Jusletter IT

Zertifizierungen im Datenschutzbereich

  • Author: Wolfgang Resch
  • Category: Articles
  • Region: Austria
  • Field of law: Data Protection
  • Collection: Conference proceedings IRIS 2019
  • Citation: Wolfgang Resch, Zertifizierungen im Datenschutzbereich, in: Jusletter IT 21. February 2019
Durch die Verabschiedung der DSGVO 2016 und vor allem seit dem Inkrafttreten im März 2018 stieg das Interesse an Zertifizierungen im Datenschutzbereich kontinuierlich an. Da aber kaum Normen für Datenschutzzertifizierungen verfügbar sind, bleibt nur eine Zertifizierung nach den derzeit verfügbaren Normen in ähnlichen Bereichen. Die Datenschutzbehörde in Österreich hat noch keine Zertifizierungsverfahren nach Artikel 42 DSGVO genehmigt und keine Zertifizierungsstellen nach Art. 43 DSGVO akkreditiert, also bleibt vorerst als Ausweg z. B. eine Zertifizierung der «Sicherheit der Verarbeitung» nach Art. 32 DSGVO mittels einer ISO/IEC 27001 Zertifizierung durch akkreditierte Zertifizierungsstellen.

Inhaltsverzeichnis

  • 1. Regeln im Datenschutz in Österreich
  • 1.1. Gesetzeslage
  • 1.2. Warum zertifizieren?
  • 1.3. Was zertifizieren?
  • 1.4. Wie zertifizieren?
  • 1.4.1. Selbstbeurteilung und Selbstdeklaration
  • 1.4.2. Audit durch Sachverständige oder ExpertInnen
  • 1.4.3. Audit durch AuditorInnen einer akkreditierten Zertifizierungsstelle
  • 1.5. Zertifizierungen gegen was?
  • 2. Mögliche Zertifizierungen im Datenschutzbereich
  • 2.1. Zertifizierungen lt. Art. 42 DSGVO
  • 2.2. Zertifizierungen von Managementsystemen
  • 2.3. Zertifizierung von Personen
  • 2.4. Zertifizierung von Dienstleistungen, Prozessen und Produkten
  • 3. Derzeit verfügbare Datenschutznormen
  • 3.1. Die ISO/IEC 27000er Normenreihe
  • 3.1.1. ISO/IEC 27001
  • 3.1.2. ISO/IEC 27018
  • 3.2. ISO/IEC 29100 und ISO/IEC 29151
  • 3.3. Britischer Standard: BS 10012
  • 3.3.1. BSI Grundschutz
  • 3.4. Andere bestehenden Datenschutzsiegel und -Prüfzeichen
  • 4. Kommende Normen
  • 4.1. ISO/IEC 27552 – eine DS-Erweiterung gemäß ISO/IEC 27009
  • 4.2. ÖNORM Normprojekt A 2017
  • 5. Ausblick

1.

Regeln im Datenschutz in Österreich ^

1.1.

Gesetzeslage ^

[1]
In Österreich ist das Thema Datenschutz, ähnlich wie in Deutschland, schon seit vielen Jahren gesetzlich verankert gewesen. Mit der Verabschiedung des DSG 2000 wurden die wesentlichen Aspekte des Datenschutzes in Österreich zentral in einem Gesetz gesammelt und das blieb auch bis zu den notwendigen Änderungen durch die nationale Umsetzung der DSGVO so. Durch das Inkrafttreten der Richtlinie (EU) 2016/680 (DSGVO) im Mai 2018 wurde das DSG 2000 durch das Datenschutzanpassungsgesetz 2018 geändert und auch gleich in «Datenschutzgesetz – DSG» umbenannt, wo einige Bestimmungen in jenen Bereichen, in denen die DSGVO Öffnungsklauseln zulässt, national geregelt wurden.
[2]
Im Kern bilden also die Vorschriften in der DSGVO gemeinsam mit dem DSG als österreichisches nationales Begleitgesetz das Rahmenwerk für den Datenschutz in Österreich ab dem 25. Mai 2018.
[3]
Substanziell hat sich an den gesetzlichen Anforderungen und Vorschriften für österreichische Unternehmen nicht sehr viel geändert, die Sanktionen und mögliche Schadenersatzforderungen sind jetzt aber erheblich gestiegen.
[4]
Da nun im Datenschutz empfindlichen Geldstrafen und auch erhebliche Schadenersatzforderungen selbst für immaterielle Schäden – also quasi ein Datenschutz-Schmerzensgeld – drohen, ist das Interesse von Firmen und Organisationen groß, sich die Compliance mit den DS-Vorschriften und -Anforderungen in irgendeiner Weise bescheinigen zu lassen, damit ein Privileg bei der Bemessung von Strafen und im Schadenersatzfall erreicht werden kann.

