Datenschutz

Zertifizierbarer Datenschutz

Author: Michel Paß
Berater für IT-Sicherheit und Datenschutz

Im Alltag muss man sich an vielen Stellen darauf verlassen können, dass die Dinge in einem geordneten Rahmen verlaufen und dass wichtige Abläufe überprüft werden. Doch gilt das, was für die Lebensmittelsicherheit und das Auto gilt, auch für den Datenschutz? Oder anders gefragt: Kann man Datenschutz zertifizieren lassen?

Im Alltag muss man sich an vielen Stellen darauf verlassen können, dass die Dinge in einem geordneten Rahmen verlaufen und dass wichtige Abläufe überprüft werden. Doch gilt das, was für die Lebensmittelsicherheit und das Auto gilt, auch für den Datenschutz? Oder anders gefragt: Kann man Datenschutz zertifizieren lassen?

Die Datenschutz-Grundverordnung (DSGVO) sieht diese Möglichkeit in Artikel 42 auf europäischer Ebene vor und die für Deutschland spezifischen Regelungen werden in § 39 des Bundesdatenschutzgesetzes (BDSG) konkretisiert. Diese Regelungen sehen vor, dass die Deutsche Akkreditierungsstelle (DAkkS) freigibt, wer eine Zertifizierung nach DSGVO durchführen darf und welche Anforderungen dafür erforderlich sind. Da dies mit einem aufwendigen und langwierigen Verfahren verbunden ist, stehen bisher weder Zertifizierungsstellen, noch konkrete Anforderungen fest. Kann man sich also doch noch nicht zertifizieren lassen? Die Antwort hierauf ist kein klares „JEIN“. Zwar sind Zertifizierungen nach DSGVO aktuell weder für einzelne Verarbeitungen, Softwaresysteme oder ganze Unternehmen möglich, aber die aus dem Datenschutz abgeleiteten Anforderungen lassen sich zertifizieren.

So schreibt Artikel 32 DSGVO eine angemessene Sicherheit der Verarbeitung personenbezogener Daten vor und zielt damit ganz klar auch auf IT-Systeme und Prozesse rund um die Verarbeitung von Informationen ab. Diese wiederum, bzw. die Managementsysteme, welche diese Prozesse steuern, lassen sich nach etablierten Standards, wie der ISO/IEC 27001 oder dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik zertifizieren.

Vorteile von Zertifizierungen

Eine solche Zertifizierung bietet nicht nur im Schadensfall einen Nachweis dafür, dass man sich angemessen um die Sicherheit der Verarbeitung gekümmert hat, sondern sie bietet auch das Potential einer kontinuierlichen Verbesserung. Die gängigen Zertifizierungen betrachten immer Managementsysteme, in denen die Informationssicherheit verwaltet wird. Durch eine vorgeschrieben laufende Verbesserung (Plan, Do, Check, Act – PDCA-Zyklus) muss regelmäßig überprüft werden, ob sich die Rahmenbedingungen geändert haben und ob Anpassungen notwendig sind. Eine Zertifizierung im Bereich Informationssicherheit zwingt Sie also dazu, sich laufend mit der Verbesserung der Informationssicherheit zu beschäftigen.

Ein weiterer Vorteil einer solchen Zertifizierung besteht für Auftragsverarbeiter im Sinne von Art. 4 DSGVO. Diese müssen gem. Art. 28 DSGVO ebenfalls die Anforderungen zur Sicherung der Verarbeitung einhalten, diese aber auch gegenüber dem Auftraggeber nachweisen können. Dies kann in Einzelnachweisen, wie etwa Überprüfungen vor Ort, stattfinden. Bei Konstrukten, an denen viele Auftragsverarbeiter oder Auftraggeber beteiligt sind, sind diese Einzelprüfungen in der Regel mit einem nicht zu rechtfertigenden Personalaufwand verbunden. Um hier Abhilfe zu schaffen, kann eine Zertifizierung als Indikator für die Sicherheit der Verarbeitung bei einem Auftragsverarbeiter herangezogen werden, sodass nur bei besonders sensiblen Verarbeitungen eine Überprüfung erfolgen muss. Hierdurch lässt sich der Überprüfungsaufwand für alle Beteiligten deutlich reduzieren.

Seit Ende 2019 gibt es neben den Normen zur Umsetzung von Informationssicherheit auch eine ergänzende Norm zur Erweiterung von Informationssicherheitsmanagementsystemen um Datenschutzaspekte. Die ISO/IEC 27701:2019 baut auf der ISO/IEC 27001 auf und erweitert diese um Anforderungen der DSGVO. Dazu wird ein direkter Abgleich zwischen den Artikeln der DSGVO und der Umsetzung in dem Informations- bzw. Datenschutzmanagementsystem bereitgestellt. Eine Zertifizierung nach ISO/IEC 27701 ist allerdings nicht möglich.

Was kann man also in der aktuellen Situation tun?

Da in Deutschland noch keine DAkkS-akkreditierte Zertifizierungen nach DSGVO möglich sind, bleibt aktuell nur eine möglichst umfassende Vorbereitung auf eine kommende Zertifizierung. Diese kann sich an den vorhandenen Normen orientieren, da diese am ehesten einen Anhaltspunkt geben, wie eine Zertifizierung in der Zukunft aussehen wird.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.