Datenschutzmanagement – Zertifizierungen und ISO High Level Structure
Zertifizierungen gemäß DS-GVO
Die Deutsche Akkreditierungsstelle (DAkkS) nimmt seit 1. Januar 2019 Anträge für die Akkreditierung gemäß Art. 43 Abs. 3 DS-GVO i.V.m. DIN EN ISO/IEC 17065 an. Der Akkreditierungsprozess läuft in 6 Phasen, die Befugnis zur Ausgabe entsprechender Zertifikate erfolgt bei erfolgreicher Prüfung in Phase 5 (Phase 6 ist die Überwachung der akkreditierten Zertifizierungsstellen).
Diese Akkreditierungen beziehen sich gemäß dem Anwendungsbereich der ISO/IEC 17065 auf Produkte, Prozesse und Dienstleistungen. Nicht jedoch auf Datenschutzmanagementsysteme, wie man aufgrund der Anforderungen des Kapitels IV der DS-GVO erwarten könnte.
In den „Anforderungen zur Akkreditierung“ der DSK ist dies nochmal unmissverständlich festgehalten: „Damit sind Managementsysteme für die Steuerung von Datenverarbeitungsvorgängen als Gegenstand der Zertifizierung ausgeschlossen“ (Version 1.0 (28.08.2018), S. 3). Zur Akkreditierung werden also Standards kommen, wie das EuroPriSe-Gütesiegel für die Datenschutzkonformität von IT-Produkten und -Dienstleistungen und Websites oder den von GDD e.V. und BvD e.V. entwickelten Standard DS-BvD-GDD-01 für Auftragsverarbeiter.
Managementsystemzertifizierungen können bei einer Produkt-, Dienstleistungs- oder Prozess-Zertifizierung gemäß DS-GVO lediglich als ein Faktor für die Konformität herangezogen werden.
Datenschutz und ISO-Managementsystemstandards
Lohnt es vor diesem Hintergrund überhaupt, sich bei dem Thema Datenschutz mit ISO-Managementsystemstandards zu befassen?
Die DS-GVO verlangt indirekt ein organisiertes Datenschutz-Management. Zwar findet sich der Begriff Management in der DS-GVO nur als Bezeichnung für die Führungsebene von Unternehmen (Art. 38 Abs. 3) und im Sinne von Personalmanagement (Art. 88 Abs. 1), nicht jedoch bezogen auf die betriebsweite Steuerung des Datenschutzes. Aber bereits Art. 24, der das Kapitel IV der Verordnung einleitet, in dem die Pflichten der Verantwortlichen und Auftragsverarbeiter formuliert sind, umreißt in drei Sätzen Anforderungen, die nur mit einem ordentlichen Datenschutz-Management angemessen erfüllt werden können.
Das Kapitel IV der DS-GVO in Gänze enthält sämtliche Elemente, die nach den ISO-Standards zu einem wirksamen Managementsystem gehören. Und diese Elemente finden sich in der ISO High Level Structure (HLS), nach der alle ISO-Managementsystemstandards aufgebaut sind.
Die Gegenüberstellung der Anforderungen der DS-GVO (= Art.) zur ISO HLS (= Kap.) sieht in groben Zügen wie folgt aus:
- Mit dem Verzeichnis der Verarbeitungstätigkeiten (Art. 30) wird, bezogen auf den Datenschutz, der Kontext der Organisation (Kap. 4) erfasst, also die Frage beantwortet, was bezüglich der Verarbeitung personenbezogener Daten von wem gemacht wird, welche Stellen und Systeme und welche interessierten Parteien einbezogen sind.
- Die strenge Fokussierung auf den Verantwortlichen für die Datenverarbeitung, bei dem sämtliche Fäden zusammenlaufen (bes. Art. 5 und 29), entspricht der Maßgabe in den ISO-Managementsystemnormen, dass ohne das klare Bekenntnis und das Engagement der Unternehmensführung (Kap. 5) eine strukturierte und wirksame Steuerung betrieblicher Belange nicht möglich ist.
- Die in verschiedenen Facetten angelegte Pflicht, technische und organisatorische Maßnahmen zum Datenschutz und zur Datensicherheit zu treffen und zwar immer unter Berücksichtigung der Risiken für die Rechte und Freiheiten der von den vorgenommenen oder vorzunehmenden Verarbeitungen betroffenen Personen (Art. 24, 25 und 32), entspricht dem in den Managementsystemnormen verankerten risikobasierten Ansatz. Dieser Ansatz verlangt, Maßnahmen immer auf Grundlage einer Bewertung der Risiken und Chancen zu treffen (Kap. 6).
- Die umfangreichen Dokumentationspflichten, die sich in der DS-GVO vor allem aus dem Grundsatz der Rechenschaftspflicht des Verantwortlichen ergeben (bes. Art. 5 und 30), finden ihre Entsprechung in der dokumentierten Information, die den Kern des Nachweises eines ordentlich aufgebauten Managements bildet (Kap. 7).
- Das Bedienen der Rechte betroffener Personen (Art. 15-21) verlangt nach einem strukturierten Prozess, genauso wie die Beurteilung der Risiken und Chancen (Art. 24, 25, 32 und 35) die mit der Verarbeitung personenbezogener Daten für die Betroffenen, aber auch für den Verantwortlichen verbunden sind. Diese und weitere datenschutzrelevante Prozesse, wie etwa die Handhabung von Datenschutzverstößen, sind zentrale Elemente der betrieblichen Steuerung des Datenschutzes (Kap. 8).