1.2.

Warum zertifizieren? ^

[5]
Durch eine Zertifizierung kann die betroffene Firma oder Organisation nachweisen, dass sie das Thema ernst nimmt und datenschutzrelevante Anforderungen in allen relevanten Prozessen entsprechend berücksichtigt hat sowie die Informationssicherheit dem Stand der Technik entsprechend umgesetzt hat und damit Compliance zu den gesetzlichen Anforderungen im Datenschutzbereich hat. Das alles wird bei der Bemessung des eventuellen Strafausmaßes bzw. bei der Bemessung von Schadensersatzzahlungen bei der nationalen Datenschutzbehörde bzw. vor Gericht berücksichtigt werden. Zusätzlich hat das Management auch eine gute Absicherung, um die persönliche Haftung als Verantwortliche bzw. eventuelle Regressansprüche der Firmen gegenüber dem eigenen Management zu minimieren.

1.3.

Was zertifizieren? ^

[6]
Bei der Zertifizierung von Firmen und Organisationen ist eine Voraussetzung, dass der gesamte zertifizierte Bereich – der Zertifizierungsscope – innerhalb derselben Organisation ist, den gleichen Richtlinien unterliegt (z. B. Managementsystemen) und im Verantwortungsbereich einer gemeinsamen obersten Führung steht. Die richtige Auswahl des Zertifizierungsbereichs ist vor allem bei Managementsystemen wichtig, da es bei Datenschutzfragen z. B. nicht ausreichen würde, wenn etwa nur die IT-Abteilung und das Data-Center innerhalb des Scopes sind, der restliche operative Betrieb allerdings nicht. Es ist also bei der Auswahl des Zertifizierungsbereiches darauf zu achten, dass alle MitarbeiterInnen, die Zugang zu personenbezogenen Daten haben und alle Verarbeitungsprozesse, in denen personenbezogene Daten verarbeitet werden, im Scope sowohl von Datenschutz- als auch Informationssicherheitszertifizierungen sind. Das führt zwangsläufig dazu, dass es meist besser ist, gleich das gesamte Unternehmen bzw. die gesamte Organisation des Kunden zu zertifizieren. So spart man dann auch die Abgrenzungen und notwendige Schnittstellenbeschreibungen und SLAs zwischen dem zertifizierten und dem nicht-zertifizierten Bereichen innerhalb einer Organisation.

1.4.

Wie zertifizieren? ^

1.4.1.

Selbstbeurteilung und Selbstdeklaration ^

[7]
Hier werden anhand von Checklisten bestimmte Sachverhalte intern beurteilt und in Falle einer entsprechenden Übereinstimmung mit den Anforderungen im Wege einer Selbstdeklaration die Compliance quasi mittels interner Beurteilung verkündet.

1.4.2.

Audit durch Sachverständige oder ExpertInnen ^

[8]
Mit einem Audit durch eine/n Sachverständige/n oder Expertin bzw. Experten, ist zumindest eine Außensicht auf die zu zertifizierende Organisation gegeben. Die Unabhängigkeit der AuditorInnen stellt eine objektivierte Sichtweise von außen auf das Unternehmen des Kunden sicher und die Auditberichte dienen als Beweis für die Konformität mit den entsprechenden Anforderungen der Regelwerke.

1.4.3.

Audit durch AuditorInnen einer akkreditierten Zertifizierungsstelle ^

[9]
Ein Audit durch AuditorInnen einer offiziell akkreditierten Zertifizierungsstelle stellt derzeit den höchstmöglichen Level dar. Da die Zertifizierungsstelle selbst den Anforderungen der Akkreditierungsstelle (je nach Art und Zuständigkeit z. B. die Akkreditierung Austria oder die Datenschutzbehörde) erfüllen muss, um eine möglichst hochqualitative und unabhängige Zertifizierungsdienstleistung anbieten zu können, können die Kunden sicher sein, dass alle akkreditierten Stellen vergleichbare Qualität anbieten.

