Derzeit ticken die Uhren bis zum großen Tag: 25. Mai 2018, der Tag an dem die GDPR (General Data Protection Regulation) in den Mitgliedsstaaten der EU und des EEA in geltendes Recht überführt worden sein muss. Die Bundesrepublik Deutschland kommt dieser Aufforderung derzeit nach und hat ein entsprechendes Überleitungsgesetz (Datenschutzanpassungsgesetz (DSAnpUG-EU)) verabschiedet.
Welche Wege gibt es, die Anforderungen der GDPR in ein Unternehmen zu integrieren, diese umzusetzen und -was vielleicht noch wichtiger ist- aktuell zu halten?
Viele Anforderungen sind darauf ausgerichtet, Veränderungen von Verarbeitungsprozessen oder Informationssystemen zu steuern, die personenbezogene Daten verarbeiten. Weiterhin soll daraus abgeleitet werden, ob und welche weiteren Maßnahmen zum Schutz der Daten eingeführt werden müssen. Einige zielen darauf ab, Zustimmungen einzuholen oder Fristen einzuhalten. Was liegt hier also näher, als einen systematischen Ansatz zum Steuern dieser Anforderungen einzusetzen? Also wörtlich genommen: ein Managementsystem? Die GDPR deutet selbst in Art. 42 an, dass ein Zertifizierungsmechanismus ein wesentlicher Baustein zur Erfüllung der GDPR sein könne. Deshalb lohnt es sich, einmal einen Blick in die Normenwelt zu werfen und herauszufiltern, welche möglichen Ansätze vorhanden sind, die sofort verwendet werden können, um ein Datenschutzmanagementsystem (DSMS) aufzubauen und zu betreiben.
Eine kleine Geschichte der Datenschutzmanagementsysteme
Das weltweit erste Datenschutzgesetz wurde 1970 in Hessen veröffentlicht, das erste Bundesdatenschutzgesetz 1977. Was wenige vermuten, auch in den USA gab es bereits 1974 einen Privacy Act. Im Lauf der Zeit entwickelten sich die internationalen Datenschutz-Grundprinzipien, wie zum Beispiel die der OECD 1980.
Als die GDPR veröffentlich wurde, definierte sie fünf Grundprinzipien des Datenschutzes plus dem sechsten Prinzip der Verantwortlichkeit (Accountability) der Organisation, die für die Datenverarbeitung zuständig ist. Bereits im Jahr 2011 formuliert die ISO im Standard ISO/IEC 29100:2011 zehn Datenschutzprinzipien, die mit den acht Prinzipien der OECD kompatibel sind und übrigens auch mit denen der GDPR sehr gut in Einklang zu bekommen sind und diese vollständig abdecken. Die ISO-Datenschutzprinzipien hielten zum Beispiel Eingang in eine Norm ISO/IEC 27018:2014, die als Zielgruppe Anbieter öffentlicher Cloudlösungen hat, die personenbezogene Daten verarbeiten. Derzeit tragen viele die ISO/IEC 27018 wie ein Mantra vor sich her als möglichen Lösungsansatz, die GDPR-Anforderungen zu erfüllen. Dies ist keine Lösung für „jeden“, da sie sich speziell an Cloudlösungsanbieter wendet und schon die Frage, ob und wo noch personenbezogene Daten außerhalb der Cloud-Lösung verarbeitet werden, erschwert die Anwendung dieser Norm.
Zum Glück ist die Normenwelt facettenreich und bietet für fast jeden Anwendungsfall die richtige Norm.
Option 1: Datenschutzanforderungen in einem Informationssicherheitsmanagementsystem nach ISO/IEC 27001
Wenn ein Unternehmen bereits ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001:2013 betreibt, kommt schnell die Frage auf: reicht die Umsetzung des Controls A.18.1.4 zum Thema Datenschutz nicht aus?
Nun: wenn man dieses eine generische Control nutzt, um damit seine gesamten Verfahren und spezifischen Maßnahmen zum Datenschutz abzubilden, kann man das tun. Übersichtlich und im Fall einer datenschutzrechtlichen Auditierung oder Prüfung haltbar, ist das vermutlich aber nicht. Alle Normen aufzuführen, die in Frage kommen, führt hier zu weit. Daher hier nur zwei Statements dazu:
- ISO/IEC 29151 (Code of Practice mit Datenschutzrelevanten Controls) verweist auf ISO/IEC 27002 und gibt zusätzliche Anleitungen zur Umsetzung der Controls aus Datenschutzsicht
- Diese Controls können nun -so wie wir es im ISMS gewohnt sind- in einer Erklärung zur Anwendung (Statement of Applicability) dokumentiert und nachgewiesen werden.
