Viel wurde in den letzten Monaten über das Thema des Datenschutzmanagements geschrieben. Denn seit geraumer Zeit ticken die Uhren bis zum großen Stichtag, dem 25. Mai 2018. Spätestens dann muss die sogenannte Datenschutz-Grundverordnung oder General Data Protection Regulation, kurz GDPR, in den EU-Mitgliedsstaaten als geltendes Recht überführt sein. Vor allem die potenziellen Vertragsstrafen lassen manchen Unternehmensvertreter aufschrecken. Doch welche Wege gibt es für Unternehmen, die Anforderungen in der eigenen Organisation umzusetzen und vor allem aktuell zu halten? Ein Interview mit Uwe Rühl, Experte für integrierte Managementsysteme und Gesellschafter der RUCON Gruppe, gibt Aufschluss und zeigt: Normen und Standards können helfen.
Gerade in Zeiten der zunehmenden Digitalisierung mit wachsenden Datenmengen, die gesammelt und ausgewertet werden, kann die Datenschutz-Grundverordnung zu einer hohen Hürde werden. Gerade für mittelständische Unternehmen. Welches Vorgehen sehen sie als praktikabel an?
Uwe Rühl: Viele Anforderungen sind darauf ausgerichtet, dass beispielsweise bei Veränderungen von Verarbeitungsprozessen oder Informationssystemen im Umgang mit personenbezogener Daten abgeleitet wird, ob und welche weiteren Maßnahmen zum Schutz der Daten eingeführt werden müssen. Im Grunde geht es vielfach darum Zustimmungen einzuholen oder Fristen einzuhalten. Was liegt hier also näher, als einen systematischen Ansatz zum Steuern dieser Anforderungen einzusetzen, sprich auf ein Managementsystem zu setzen. Die GDPR deutet selbst in Art. 42 an, dass ein Zertifizierungsmechanismus ein wesentlicher Baustein zur Erfüllung der Verordnung sein kann. Deshalb lohnt sich auch für mittelständische Unternehmen ein Blick in die Normenwelt. Dort können Firmen wertvolle Informationen und Ansätze finden, die sofort verwendet werden können, um ein Datenschutzmanagementsystem, kurz DSMS, aufzubauen und zu betreiben. Im Idealfall hilft das die Anforderungen der GDPR zu erfüllen.
Rechtssicherheit ist bei der GDPR-Umsetzung ein Kernthema für Unternehmen. Welche Rolle können in diesem Zusammenhang Normen und Standards spielen?
Uwe Rühl: Derzeit kann noch niemand mit Sicherheit sagen, wie die Anwendung von Normen und Standards zum Erfüllen der GDPR-Anforderungen Rechtssicherheit erzeugen können. Es gibt schlicht und ergreifend noch keine Präzedenzfälle dafür. Die Anwendung von Standards stellt aber grundsätzlich einen validen Weg dar, um sich Aufgabenstellungen zu widmen und diese im eigenen Unternehmen umzusetzen. Die Ansätze sowohl in der ISO/IEC 29100-Reihe als auch von BS 10012:2017 sind eine gute Basis im Normen- und Standardisierungsumfeld.
Können Sie das anhand der von Ihnen benannten Normen und Standards konkretisieren?
Uwe Rühl: Wenn wir zunächst auf Unternehmen schauen, die bereits ein Informationssicherheitsmanagementsystem, ISMS, nach ISO/IEC 27001:2013 betreiben, kommt schnell die Frage auf: Reicht die Umsetzung des Controls A.18.1.4 zum Thema Datenschutz nicht aus?
Nun, wer das generische Control nutzt, um damit seine gesamten Verfahren und spezifischen Maßnahmen zum Datenschutz abzubilden, kann das durchaus tun. Übersichtlich und im Fall einer datenschutzrechtlichen Auditierung oder Prüfung ist das vermutlich aber nicht.
Das heißt im Umkehrschluss?