1.5.

Zertifizierungen gegen was? ^

[10]
Zertifiziert werden kann gegenüber Regeln nationaler und internationaler Normen. Im Zuge der Zertifizierung wird die Konformität von Produkten, Prozessen oder Personen des Kunden mit den Anforderungen der Regelwerke bzw. der Norm geprüft und im Falle einer weitestgehenden Übereinstimmung die Konformität mittels der Ausstellung eines Zertifikates bescheinigt. Neben Normen und gesetzlichen Anforderungen kann eine Zertifizierung auch gegenüber selbst auferlegten Regeln oder Verhaltensweisen bzw. gegen Branchenvorgaben erfolgen. Üblicherweise erfolgt eine Zertifizierung freiwillig und wird – zumindest in Österreich – nur in wenigen Bereichen gesetzlich vorgeschrieben.

2.

Mögliche Zertifizierungen im Datenschutzbereich ^

2.1.

Zertifizierungen lt. Art. 42 DSGVO ^

[11]
Im Art. 42 DSGVO ist die Rede von der Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -Prüfzeichen, die dazu dienen sollen, bei Verarbeitungsvorgängen von Verantwortlichen und Auftragsdatenverarbeitern die Compliance mit der DSGVO nachzuweisen. Für die Zulassung von Zertifizierungsstellen derartiger Zertifizierungen ist in Österreich die Datenschutzbehörde (DSB) zuständig.
[12]
Leider sind die in Österreich dafür notwendigen Verordnungen vom Europäischen Datenschutzausschuss noch nicht genehmigt worden und auch die Rahmenbedingungen für kommende Zertifizierungsstellen lt. Art. 43 DSGVO sind noch nicht veröffentlicht worden (Stand Mitte Jänner 2019).

2.2.

Zertifizierungen von Managementsystemen ^

[13]
Jede größere Organisation oder Firma wird um die Einrichtung und den Betrieb von Managementsystemen letztlich nicht herumkommen. Für den Datenschutz relevant sind hier vor allem Informationssicherheitsmanagementsysteme (ISMS) und Datenschutzmanagementsysteme (DSMS). Eine Ausrichtung an etablierten Normen wie der ISO 9001 oder der ISO/IEC 27001 ist schon bei der Errichtung des Managementsystems ratsam, falls man erwägt, dieses einmal zertifizieren zu lassen.

2.3.

Zertifizierung von Personen ^

[14]
Hier ist im DS/IS-Bereich auf verschiedenen Ebenen eine Zertifizierung denkbar:
[15]
Angefangen von allen MitarbeiterInnen auf einem sehr niedrigen Level über einen mittleren Level für alle, die regelmäßig mit personenbezogenen Daten arbeiten bis hin zu hohen Levels für IT-MitarbeiterInnen und mittleres/gehobenes Management oder sogar für Datenschutzbeauftragte, Datenschutzkoordinatoren und Leiter von Firmen und Organisationen.
[16]
Da aber einheitliche Anforderungen in Normen noch fehlen, sind alle Personenzertifizierungen derzeit eine Zusammenstellung von individuellen Anforderungen unterschiedlicher Zertifizierer und untereinander nur sehr bedingt vergleichbar. Die zertifizierenden Stellen verfügen auch meist als nicht-staatliche Firmen und Organisationen über keine entsprechenden einschlägigen Akkreditierungen (z. B. nach ISO/IEC 17024).

2.4.

Zertifizierung von Dienstleistungen, Prozessen und Produkten ^

[17]
Im DS-Bereich wird es möglich sein, sich auch Dienstleistungen, Prozessen und Produkte auf ihre Konformität mit der DSGVO bescheinigen bzw. zertifizieren zu lassen. Da in Österreich auch in diesem Bereich die DSB zuständig ist, fehlen hier noch detaillierte Vorgaben (siehe 2.1.1). Es sollte aber in Zukunft möglich sein, z. B. für Webshops, Cloud-Services aber auch für Hardware-Komponenten Datenschutzzertifizierungen zu erlangen. Als Rahmennorm der Anforderungen für die Zertifizierungsstellen wird hier voraussichtlich die ISO/IEC 17065 dienen.

