27 September, 2019
Vor wenigen Wochen (im August 2019) wurde die ISO 27701 veröffentlicht. Der offizielle Name lautet: „Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines”.
Wie der Name bereits zeigt, handelt es sich bei der ISO 27701 nicht um eine eigenständige Norm, sondern lediglich um eine Erweiterung der ISO 27001 und ISO 27002 um Datenschutzaspekte. Kern der Zertifizierung bleibt das Information Security Management System (ISMS).
Die Artikel 42 und 43 der DSGVO regeln, unter welchen Voraussetzungen Zertifizierungen im Datenschutz zulässig sind und welche Anforderungen die Zertifizierungsstellen erfüllen müssen.
Bei näherer Betrachtung des Artikel 43 ist sofort ersichtlich, dass Datenschutz-Zertifizierungen nur auf Grundlage der ISO 17065 (Zertifizierung von Produkten und Prozessen) möglich sind. Dies bekräftigte das European Data Protection Board in seinen Guidelines zu diesem Thema (Guidelines 1/2018 und Guidelines 4/2018). Zertifizierungen von Datenschutz-Management-Systemen sind somit ausgeschlossen.
Des Weiteren haben ISO-Normen eine entscheidende Schwachstelle, was die Transparenz des Gültigkeitsbereichs beziehungsweise der angelegten Kriterien anbelangt. Oftmals kann anhand des Zertifikates nicht erkannt werden, welche Bereiche tatsächlich zertifiziert wurden. Dies widerspricht den Anforderungen an Datenschutz-Zertifizierungen, die Artikel 42 DSGVO vorgibt.
Fazit: Eine Zertifizierung nach der ISO 27001/27002 in Verbindung mit der ISO 27701 ist nicht DSGVO-konform.
Prinzipiell gibt es derzeit keine Zertifizierungen nach Artikel 42 DSGVO, wenngleich diese für die Wirtschaft von großer Bedeutung sind. Die Außenwirkung von Zertifizierungen ist nicht nur für Marketingzwecke und somit Wettbewerbsvorteile von Nutzen, sondern auch für die Haftungsreduzierung des Unternehmens beziehungsweise der Geschäftsführung/dem Vorstand bei möglichen Verstößen und deren Ahndung durch die Aufsichtsbehörden.
Neben Zertifizierungen können jedoch auch andere Verfahren zur Feststellung der DSGVO-Konformität herangezogen werden. Wie die folgende Grafik zeigt, liefern diese Verfahren unterschiedlich hohe Konformitätsindizes. In welchem Bereich die Zertifizierungen nach Artikel 42 DSGVO einzuordnen sind, bleibt abzuwarten.
Ein relativer hoher Konformitätsindex kann durch Attestierungen erreicht werden. Attestierungen sind vor allem für Innenverhältnisse nutzbar. Nach außen hin sind sie nach vorheriger Abstimmung und gem. den getroffenen vertraglichen Regelungen mit dem attestierenden Unternehmen nutzbar, da sie nicht den strengen Vorgaben von Artikel 42 und 43 DSGVO unterliegen. Innenverhältnisse sind zum Beispiel: das Verhältnis zwischen Auftraggeber und Auftragnehmer bei Auftragsverarbeitungen, der Einsatz von Subauftragnehmern oder die Vorlage gegenüber der Aufsichtsbehörde als Nachweis der Rechenschaftspflicht.
Attestierungen des Datenschutz-Management-Systems können zum Beispiel im Rahmen einer Prüfung des Compliance-Management-Systems (nach IDW PS 980) erfolgen. Möglich sind auch Attestierungen von Teilbereichen der Datenschutzorganisation nach dem International Standard on Assurance Engagements (ISAE) 3000 (Revised).
PwC bietet alle in der Grafik dargestellten Prüfungen zur Feststellung der Datenschutzkonformität an. Wir zeichnen uns durch langjährige Erfahrungen und eng verzahnte Expertenteams aus. Neben der Durchführung von Prüfungen, unterstützen wir auch bei der Vorbereitung von Prüfungen (die durch andere Prüfer durchgeführt werden soll), zum Beispiel durch die beratende Begleitung bei der Umsetzung von Datenschutzmaßnahmen. Die PwC Certification Services besitzt zudem die Akkreditierung, um Ihr System nach der Norm ISO 27001, dem TISAX-Standard für die Automobilindustrie und den Vorgaben des BSI zu zertifizieren.
Gerne beraten wir Sie in einem persönlichen Gespräch über die für Sie passenden Prüfungsmöglichkeiten.