Uwe Rühl: Warum also das nicht nutzen, was uns die ISO-Welt darüber hinaus anbietet. Wie bereits erwähnt, ist unter anderem ISO/IEC 29100-Reihe eine gute Basis. Um ISO/IEC 29100 siedelt sich derzeit eine ganze Normenreihe rund um das Thema Data Privacy an. In diesem Zusammenhang steht eine kurz vor finaler Veröffentlichung stehende Norm ISO/IEC FDIS 29151. Diese Norm ist tatsächlich das, was wir hier vermutlich eher suchen. Nämlich ein Code of Practice mit datenschutzrelevanten Controls. Und das schöne für alle Betreiber eines ISMS ist: dieser ist kompatibel mit den Controls der ISO/IEC 27001 Anhang A und mit ISO/IEC 27002.
Mit einer ärgerlichen Einschränkung. Zumindest in der jetzigen Entwurfsversion sind alle Controls um eine Nummer verrutscht, weil man beim Design der Norm jeweils ein Vorwort, sprich eine "Introduction", eingebaut hat. Das ist nichts, was man nicht bei der Anwendung der Norm schnell mit einer Kreuzreferenz lösen könnte. Aber handwerklich ist das schon ärgerlich. Wie auch immer, ISO/IEC 29151 verweist auf ISO/IEC 27002 und gibt eine zusätzliche Anleitung zur Umsetzung der Controls aus Datenschutzsicht. In einem Anhang A der ISO/IEC FDIS 29151 werden noch zusätzliche Controls definiert, um die Datenschutzprinzipien der ISO/IEC 29100 zu erfüllen. Insgesamt also ein vollständiges und recht rundes Normenwerk, um technische und organisatorische Maßnahmen zum Datenschutz abzubilden. Diese Controls können nun, so wie wir es im ISMS gewohnt sind, in einer Erklärung zur Anwendung, Statement of Applicability, dokumentiert und nachgewiesen werden.
Doch dies ist erst die halbe Miete. Um die Anforderungen der GDPR zu erfüllen sind noch einige Aspekte mehr zu berücksichtigen, die sich rund um die Themen Zustimmung, Rechtmäßigkeit der Verarbeitung und nicht zuletzt das Data Privacy Impact Assessment drehen. Was an dieser Stelle erwähnt werden muss: Es ist nicht die Intention einer ISO-Norm, die Anforderungen eines spezifischen Rechtsraums, hier der EU und des European Economic Area, EEA, zu erfüllen. Deshalb gibt es keine fertige ISO-Norm, welche alle GDPR-Anforderungen integriert hat.
Zudem wird Unternehmen durch die ISO-Welt die Durchführung eines Data Privacy Impact Assessments näher gebracht. In einer im Juni 2017 veröffentlichten Norm ÌSO/IEC 29134 finden wir Hilfestellungen zur Durchführung eines Privacy Impact Assessments. Dieses ist durchaus geeignet, die Anforderungen der GDPR zu erfüllen. Wenn man diesen Aspekt in den Risikomanagementansatz des ISMS integriert, erhält man eine recht saubere Lösung, um Informationssicherheits- und Datenschutzanforderungen zu bewerten und die relevanten Maßnahmen zum Schutz der Informationen und Daten abzuleiten.
Ein historischer Abriss zu Datenschutzmanagementsystemen
Was wenige vermuten: Die ersten Datenschutzgrundsätze wurden tatsächlich Mitte der 1970er Jahre in den USA verfasst und erst um 1980 in der EU in angepasster Form übernommen. Im Laufe der Zeit entwickelten sich die ersten Datenschutzgesetze und Grundprinzipien, wie zum Beispiel die OECD-Datenschutzprinzipien. Als die GDPR veröffentlich wurde, definierte sie fünf Grundprinzipien des Datenschutzes plus dem sechsten Prinzip der Verantwortlichkeit (Accountability) der Organisation, die für die Datenverarbeitung zuständig ist. Bereits im Jahr 2011 formuliert die ISO im Standard ISO/IEC 29100:2011 zehn Datenschutzprinzipien, die mit den acht Prinzipien der OECD kompatibel sind. Diese sind auch mit denen der GDPR sehr gut in Einklang zu bekommen decken die Anforderungen vollständig ab. Die ISO-Datenschutzprinzipien hielten zum Beispiel Eingang in eine Norm ISO/IEC 27018:2014, deren Zielgruppe Anbieter öffentlicher Cloud-Lösungen sind. Also Unternehmen, die personenbezogene Daten verarbeiten.