3.

Derzeit verfügbare Datenschutznormen ^

[18]
Die derzeit verfügbaren Normen sind leider nach Art und Anzahl relativ überschaubar und dadurch auch nicht für alle Anwendungsfälle passend. Internationale Normungsinstitute wie die ISO, IEC, CEN sowie im nationalstaatlichen Bereichen etwa die British Standards Institution (BSI), das Deutsche Institut für Normung (DIN) oder das Austrian Standards International arbeiten ständig an neuen Normen bzw. an Updates für bestehende.

3.1.

Die ISO/IEC 27000er Normenreihe ^

[19]
Die ISO/IEC 27000 Normenreihe bietet neben der Hauptnorm – der ISO/IEC27001 – und den dazugehörigen Umsetzungsrichtlinien der ISO/IEC 27002 einige Branchen- und Bereichsnormen lt. ISO/IEC 27009 und hier vor allem die ISO/IEC 27018 (Datenschutz für Cloud-Services) und damit verbunden auch die ISO/IEC 27017 (über Cloud-Security).

3.1.1.

ISO/IEC 27001 ^

[20]
Für den Datenschutz ist generell ein angepasstes Niveau an technischen und organisatorischen Maßnahmen (TOM) vorgeschrieben (siehe Art. 32 DSGVO). In der ISO/IEC 27001 findet sich dieser Bereich vor allem in den Zielen und Maßnahmen im Anhang A unter A.17 (BCM) und A.18 (Compliance). Prinzipiell ist die Informationssicherheit u. a. auch für Belange der Vertraulichkeit, Verfügbarkeit und der Belastbarkeit der Systeme sowie eines risikobasierten Schutzniveaus bei den Verarbeitungsvorgängen relevant.
[21]
So gesehen ist eine ISO/IEC 27001 Zertifizierung ein durchaus taugliches Mittel, um sich den Stand der Technik bei den TOMs bescheinigen zu lassen. Die Tatsache, dass es sich bei der ISO/IEC 27001 um eine internationale und langjährig etablierte Norm handelt (mit weltweit fast 40.000 gültigen Zertifikaten per Jahresende 2017), untermauert die Eignung einer Zertifizierung nach dieser Norm noch weiter. Es handelt sich dabei um keine technische Norm, sondern um systematisch dargestellte Anforderungen vor allem organisatorischer Art, die notwendig sind, um ein Infomationssicherheitsmanagementsystem aufzubauen und aufrecht zu erhalten, das den spezifischen Anforderungen der zertifizierten Organisation entspricht. Achtung: Um im Datenschutzbereich bei Haftungsfragen und Schadenersatzfällen hilfreich zu sein, sollte der gewählte Zertifizierungsscope möglichst das gesamte Unternehmen abdecken (siehe auch 1.3.)!

3.1.2.

ISO/IEC 27018 ^

[22]
Hier geht es um den Schutz von personenbezogenen Daten in Cloud-Services, referenziert wird hier fast ausschließlich auf die Umsetzungsnorm ISO/IEC 27002. Das betrifft für den Bereich Cloud-Security auch die Norm ISO/IEC 27017.

3.2.

ISO/IEC 29100 und ISO/IEC 29151 ^

[23]
Im Standard ISO/IEC 29100 (Informationstechnik – Sicherheitsverfahren – Rahmenwerk für Datenschutz) und in der ISO/IEC 29515 (Informationstechnik – Sicherheitsverfahren – Leitfaden für den Schutz personenbezogener Daten) werden auch datenschutzrelevante Aspekte dargestellt, die nützlichen Input bei der Umsetzung von Datenschutz liefern. Als Zertifizierungsgrundlage eignen sich allerdings beide Normen nicht.

3.3.

Britischer Standard: BS 10012 ^

[24]
Der britische Standard BS 10012:2017 ist der erste und derzeit einzige Standard, der schon die speziellen Anforderungen der DSGVO berücksichtigt und einen möglichen Rahmen für die Zertifizierung eines DSMS bietet. Durch die doch recht britische Herangehensweise und die Unsicherheiten, die durch den BREXIT bedingt sind, eignet sich diese Norm nur bedingt als Zertifizierungsgrundlage in Österreich und auf dem restlichen Kontinentaleuropa. Die Norm enthält aber durchaus brauchbare Hinweise, welche Anforderungen sich aus der DSGVO an DSMS ableiten lassen.

