Die Welt braucht Standards und Normen. Auch wenn es kaum jemand zugeben will, ist es doch gut, wenn man sich darauf verlassen kann, dass Dinge einfach so sind wie sie sind, weil es mal jemand so festgelegt hat. Ich weiß, niemand möchte ein standardisiertes Leben führen und das ist auch gut so. Schließlich sind wir alle Individuen. Aber ganz so einfach ist es nicht. Unser Leben wäre nämlich unendlich komplizierter, wenn es keine Standards gäbe. Zeiteingaben, Steckdosen, Netzwerkverbindungen. Standards können das Leben leichter machen. Beim Datenschutz ist es ähnlich. Die Herangehensweise der Unternehmen an den Datenschutz variiert stark. Um bei einer Zusammenarbeit ein gemeinsames Verständnis zu erlangen bedarf es einer einheitlichen Grundlage. Die DSGVO sieht z.B. in Artikel 42 Zertifizierungsverfahren, Datenschutzsiegel- und prüfzeichen vor, “die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.” Hier wird eine Produkt- oder Prozesszertifizierung für Verarbeitungsvorgänge beschrieben. Sie kann dazu dienen Vertrauen zu schaffen, dass Daten entsprechend den Vorgaben der DSGVO verarbeitet werden.
Die Zusammenarbeit mit einem Auftragsverarbeiter nach Art. 28 Abs. 1 ist nur zulässig, wenn der Auftragsverarbeiter hinreichend Garantien bietet, „dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Diese Garantien machen Sinn in Verbindung mit Abs. 3 S. 2 lit b wozu nicht nur die Auswahl und Umsetzung geeigneter Maßnahmen gehört, sondern auch die regelmäßige Überprüfung der Wirksamkeit dieser Maßnahmen. Diesen Anspruch kann eher eine Systemzertifizierung als eine Produktzertifizierung leisten. (Anm: Die DSGVO beschränkt sich selbst zwar mit dem Verweis auf die ISO/IEC 17065/2012 auf Produktzertifizierungen, Verantwortliche sind aber frei zu wählen, welche Garantien sie als geeignet ansehen.)
Die International Organization for Standardization hat den Entwurf für einen Management System Standard vorgestellt. Der Standard trägt den Namen “Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines” und hat die Nummer “ISO/IEC DIS 27552”. Ziemlich hochtrabender Titel, aber so funktioniert die Normenwelt. Der Standard ist eine Erweiterung der Norm ISO/IEC 27001 und ISO/IEC 27002 um die Anforderungen des Datenschutzes und beschreibt damit die Anforderungen an ein Datenschutz Managementsystem (DSMS). Zu den Grundlagen eines Datenschutz Managementsystems habe ich bereits einen Beitrag verfasst. Der Standard ist selbst nicht zertifizierbar, denn er funktioniert nur im Zusammenhang mit einer ISO/IEC 27001 Implementierung. Zertifizert wird die Umsetzung der ISO/IEC 27001 mit der entsprechenden Erweiterung. Diese Vorgehen ist aus anderen branchenspezifischen Standards bereits bekannt.
Die ISO 27552 besteht aus mehreren Teilen:
- Kapitel 0 – 3 enthält die üblichen Referenzen und Verweise auf verwandte Werke, sowie Hinweise zur Begründung der Norm, Entstehung, Abkürzungen usw.
- Kapitel 4 erklärt die Anwendung und Struktur der Norm und bildet die Kapitel des Dokuments auf die Kapitel der ISO 27001 bzw. ISO 27002 ab.
- Kapitel 5 und 6 enthalten die DSMS-spezifischen Ergänzung der ISO 27001 und ISO 27002
- Kapitel 7 enthält zusätzliche Anforderungen (ISO 27002) an Verantwortliche.
- Kapitel 8 enthält zusätzliche Anforderungen (ISO 27002) an Auftragsverarbeiter.