Und wo liegt der Haken?
Uwe Rühl: In der Tat gibt es etwas Wichtiges zu beachten. Es geht um die Frage, ob der Anwendungsbereich des ISMS so gewählt ist, dass er alle Prozesse, Verfahren und Systeme umfasst, die zur Verarbeitung von personenbezogenen Daten herangezogen werden? Dies kann eine Stolperfalle sein, da viele Unternehmen zwar ein ISMS betreiben, dieses aber aus nachvollziehbaren Gründen auf einzelne Teile des Unternehmens eingegrenzt haben.
Die GDPR interessiert sich hier nicht für Anwendungsbereiche, sondern adressiert die Verantwortung einer Organisation. Hier muss unter Umständen der Anwendungsbereich des ISMS ausgeweitet werden. Dies führt, bei allen die eine Zertifizierung nach ISO/IEC 27001:2013 haben, nicht automatisch dazu, dass auch der Geltungsbereich des Zertifikates erweitert werden muss.
Diese Überlegung kann gegebenenfalls entkoppelt werden. Um die Anforderungen der GDPR umfänglich zu erfüllen, fehlen uns zudem noch einige wesentliche Aspekte. Hier wird uns die ISO-Welt aber nicht weiterhelfen.
Ich nehme an, Sie zielen auf die eingangs erwähnte Norm zu BS 10012 ab?
Uwe Rühl: Richtig. Die Britische Norm für Datenschutzmanagementsysteme BS 10012 wurde erstmalig im Jahr 2009 veröffentlicht. Der Vorteil: Sie wurde bereits erfolgreich angewendet und für die Zertifizierung von Datenschutzmanagementsystemen verwendet. Hinzu kommt, dass BS 10012 In diesem Jahr komplett an GDPR angepasst wurde sowie der Aufbau sich an etablierte ISO-Standards wie ISO/IEC 27001:2013 orientiert. Auch in anderen EU-Ländern wird an vergleichbaren Standards gearbeitet. Die BS 10012:2017 kann aber bereits jetzt eine große Hilfe sein, da sie sowohl zum Thema Data Privacy Impact Assessment im Kapitel 6.1 und zu den GDPR-relevanten Prozessen im Kapitel 8.2 alles parat hat, was wir brauchen. Es ist also nun möglich, diese Anforderungen zu nehmen und mit in das ISMS einzuschleusen, um daraus ein Informationssicherheits- und Datenschutzmanagementsystem zu kreieren.
Welche Vorteile bietet BS 10012 darüber hinaus?
Uwe Rühl: Besonders hervorzuheben sind zwei Kapitel, in der die Anforderungen der GDPR durchschlagen. Dies ist Kapitel 6.1, in dem es um die Analyse von Datenflüssen und die Rechtmäßigkeit der Verarbeitung personenbezogener Daten geht. Dies mündet in ein sogenanntes Privacy Impact Assessment, kurz PIA. Viele Passagen sind aus der ISO/IEC 27001:2013 übernommen, vor allem die Aspekte der Risikobewertung und der Risikobehandlung. Insgesamt ist das Kapitel 6.1 komplex und nicht ganz einfach umzusetzen, aber immerhin bekommt der Nutzer die Anforderungen präsentiert und kann diese in seinen eigenen Verfahren abbilden und implementieren. Noch komplexer wird Kapitel 8.2, in dem alle weiteren GDPR-Anforderungen gelandet sind. Das Kapitel 8.2 selbst nimmt die Hälfte des Umfangs der gesamten Norm ein. Es wird eine Vielzahl von Verfahren und Anforderungen definiert, die letztendlich immer ihre Begründung in der GDPR finden. Entsprechende Verweise befinden sich im Normentext als Anmerkungen, so dass man Referenzen bei der Hand hat. In der Anwendung kann man BS 10012 durch die beiden ISO-Standards ISO/IEC 29151 und ISO/IEC 29134 ergänzen. Sich also das Beste aus allen Welten holen, was aber nicht primär notwendig wäre.