3.3.1.

BSI Grundschutz ^

[25]
Parallel zu ISO/IEC 27001 Zertifizierungen gibt es in Deutschland noch Zertifizierungen nach BSI-Grundschutz-Katalogen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). In Österreich sind Zertifizierungen auf dieser Basis nicht so etabliert. Das BSI hat hier jedoch äußerst penibel und umfassend alle denkbaren Bereiche der Informationssicherheit beleuchtet und die Unterlagen, die das BSI zur Verfügung stellt, sind sehr nützlich, wenn man sich eingehender mit diesem Themen auseinandersetzen will!

3.4.

Andere bestehenden Datenschutzsiegel und -Prüfzeichen ^

[26]
Andere bestehende Datenschutzsiegel und -Prüfzeichen wie etwa das EuroPriSe Siegel sind –bei nicht unerheblichen Kosten – wegen mangelnder offizieller Anerkennung und der unterschiedlichsten meist privaten und daher nicht-staatlichen Organisationen, die hinter diesen Zertifizierungen stehen, mit einem ungewissen Grad der Würdigung vor der Datenschutzbehörde und vor Gerichten verbunden.

4.

Kommende Normen ^

4.1.

ISO/IEC 27552 – eine DS-Erweiterung gemäß ISO/IEC 27009 ^

[27]
Der Titel des Normvorschlages «Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines” sagt schon einiges über den Inhalt aus. Hier wird von Seiten der ISO versucht, den Bereich Datenschutz als Erweiterung im Sinne der ISO/IEC 27009 in Abstimmung und unter Berücksichtigung mit den Anforderungen der DSGVO abzubilden. Die ISO/IEC 27552 wird – wie alle Branchen und Bereichsnormen der 27000er Reihe – nur gemeinsam mit der Hauptnorm, also als Erweiterung, zertifizierbar sein, ist aber dadurch, dass die DIN (die deutsche Normungsstelle) hier maßgeblich als Editor tätig war und noch ist, sehr nahe an den DSGVO-bedingten Anforderungen. Im derzeitigen Normentwurf (Stadium 1st DIS) werden zusätzliche Anforderungen beim Betrieb eines DSMS im Hinblick auf die Anforderungen lt. ISO/IEC 27001 und auch DSMS-spezifische Umsetzungsrichtlinien in Ergänzung zur ISO/IEC 27002 festgelegt (hier ebenso wie die Anhänge A und B sogar unterteilt nach Verantwortlichen und Auftragsdatenverarbeiter). Im Anhang C werden die Anforderungen der Norm gegen die Artikel der DSGVO gemappt und im Anhang D gegen die Anforderungen lt. ISO/IEC 29100 und im Anhang E gegen die der ISO/IEC 27018 und ISO/IEC 29151 abgebildet.
[28]
Da jetzt mit keinen größeren Änderungen in diesem Normungsstadium mehr gerechnet werden muss, ist die kommende ISO/IEC 27552 für all jene, die eine ISO/IEC 27001 schon haben oder auch anstreben sicher eine sehr gute Lösung, die schon ab Herbst 2019 verfügbar sein sollte!

4.2.