- Datenschutzverstöße nicht nur melden, sondern vor allem dokumentieren und aufarbeiten zu müssen, sind Pflichten, die unabhängig einer Meldung an die Aufsichtsbehörde oder der Benachrichtigung Betroffener, immer und bei jeder Datenschutzverletzung greifen (Art. 33), entsprechen dem Umgang mit Nichtkonformitäten im Sinne der Normen (Kap. 9).
- Die Pflicht Maßnahmen zu überprüfen und gegebenenfalls zu aktualisieren und die Überwachungsfunktion der Datenschutzbeauftragten (Art. 24, 32 und 39), die keineswegs ersatzlos wegfällt, wenn ein Unternehmen nicht verpflichtet ist einen Datenschutzbeauftragten zu benennen, läuft hinaus auf die fortlaufende Verbesserung, die das Wesen eines jeden Managementsystemstandards ist (Kap. 10). Der Prozess der fortlaufenden Verbesserung und der Prozess der regelmäßigen Überprüfung des Datenschutzmanagements durch Audits sind den bereits genannten Prozessen hinzuzufügen.
ISO High Level Structure ist ideale Blaupause zur Umsetzung der DS-GVO
Die ISO HLS ist also eine ideale Blaupause für die Umsetzung der Anforderungen der DS-GVO. Das eröffnet für Unternehmen, die mit dieser Struktur bereits vertraut sind und ein Managementsystem nach einer ISO-Norm etabliert haben, eine enorme Erleichterung bei der Umsetzung der datenschutzrechtlichen Anforderungen.
Denn diese Unternehmen haben Erfahrung mit der Ermittlung und Dokumentation des Kontextes ihrer Organisation, sie haben erprobte Methoden der Risiko- und Chancen-Bewertung, sei es bezogen auf die Qualität ihrer Leistungen oder in Form von Umweltaspektebewertungen oder Gefährdungsbeurteilungen. Es gibt ein System der Dokumentenlenkung, es gibt erfahrene interne Auditoren, die einem frisch benannten Datenschutzbeauftragten helfen können, seine Überwachungsaufgaben zu organisieren.
Kurz, die Strukturen und das Wissen, die ein Unternehmen braucht, um das Teilführungssystem Datenschutz-Management wirksam zu integrieren und zu betreiben, sind bereits da, wenn ein ISO-Managementsystemstandard implementiert ist. Ein solches Andocken an ein schon bestehendes Managementsystem ist guter Ansatz hin zu einem integrierten Datenschutz-Management. Denn wie jeder andere Management-Bereich ist Datenschutz nur wirksam betreibbar, wenn er in die täglichen Abläufe eingebunden und mit anderen Themenfeldern der täglichen Arbeit harmonisiert ist.
Und dafür gibt es kein Zertifikat?
Eine Zertifizierung des Datenschutz-Managements wird wohl nur indirekt möglich sein, entweder über das Compliance-Management oder das Informationssicherheitsmanagement. Die ISO 19600 „Compliance-Managementsysteme – Leitlinien“ ist, wie der Titel schon ausdrückt, nicht als zertifizierbarer Standard gedacht. Die zurzeit laufende Revision der Norm hat aber unter anderem zum Ziel das Compliance-Management zu einem vollwertigen Managementsystemstandard auszubauen, der auch zertifiziert werden kann. Dieser neue Standard soll als ISO 37301 Ende 2020 erscheinen.
Schon die ISO 19600 ist nach der ISO HLS aufgebaut und somit zu den schon jetzt weit verbreiteten ISO-Standards 9001, 14001, 27001 und dem neuen Standard zur Sicherheit und Gesundheit in der Arbeit, ISO 45001, sowie der novellierten ISO 50001 voll kompatibel. Compliance-Management ist ein Teilführungssystem, das sehr gut als Klammer der anderen Teilführungssysteme dienen kann, da in jedem Bereich Anforderungen aus Gesetzen, Selbstverpflichtungen und Verträgen sowie von interessierten Parteien wie Kunden, Mitarbeitern, Geschäftspartnern, Behörden usw. zu beachten sind.
Das Informationssicherheitsmanagement nach ISO/IEC 27001, dass für Betreiber kritischer Infrastrukturen im Energiesektor gesetzlich vorgeschrieben ist, und auch in anderen Sektoren, in denen Information geschützt werden muss und soll, weit verbreitet ist, eignet sich sehr gut, um Datenschutz zu organisieren und zu steuern, weil der Datenschutz ein Unterthema der Informationssicherheit ist. Das ist in der ISO/IEC 27001 bereits im Anhang berücksichtigt, durch den Punkt A.18.1.4 „Privatsphäre und Schutz von personenbezogener Information“.
Eine Datenschutz-Erweiterung des Informationssicherheitsmanagements ist mit der ISO/IEC 27552 „Enhancement to ISO/IEC 27001 for privacy management“ bereits in Vorbereitung.
Die Beschäftigung mit ISO-Managementsystemstandards kann also bei der Umsetzung der datenschutzrechtlichen Anforderungen hilfreich sein und die Implementierung einer Datenschutz-Organisation anhand der ISO HLS kann ein erster Schritt sein zu einer Zertifizierung, mit der Datenschutz-Compliance bzw. die Integration des Datenschutzes in das Informationssicherheitsmanagement nachgewiesen werden kann.
Volker Caumanns ist betrieblicher Datenschutzbeauftragter und Auditor für die ISO/IEC 27001:2013 und seit 2015 tätig für die envigration GmbH – Compliance & Risk Management. Dort verantwortet er die interne Projektsteuerung, berät Kunden zum Datenschutz und zu Managementsystemen und führt Schulungen zu diesen Themen durch. Als Historiker pflegt er einen analytischen Zugang zu Gesetzen und Normen, damit die Praxis auf solidem Fundament waltet.