Um die Anforderungen der GDPR zu erfüllen sind noch einige Aspekte mehr zu berücksichtigen, die sich rund um die Themen Zustimmung, Rechtmäßigkeit der Verarbeitung und nicht zuletzt das Data Privacy Impact Assessment drehen. Was hier nochmals erwähnt werden muss: es ist nicht die Intention einer ISO-Norm, die Anforderungen eines spezifischen Rechtsraums, hier der EU und des EEA, zu erfüllen. Deshalb gibt es keine „fertige“ ISO-Norm, welche alle GDPR-Anforderungen integriert hat.
Die GDPR interessiert sich nicht für Anwendungsbereiche, sondern adressiert die Verantwortung einer Organisation. Hier muss ggf. der Anwendungsbereich des ISMS ausgeweitet werden. Dies führt, bei allen die eine Zertifizierung nach ISO/IEC 27001:2013 haben, nicht automatisch dazu, dass auch der Geltungsbereich des Zertifikates erweitert werden muss. Diese Überlegung kann ggf. entkoppelt werden.
Option 2: ein eigenstehendes Datenschutzmanagementsystem
Unternehmen, die kein Informationssicherheitsmanagementsystem betreiben oder bei denen der Anwendungsbereich des ISMS wesentlich von der gesamten Organisation abweicht, könnten den Bedarf haben, ein eigenständiges Datenschutzmanagementsystem einführen zu wollen.
Um dieser Anforderung nachzukommen ist die bereits erwähnte britische Norm BS 10012:2017 ein guter Einstiegspunkt. Die beiden wesentlichen Argumente für diese Norm seien hier nochmals erwähnt:
- Sie entspricht in Ihrem Aufbau dem sogenannten High Level Standard der ISO für Managementsystemnormen und lässt sich dadurch bequem mit bestehenden Managementsystemen kombinieren (z.B. einem Qualitätsmanagementsystem nach ISO 9001).
- Sie hat in ihrer aktuellen Version die Anforderungen der GDPR, die durch die datenverarbeitende Organisation zu berücksichtigen sind, bereits aufgenommen und abgebildet.
Es existieren bereits Zertifizierungen nach BS 10012 für namhafte Unternehmen, die von einzelnen Datenschutzstellen wohlwollend betrachtet werden und international Anerkennung genießen. Eine Zertifizierung nach BS 10012:2017 ist derzeit nur nicht-akkreditiert möglich. Diesen Umstand kann
man dadurch umgehen, dass man entweder das Datenschutzmanagementsystem wie in Option 1 mit einem ISMS „koppelt“, oder ein Managementsystem wie ISO 9001 als Basis verwendet. Ob eine Akkreditierung oder Zulassung nach Art. 42 GDPR für BS 10012:2017 erfolgt, kann zum jetzigen Zeitpunkt noch nicht gesagt werden.
Schlussfolgerung
Derzeit kann noch niemand mit Sicherheit sagen, wie die Anwendung von Normen und Standards zur Erfüllung der GDPR-Anforderungen Rechtssicherheit erzeugen können. Es gibt schlicht und ergreifend noch keine Präzedenzfälle dafür. Die Anwendung von Standards stellt aber grundsätzlich einen validen Weg dar, um sich Aufgabenstellungen zu widmen und diese im eigenen Unternehmen umzusetzen.
Uwe Rühl, Gründer und Gesellschafter der RUCON Gruppe
Die RUCON Gruppe ist mit ihren Tochterunternehmen RUCON Management, RUCON Service sowie RUCON System ein Beratungs-, Trainings- und Auditspezialist für alle Aspekte der Organizational Resilience (Widerstands- und Innovationsfähigkeit). Diese reichen vom Informationssicherheitsmanagement über das Datenschutzmanagement und Risikomanagement bis zum Business Continuity Management. Im Mittelpunkt stehen die lösungsorientierte Umsetzung und Verzahnung zu nachhaltigen sowie wertsteigernden Integrierten Managementsystemen.
Das Ziel der RUCON Gruppe ist es, Normen und Standards so anzuwenden, dass sie die Arbeitsabläufe und Prozesse eines Unternehmens jeder Größe und Branche wirksam unterstützen. Weitere Informationen unter: www.Rucon-Gruppe.de