ÖNORM Normprojekt A 2017 ^

[29]
In der Arbeitsgruppe 001–18 (Datenschutz) des Austrian Standards International (früher ÖNORM) – dem nationalen österreichischen Normungsgremium – wird derzeit an einer nationalen österreichischen DSMS-Norm gearbeitet, die auch ohne eine ISO/IEC 27001 Zertifizierung, also für sich alleine, zertifizierbar sein wird. Der Normentwurf A 2017 orientiert sich dabei, wie alle gängigen ISO Managementsystemnormen, an der so genannten High-Level-Structure des Annex-SL der ISO und eignet sich damit auch für integrierte Audits, z. B. gemeinsam mit anderen MS-Normen wie ISO 9001, ISO 14001 oder ISO 20000.
[30]
Die Arbeit am vorderen Normenteil (Kapitel 4–10, der die organisatorischen Anforderungen an das Managementsystem enthält und wie erwähnt mit anderen Managementsystemnormen gleich gegliedert ist) ist weitgehend abgeschlossen, derzeit wird an der Erstellung der Anhänge gearbeitet (Stand Jänner 2019). Geplant ist hier neben Anforderungen ähnlich dem Anhang A in der ISO/IEC 27001 auch ein Anhang mit einem Mapping der Punkte in der Norm zu den Anforderungen (Artikel und Erwägungsgründe) der DSGVO.
[31]
Falls alles wie vorgesehen voranschreitet, dann sollte in Laufe des Jahres 2019 diese ÖNORM veröffentlicht werden und dann als Basis für DSMS-Zertifizierungen dienen.

5.

Ausblick ^

[32]
Denkbar erscheint, dass die Österreichische DSB Zertifizierungen nach der kommenden ÖNORM A 2017 aber auch nach ISO/IEC 27001 gemeinsam mit der dann fertigen ISO/IEC 27552 als geeignete Zertifizierungen lt. Art. 42 beurteilt. Es muss also abgewartet werden, bis es hier auf Seiten der DSB die notwendigen Rahmenbedingungen zur Verfügung stehen, damit sich Zertifizierungsstellen akkreditieren lassen und Verfahren zur Zertifizierung genehmigt werden können. Wichtig erscheint im DS-Bereich hier, ähnlich wie im Bereich der kritischen Infrastrukturen, dass die gesamte operative Tätigkeit der Firma oder Organisation innerhalb des Scopes liegt, sodass alle datenschutzrelevanten Bereiche durch die Zertifizierung abgedeckt werden (siehe 1.3.).
[33]
Unabhängig davon ist auch schon jetzt eine Zertifizierung von Managementsystemen nach einer Akkreditierung durch die Akkreditierung Austria im BMDW möglich. Als Basis für die Zertifizierungsstellen dienen hier die Vorgaben der ISO/IEC 17021-1 bzw. für den Bereich der Personenzertifizierungen die ISO/IEC 17024 und im Bereich von Produkten, Prozessen und Dienstleistungen die ISO/IEC 17065.
[34]
Als zusätzlichen Hinweis, dass die nationalen Akkreditierungsstellen in der DSGVO ernst genommen werden, sei hier darauf verwiesen, dass lt. Art. 43 Abs. 1.b. in manchen Ländern diese Stellen auch die Akkreditierungsstellen für die Zertifizierungsstellen lt. Art. 43 sein können; in Österreich wurde jedoch durch das DSG die Österreichische DSB lt. DSGVO Art. 43 Abs. 1.a. als zuständig bestimmt. Bis hier der notwendigen Rahmen für «echte» DSGVO-Zertifizierungen geschaffen ist, bleiben also nur andere bestehende und vielleicht kurzfristig verfügbare Zertifizierungen, wobei über die Beurteilung dieser Bescheinigungen durch Behörden und die Gerichte noch ungewiss ist.
[35]
Es ist jedenfalls besser, das Thema ernst zu nehmen und etwas in Richtung Zertifizierung zu unternehmen, als abzuwarten, den Kopf in den Sand zu stecken und zu hoffen, dass schon nichts passieren wird. Vor den Gerichten und der Datenschutzbehörde werden jedenfalls Zertifizierungen, die durch eine systematische Herangehensweise an die Themen Datenschutz und Informationssicherheit, die sich an etablierten international anerkannten Normen ausrichten und den Stand der Technik berücksichtigen, entsprechend berücksichtigt werden. Zusätzlich erhält das Unternehmen einen Wettbewerbsvorteil, den das Marketing zur besseren Positionierung am Markt verwenden kann, um das Vertrauen von Partnern und Konsumenten zu stärken. Die Unternehmensleitung kann ihre Haftungsrisiken reduzieren, falls es einmal zu einem Vorfall kommen sollte, und es drohen ja neben den Strafen der Behörden auch Sammelklagen auf immaterielle «DS-Schmerzensgelder», was bei einer größeren Anzahl an Betroffenen für die dafür verantwortlichen Unternehmen und Organisationen extrem teuer und sogar existenzbedrohend werden kann.