Und was sind hier die Fallstricke, dies es bei BS 10012 zu beachten gilt?
Uwe Rühl: Der Grundaufbau der BS 10012:2017 ist handwerklich nicht durchgängig gelungen. So gibt es einige Redundanzen in der Norm, was ihrer Anwendung aber nicht im Weg steht. Wichtiger ist, dass eine Zertifizierung nach BS 10012:2017 derzeit nur nicht-akkreditiert möglich.
Aber diesen Umstand kann man umgehen, indem man entweder das Datenschutzmanagementsystem mit einem ISMS verknüpft oder ein Managementsystem wie ISO 9001 als Basis verwendet. Ob eine Akkreditierung oder Zulassung nach Art. 42 GDPR für BS 10012:2017 erfolgt, kann zum jetzigen Zeitpunkt noch nicht gesagt werden.
Uwe Rühl ist Experte für integrierte Managementsysteme und Gesellschafter der RUCON Gruppe. Weitere Informationen zum Unternehmen unter: www.RUCON-Gruppe.de
Kurz und bündig: EU-Datenschutz-Grundverordnung (EU-DSGVO)*
Wer brachte die EU-Datenschutz-Grundverordnung auf den Weg?
Die EU-Datenschutz-Grundverordnung wurde unter der offiziellen Bezeichnung: "Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG" am 4. Mai 2016 vom Europäischen Parlament veröffentlicht.
Was beinhaltet die DSGVO?
Die DSGVO regelt als erstes einheitliches Gesetz in 11. Kapiteln den Schutz personenbezogener Daten für alle Europäer der 28-Mitgliedssaaten. Mit der EU-DSGVO legt das Europäische Parlament weitgehende Regeln und Grundlagen im Umgang mit personenbezogenen Daten fest. Betroffen von diesen verbindlichen Regeln und Grundlagen sind neben Unternehmen und Organisationen in der EU auch weltweit agierende Firmen und Behörden, die personenbezogene Informationen von Bürgern der EU erheben und verarbeiten. So heißt es in Kapitel 5 zu den Grundsätzen für die Verarbeitung personenbezogener Daten: "Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ("Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz")".
Warum die DSGVO?
Mit der neuen EU-Datenschutz-Grundverordnung strebten die Initiatoren vor allem die Harmonisierung nationaler Richtlinien und Verordnungen innerhalb der EU unter einem "Datenschutz-Dach" an.
Welche Rechte und Pflichten sind mit der DSGVO verbunden?
Die DSGVO eröffnet Betroffenen weitgehende Informationsrechte. So ist unter anderem eine Informationspflicht über die Dauer der Datenspeicherung vorgesehen. Kommt es zu einem Datenverlust, sind die Betroffenen sowie die zuständigen Datenschutzaufsichtsbehörden innerhalb von 72 Stunden zu informieren.
Welche Richtlinien/Verordnungen wurden abgelöst?
Mit der neuen EU-Datenschutz-Grundverordnung wurde die Richtlinie 95/46/EG der Europäischen Gemeinschaft zu Mindeststandards für den Datenschutz vom Jahr 1995 aufgehoben.
Ab wann ist die Verordnung anzuwenden?
Die Datenschutz-Grundverordnung (DSGVO), international unter der Bezeichnung General Data Protection Regulation (GDPR) bekannt, ist EU-weit ab dem 28. Mai 2018 anzuwenden.
Und darüber hinaus?
Mit der neuen EU-Datenschutz-Grundverordnung ergeben sich für Organisationen erhebliche Mehraufwände in puncto der Verantwortlichkeiten, bei Verfahren, Konzepten und Vertragswerken sowie der Dokumentation. Hinzu kommen Meldepflichten aber auch Fragen zur Einführung entsprechender Datenschutz-Management-Systeme und Schulungsmaßnahmen der betreffenden Personen.
Weitere Informationen
*Quelle: RiskNET GmbH | Die vorliegende Übersicht erhebt keinen Anspruch auf Vollständigkeit.