- Anhang A und B stellt die zusätzlichen Anforderungen der Kapitel 7 und 8 in tabellarischer Form als Ergänzung zum Anhang A der ISO 27001 dar
- Anhänge C bis E bilden die Inhalte auf die DSGVO sowie die Normen 29100, 27018 und 29151 ab
- Anhang F stellt Begrifflichkeiten gegenüber
- Angang G zeigt beispielhaft die Anwendung der Norm
Zugegeben, wer nicht viel mit Normen am Hut hat, steigt hier vielleicht aus. Aber ein bisschen Grundlagenwissen dazu will ich hier vermitteln. Die ISO 27001 beschreibt die Anforderungen an ein Informationssicherheits Managementsystem, also ein Rahmenwerk bestehend aus Prozessen und Methoden um die Vertraulichkeit, Integrität und Verfügbarkeit der wichtigen Werte eines Unternehmens zu schützen. Der Begriff Werte bezieht sich hierbau auf Informationswerte, die für das Unternehmen wichtig sind. Personenbezogene Daten können dazu gehören, stehen aber häufig nicht im Fokus. Darum wird im ersten Schritt (Anhag G) der Begriff „information security“ um „privacy“ ergänzt und daraus „information security and pricacy“. Z. B. Wird aus „information security risk“ das „information security and privacy risk“. Diese Anpassung sollte durchgängig gemacht werden. Als übergeordnete Begrifflichkeit schläg die Norm dann „privacy information management system (PIMS)“ vor und verschieb damit den Fokus von „security management“ auf „information management“. Ob ich damit glücklich bin, weiß ich noch nicht. Vor allem die deutsche Übersetzung „Datenschutz- [und] Informationsmanagementsystem“ gefällt mir noch nicht ganz. Mal abwarten welcher Begriff sich in der Branche durchsetzen wird.
Kapitel 4 ist das erste Kapitel mit echtem Inhalt. Der Höhepunkt daraus ist die Definition des Begriffs „Customer“. Mit Kunde ist in der Norm nicht eine betroffene Person in der Rolle als Endkunde gemeint sondern ein Unternehmen, dass in einer Kundenbeziehung steht. Die Norm zeigt drei Anwendungszenarien auf:
- Das Unternehmen hat einen Vertrag mit einem anderen Verantwortlichen
- Der Verantwortliche beauftragt einen Auftragsverarbeiter
- Der Auftragsverarbeiter beauftragt einen Unterauftragnehmer
Kapitel 5 beschreibt die Anpassungen die vorgenommen werden müssen um aus einem ISMS ein PIMS zu machen. Die meisten Bestandteile des ISMS können unverändert (mit Ausnahme der „privacy“-Ergänzung) übernommen werden. Wesentliche Änderungen gibt es jedoch bei der Betrachtung des Kontexts und im Risikomanagement. Der Kontext wird ergänzt um weitere Gesetze und Regularien sowie interesierte Parteien und deren Anforderungen. Diese Ergänzungen bewirken einen geänderten Geltungsbereich. Noch bedeutender ist die Veränderung im Risikomanagement. Während in einem ISMS der Fokus auf die Risiken für das Unternehmen liegt, muss in einem PIMS auch das Risiko für die betroffenen Personen betrachtet werden. Die Anwendbarkeitserklärung (SoA) muss um die zusätzlichen Maßnahmen ergänzt werden, je nachdem welche Rolle die Organisation hat. Außerdem können bei der Begründung von Ausschlüssen verstärkt gesetzliche Vorgaben berücksichtigt werden.
Kapitel 6 beschreibt die Anpassungen an den Umsetzungshinweisen aus der ISO/IEC 27002. (Hinweis: ISO/IEC 27002 liefert Hinweise für die Umsetzung der Maßnahmen des Anhang A ISO/IEC 27001). Besonders die Ergänzungen zum Thema „Benutzerverwaltung“, „Verschlüsselung“ „Backups“ und „Behandlung von Sicherheitsvorfällen“ sind interessant. Und vielleicht auch einen eigenen Blogeintrag wert.
