr geehrter Herr Gabel,
vielen Dank für Ihren Hinweis.
Für privat-wirtschaftliche Zertifizierungsstellen gibt es nur eine Möglichkeit: Akkreditierung durch DAkkS auf Basis ISO/IEC 17065 plus Befugniserteilung durch Datenschutz-Aufsichtsbehörde. Für Aufsichtsbehörden gibt es die von Ihnen genannte Möglichkeit aus Art. 43 Abs. 1 lit. a. In Gesprächen mit DAkkS und Aufsichtsbehörden wurde übrigens festgestellt, dass ISO/IEC 17065 gesetzt ist, auch aus europarechtlichen Erwägungen, da auch das Board (EDPB) diese Akkreditierungsform vorgibt.
Mit besten Grüßen
Sönke Maseberg
ISO/IEC 27552 keine DSGVO-konforme Zertifizierung - QM-aktuell.de
4. März 2019 @ 15:55
[…] datenschutz-notizen.de […]
Peter Odenthal
4. März 2019 @ 14:06
Die Aussage zu ISO/IEC 17065 ist wohl ein Mißverständnis, denn mit Produkten und Dienstleistungen hat der Datenschutz wohl weniger zu tun als mit einem Managementsystem. Es heißt ja auch „Datenschutz-Managementsystem“. Von daher ist ISO 27001 wohl doch sehr gut zum Nachweis geeigneter Maßnahmen.
Daniela Windelband
4. März 2019 @ 17:10
Sehr geehrter Herr Odenthal,
inhaltlich haben Sie völlig Recht. Aber in der DSGVO ist die Akkreditierungsnorm vorgegeben (Art. 43): ISO/IEC 17065. Von daher sind Produkte und Dienstleistungen gesetzt.
Mit freundlichen Grüßen
Ihre Blogredaktion
Peter Odenthal
5. März 2019 @ 9:25
Oh, je – na, dann ist es wohl nur noch eine Frage der Zeit, bis irgendwer einen neuen Standard für DSMS „erfindet“, obwohl schon alles da ist, was man braucht. Ich sage nur SDM … 🙁