Neue EU-Datenschutz-Verordnung: Inwieweit hilft ISO-27001-Zertifizierung?

© CIS

Archiv
04/04/2013

Neue EU-Datenschutz-Verordnung: Inwieweit hilft ISO-27001-Zertifizierung?

Die neue EU-Verordnung für einen europaweit einheitlichen Datenschutz soll 2013 veröffentlicht werden und ab 2015 die nationalen DSG ablösen. Damit werden Strafen bis zu einer Million Euro möglich. Auch Datenschutz-Zertifikate sollen forciert werden. Eine ISO-27001-Zertifizierung für Informationssicherheit deckt bereits wesentliche Inhalte dieser Datenschutz-Anforderungen ab. Ein Kommentar von Herbert Bieber, Datenschutz-Fachexperte für die Zertifizierungsorganisation CIS.

Die EU-Richtlinie 95/46/EG (Datenschutzrichtlinie), die die Basis für das Österreichische Datenschutzgesetz DSG 2000 bildet, ist in die Jahre gekommen und soll von der neuen EU-Datenschutzverordnung vollständig abgelöst werden. Optimisten gehen davon aus, dass die Verordnung noch 2013 verabschiedet wird. Der Entwurf sieht ein Inkrafttreten 2 Jahre nach Veröffentlichung vor, also voraussichtlich 2015.

EU-Grundverordnung löst nationale DSG abDie Verordnung gilt – anders als die Richtlinie – unmittelbar in jedem Mitgliedsland, eine Umsetzung in nationales Recht ist nicht mehr nötig. Damit wird auch das österreichische DSG abgelöst und europaweit ein einheitliches Reglement erreicht. Obwohl etliche Kernpunkte der Verordnung noch offen sind, ist mit signifikanten Neuerungen zu rechnen: Der maximale Verwaltungsstrafrahmen wird drastisch erhöht – bis zu einer Million Euro oder zwei Prozent des Konzernumsatzes sind im Gespräch. Auch für Vergehen, die heute als Kavaliersdelikt gelten: etwa bei Verarbeitung personenbezogener Daten ohne Rechtsgrundlage oder bei Missachtung des Widerspruchsrechts Betroffener.

Datenschutz-FolgenabschätzungDen Unternehmen werden zahlreiche neue Pflichten auferlegt. So wird ein Datenschutzbeauftragter verpflichtend vorzusehen sein, wobei die Kriterien noch heftig diskutiert werden. Der Entwurf sieht einen Datenschutzbeauftragten für Unternehmen ab 250 Mitarbeitern vor, für Behörden generell. Ein völlig neues Thema ist die Datenschutz-Folgenabschätzung. Demnach muss  jedes Unternehmen bei der Einführung neuer IT-Systeme analysieren, welche Auswirkungen im Falle von Datenpannen aus Sicht der Betroffenen entstehen könnten. Alle neuen IT-Systeme müssen datenschutzfreundlich gestaltet werden (Privacy by Default). Um das zu erreichen, werden Risikoanalysen, wie sie in der Informationssicherheit seit Jahren gang und gäbe sind, gesetzlich vorgeschrieben sein.

Datenschutz-ZertifizierungenDer Artikel 39 des Entwurfs kündigt die Forcierung von Siegeln und Zertifizierungen an: „Die Mitgliedstaaten … fördern … die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -zeichen.“ Ziel soll sein, dass Betroffene rasch das Datenschutzniveau von IT-Produkten und IT-basierenden Diensten in Erfahrung bringen können. Bekannte Siegel wie das European Privacy Seal prüfen die Datenschutz-Compliance in Anlehnung an die EU-Datenschutzrichtlinie nach Inhalten wie: Art der Daten, Sensibilität, Verarbeitung/Übermittlung/Überlassung, Betroffenenrechte oder Zustimmungserklärungen. Aus technisch/organisatorischer Sicht wird geprüft, ob die Daten sicher verarbeitet werden. Dazu zählen gemäß Auditkatalog: Sicherheitspolitik, Zutrittsschutz, Zugriffsschutz, Netzwerksicherheit, Risikomanagement und vor allem auch, ob und wie ein Managementsystem etabliert ist  – de facto Maßnahmen, die in den Informationssicherheitsnormen der Serie ISO 2700x beschrieben werden.

ISO 27001 als Basis für DatenschutzZusammenfassend ergibt sich, dass es ohne ein Informationssicherheits-Managementsystem (ISMS) ungleich schwieriger sein wird, die Anforderungen der neuen Datenschutzgrundverordnung zu erfüllen. Für Themen wie Privacy-Impact-Analysen, Risikoanalysen, technisch/organisatorische Maßnahmen oder Datenschutz-Zertifizierungen erleichtert ein ISMS nach ISO 27001 die Arbeit des Datenschutzbeauftragten enorm. Im Streitfall liefert ein ISO-27001-Zertifikat den Nachweis, dass ein technisch/organisatorisches Managementsystem implementiert ist und die Sicherheit bei der Datenverarbeitung gesetzeskonform, angemessen und nach dem Stand der Technik erfüllt ist.

Verfügbarkeit, Vertraulichkeit und Integrität von DatenFazit: ISO 27001 deckt als Standard für Informationssicherheit alle Arten von betrieblichen Informationen ab. Im Vergleich dazu betrifft das Datenschutzgesetz nur personenbezogene Daten. ISO 27001 geht inhaltlich über die DSG-Anforderungen hinaus und deckt dafür tiefergehende Datenschutz-Spezifika – wie die Überprüfung der Zulässigkeitsvoraussetzungen, die Einhaltung der schutzwürdigen Geheimhaltungsinteressen oder die Wahrung der Betroffenenrechte – im Detail nicht ab. Insgesamt unterstützt eine Zertifizierung nach ISO 27001 europäische Datenschutzzertifizierungen in Hinblick auf Verfügbarkeit, Vertraulichkeit und Integrität von Daten erheblich, deckt einen bedeutenden Teil der Datenschutzanforderungen ab und unterstützt die Erfüllung dieser wesentlich.

Ing. Herbert Bieber, MSc, CISA ist unabhängiger Fachberater und Trainer in den Bereichen Informationssicherheit und Datenschutz. Er fungiert als Fachexperte für Datenschutzfragen für die Zertifizierungsorganisation CIS.

EVENT-TIPP:

9. INFORMATION-SECURITY-SYMPOSIUM, WIEN 2013Standardisierung von Security & Services nach ISO 27001 / ISO 20000: effektiv und transparent

Di, 04. Juni 2013, 13.00 – 18.30 h / Open EndKursalon Stadtpark, A-1010 Wien 

Information und Anmeldung:www.cis-cert.com/Symposium