Kapitel 7 liefert zusätzliche Maßnahmen für Verantwortliche. Da es sich hier um eine Ergänzung zur ISO/IEC 27002 handelt, werden hier nicht nur Maßnahmen definiert sondern diese auch mit Umsetzungshinweisen unterstützt. Wie in solchen Normenwerken üblich wird auch hier überwiegend beschrieben, was getan werden soll und was dabei zu berücksichtigen ist, aber nicht wie das in der Praxis umzusetzen ist. Das könnte eine allgemeine Norm aber auch nicht liefern. Die Ergänzungen decken die folgenden Bereiche (in Auszügen) ab:
- Voraussetzungen für die Datenerhebung und -verarbeitung
- Zweck und Rechtsgrundlage
- Einwilligungsmanagement
- Datenschutzfolgendabschätzung
- Gemeinsame Verantwortlichkeit
- Verpflichtung gegenüber den betroffenen Personen
- Informationspflicht
- Widerruf
- Berichtigung und Löschung
- Datenschutzfreundliche Technikgestaltung und Voreinstellungen
- Datenminimierung
- Datenqualität
- Pseudonymisierung
- Temporäre Dateien
- Löschung
- Übermittlung, Transfer und Veröffentlichung
- Drittlandübermittlung
- Aufzeichnung von Übermittlungen
Der Fokus der Maßnahmen liegt nicht so sehr auf der Sicherheit, denn Sicherheitsaspekte sind bereits durch die Maßnahmen der ISO/IEC 27001 abgedeckt. Vielmehr liegt die Kontrolle der Datenverarbeitung und die Einhaltung der gesetzlichen Vorgaben (bzw. Der Datenschutzgrundsätze aus ISO 29100) im Mittelpunkt der Maßnahmen.
Kapitel 8 adressiert Auftragsverarbeiter, die sowohl Verpflichtungen gegenüber dem Verantwortlichen, wie auch den betroffenen Personen haben. Einige der Maßnahmen sind den Maßnahmen für Verantwortliche ähnlich. Zusätzliche Aspekte sind z.B.
- Spezifische Rechtsgrundlagen für die Verarbeitung
- Vorgehen im Fall einer rechtlich verpflichtenden Übermittlung
- Beauftragung von Subunternehmen
Die Anhänge runden die Norm ab. Während Anhänge A und B eher formalen Charakter haben, zeigt Anhang C inwieweit die Norm die Vorgaben der DSGVO adressiert. Das ist insofern interessant, da es sich hier um eine internationale Norm handelt. Diese Aufstellung ist ausdrücklich als Hilfestellung zu verstehen und nicht als Nachweis. Verantwortliche müssen sich in der praktischen Anwendung der Norm und der Umsetzung der DSGVO mit den Detailfragen auseinandersetzen. Die Anhänge D und E zeigen die Herkunft der ISO/IEC 27552 auf und verweisen auf die Normen ISO/IEC 29100, 29151 und 27018.
Die ISO/IEC 27552 beschreibt eine sinnvolle Vorgehensweise beim Aufbau eines Managementsystems im Bereich personenbezogener Daten. Für Unternehmen, die bereits ein ISMS nach ISO/IEC 27001 aufgebaut haben hält sich der zusätzliche Aufwand in Grenzen, solange die Erweiterung des Geltungsbereichs dadurch nicht zu groß ausfällt. Unternehmen die nach einem standardisierten Datenschutzmanagementsystem suchen, finden hier eine umfassendes Regelwerk, das kaum Aspekte auslässt. Ob mit der ISO/IEC 27552 eine Zertifizierung nach Art. 42 DSGVO erreicht werden kann ist unklar. Solange Art. 43 ausdrücklich auf Produkt- und Prozesszertifizierung (ISO 17065) verweist, wird das wohl nicht so sein. Ob die Aufsichtsbehörden dazu Stellung nehmen und die ISO/IEC 27552 als Zertifizierung nach Art. 42 anerkennen werden wir wohl erst nach der endgültigen Veröffentlichung wissen.
Sehr guter und informativer Artikel. Vielen Dank.