DS-GVO-Umsetzung: Managementsysteme geben Sicherheit

INHALT

• DS-GVO: Zertifizierungen in greifbarer Nähe
• DS-GVO: Datenschutzanforderungen im Managementsystem abbilden
• Ein Managementsystem, aber welches?
• DS-GVO Umsetzung in Deutschland: Wächst der Druck auf Unternehmen?
• Bei der DQS in guten Händen
• Expertise und Vertrauen

DS-GVO: Zertifizierungen in greifbarer Nähe

Die Unternehmen sind gut beraten, den datenschutzrechtlichen Aufsichtsbehörden gegenüber – auf Anfrage – einen Nachweis über die Umsetzung der gesetzlichen Anforderungen zu erbringen. Organisationen, die nicht alle Anforderungen erfüllen, riskieren empfindliche DSGVO-Strafen.

Mit ISO 27701 wurde im August 2019 eine neue Norm veröffentlicht, die Anforderungen an den Datenschutz im Informationssicherheits-Management formuliert. Sie spezifiziert damit ein Datenschutz-Managementsystem auf der Grundlage von ISO 27001, ISO 27002 (Leitfaden für Informationssicherheitsmaßnahmen) und ISO 29100 (Rahmenwerk für Datenschutz). ISO 27701 stellt aber nur eine Ergänzung zu ISO 27001 dar.

In Sachen Zertifizierung ergänzt die neue Norm ISO 27701 künftig ISO 27001 – und sie wird die erste Norm sein, die den Datenschutz per Zertifikat bestätigt. Dafür befindet sich die DQS aktuell im Akkreditierungsverfahren bei der Deutschen Akkreditierungsstelle (DAkkS) und rechnet demnächst mit einer Zulassung. Eine Zertifizierung allein nach der neuen Datenschutz-Norm ist nicht möglich.

DS-GVO: Datenschutzanforderungen im Managementsystem abbilden

Die DSGVO sieht eine Reihe von Abläufen vor, die seit Mai 2018 umgesetzt werden müssen. Dabei ist es sowohl von der Organisation, dem Zweck und der Art der Verarbeitung personenbezogener Daten als auch von den Risiken für Rechte und Freiheiten natürlicher Personen abhängig, welche Prozesse in welcher Ausprägung etabliert werden müssen. Dies können u.a. Prozesse zum Risikomanagement (Datenschutz-Folgenabschätzung), zum Umgang mit Auskunftsersuchen von Personen oder Prozesse zu Reaktionsmechanismen bei Datenschutzverletzungen sein.

Eine sinnvolle Lösung für Unternehmen, die vielfältigen Anforderungen abzubilden, bietet ein modernes Managementsystem – beispielsweise für die regelmäßige Überprüfung und Anpassungen von Datenschutzmaßnahmen oder das Festlegen der entsprechenden Verantwortlichkeiten. Genau diese Aspekte werden durch den fortlaufenden Verbesserungsprozess (Plan-Do-Check-Act-Modell) gesteuert. So können Unternehmen bereits heute erste Schritte gehen und auf bestehende Managementsysteme zurückgreifen

Ein Managementsystem, aber welches?

Als Lösung bietet sich also die Ausrichtung an den internationalen Normen ISO 27001 und ISO 27701 an.

Ein wirksames Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 wahrt unter Anwendung eines Risikomanagementprozesses die

• Vertraulichkeit
• Integrität und
• Verfügbarkeit von Daten und Information.

Es gibt damit interessierten Parteien das Vertrauen in eine angemessene Steuerung von Risiken.

Eine Zertifizierung nach ISO 27001, vor allem in Verbindung mit ISO 27701, ist aber auch ein wesentlicher Beitrag zur Umsetzung der DS-GVO und Sicherstellung datenschutzrechtlicher Anforderungen im Unternehmen. Sie kann dazu beitragen, im Falle eines Datenschutzverstoßes das Bußgeld zu mindern (Art. 83 lit. c und Erwägungsgrund 150 DSGVO). Im Wesentlichen unterstützt die Norm ISO 27001 bei der Umsetzung der Anforderungen des Art. 32 DS-GVO – Sicherheit der Verarbeitung.

DS-GVO Umsetzung in Deutschland: wächst der Druck auf Unternehmen?

Die Mehrzahl der Unternehmen und Organisationen hat noch keine fertige Lösung für einen Umsetzungsnachweis der DS-GVO.

Die DS-GVO und das BDSG (Bundesdatenschutzgesetz) verpflichtet die Mitgliedstaaten, eine oder mehrere öffentliche Stellen zu beauftragen, die die Anwendung nationaler Datenschutzregelungen in völliger Unabhängigkeit überwachen. Weiterer Druck auf die Unternehmen entsteht dadurch, dass jeder Einzelne das Recht hat, sich an die zuständige Kontrollstelle zu wenden.

Die Aufsichtsbehörden hatten nach Mai 2018 noch einige Monate Karenz eingeräumt, bevor die Kontrollen der unabhängigen Datenschutzbeauftragten einsetzten. Doch die Liste der Verstöße ist mittlerweile lang und stellt das Sicherheitsgefühl auf eine harte Probe.

Bei der DQS in guten Händen

Wer ein Datenschutzmanagementsystem (DSMS) nach der neuen Norm ISO 27701 entwickelt und umgesetzt hat – sprich: wer seine personenbezogenen Daten systematisch schützt und managt – tut sich leicht, die Einhaltung gesetzlicher Bestimmungen sicherzustellen und zu belegen. In Sachen Zertifizierung ergänzt ISO 27701 die bekannte Norm ISO 27001 – und sie wird die erste Norm sein, die den Datenschutz per Zertifikat bestätigt. Die DQS befindet sich aktuell im Akkreditierungsverfahren bei der Deutschen Akkreditierungsstelle (DAkkS) und rechnet mit einer Zulassung im Sommer 2021.

ISO 27701 stellt aber nur eine Ergänzung zu ISO 27001 dar. Eine Zertifizierung allein nach der neuen Norm ist nicht möglich.

Expertise und Vertrauen

Unsere Texte und Broschüren werden ausschließlich von internen Normexperten und langjährigen Auditoren für Managementsysteme verfasst. Sollten Sie Fragen zum Inhalt und unseren Audits haben, senden Sie uns gerne eine E-Mail an willkommen@dqs.de.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.