Allgemeine Gedanken zu dem Thema Zertifizierung und im speziellen eine Zertifizierung nach ISO 27701 (Datenschutz)

Eine Zertifizierung bietet immer Vorteile für eine Organisation. Diese Vorteile sind in der Regel mit Aufwänden, Kosten, verbunden und hiermit beschäftigt sich dieser Artikel, als eine Art Hilfestellung. Insbesondere nachdem es nun eine ISO Norm – ISO 27701 – gibt, die explizit auf den Bereich Datenschutz abstellt.

Vorteile

Ein beobachtbares Moment ist, dass mit einer Zertifizierung einer Organisation allgemein Qualitätsmerkmale, wie hochwertig, zuverlässig und sicher, durch Aussenstehende zugeschrieben werden. Eine Sicherstellung der Erfüllung von (Mindest-)Standards ist sehr produktspezifisch und empfiehlt sich meist nur bei Massenprodukten. Bei Massenprodukten empfiehlt sich dann eine Zertifizierung, wenn vor allem ein Alleinstellungs– und Unterscheidungsmerkmal dargestellt werden soll. Im Rahmen einer Zertifizierung erfolgt auch eine umfassende Dokumentation des Zertifizierungsgegenstandes. Eine Dokumentation schafft im besten Fall Transparenz von Abläufen. Eine Messbarkeit von Prozessen und Abläufen wird damit auch möglich, setzt aber voraus, dass die entsprechenden, aussagekräftigen, Indikatoren bestimmt worden sind. Eine Messbarkeit, als Grundlage für eine kontinuierliche Verbesserung der Abläufe, sorgt dafür, dass der Reifegrad von Prozessen und Abläufen gesteigert werden kann. Diese Steigerung ist eine From der Effizienzsteigerung, die in der Regel mit einer Ertragssteigerung einhergeht.

Eine Vereinheitlichung von Abläufen ist auch hilfreich im Rahmen der Einschulung von Mitarbeitern. Der (Ein-)Schulungsaufwand wird abschätzbar und planbar. Auch wird damit eine gemeinsame Sprache geschaffen, denn man redet nicht nur von der selben Sache, sondern verwendet auch die selben Worte dafür. Auch eine Entscheidungsfindung wird erleichtert und transparenter, wenn die richtigen Indikatoren zur Steuerung und Kontrolle im Vorfeld gewählt und kommuniziert wurden. In verschiedenen Marktsegmenten ist ein seriöser Auftritt und Markteintritt nur mit entsprechenden Zertifizierungen und Zertifikaten möglich. Vor allem ist hier der Pharmabereich anzuführen.

Nachteile

Nachteile ergeben sich vor allem in der Form des Verzehrs von beschränkten betrieblichen Mitteln. (vgl.: Kosten, die sonst nicht entstehen würden) Die Kosten lassen sich in drei Gruppen aufteilen:

  • Kosten, die durch den zeitlichen Aufwand bei der Einführung und laufender Wartung anfallen. Vor allem in den Bereichen Kommunikation, Organisation und Dokumentation. 
  • Kosten, die durch den personellen Aufwand entstehen. Vor allem, weil im Rahmen der Einführung und im Betrieb eigene Ansprechpartner zur Verfügung stehen müssen. Wie zum Beispiel für einen externen Berater bei der Vorbereitung, für einen Auditor, bei der Überprüfung, für die Leitung, um die Kontrollpflichten wahrzunehmen, und vor allem auch die Koordination aller Organisationselemente untereinander.
  • Kosten, die in der Organisation selbst entstehen. Hier ist es vor allem das Thema Dokumentation zu nennen. Bei einem bestehendem CMS (vgl.: Content Management System) ist die Abbildung und Struktur der Dokumentation in Bezug auf Revisionsfähigkeit und Rollen- und Rechteschema vor allem ein sehr wichtiger Punkt.

Datenschutz Zertifizierung – ISO 27701

Als Basis für die ISO 27701 dient die ISO 27001. Analog dazu gelten die selben Anforderungen, wie in der ISO 27001. Begrifflich wird der Ausdruck „Informationssicherheit“ aus der ISO 27000 erweitert, um die textliche Ergänzung „und Datenschutz“. Dementsprechend wird auch die Risikobeschreibung und -bewertung erweitert. Erweitert um die Bereiche GRC (vgl.: Governance, Riskmanagement und Compliance) – gemeint sind hier nationale Gesetze, geltende Rechtsprechung et al. – und zusätzlich wird auch noch der Bereich der Verarbeitung von personenbezogenen Daten hinzugenommen. Maßnahmen werden auch beschrieben. Diese stammen offenbar von der ISO 27002. Neu sind hingegen die,

  • Erweiterung der Leitlinie und der Richtlinie um Aspekte des Datenschutzes (Gemeint sind hier Betriebsvereinbarungen, Arbeitsanweisungen et al.)
  • Ernennen eines Verantwortlichen für das „Privacy Information Management System“
  • Datenschutz Schulung der Mitarbeiter
  • Protokollierung von Zugriffen und Veränderungen
  • Verschlüsselung von personenbezogenen Daten mit besonderem Schutzbedarf
  • Privacy by Design
  • Erweiterung Incident Management um Datenschutzverletzungen

Diese Aufführung ist nicht taxativ zu verstehen und kann noch ergänzt werden, um

  • Datenschutzfreundliche Einstellung (vgl.: Privacy By Default)
  • Durchsetzung Jugendschutz

und noch vieles mehr.

Bei Datensicherheit (vgl.: ISO 27000) und Datenschutz (vgl.: ISO 27701) sind zumindest drei Ziele, die mit den Maßnahmen erreicht werden sollen gemeinsam. Das sind Vertraulichkeit, Verfügbarkeit und Integrität. Im Datenschutz kommen noch weitere vier Ziele hinzu – basierend auf dem Standard Datenschutz Modell. Das sind die Nicht Verkettbarkeit, Datenminimierung, Transparenz und Intervenierbarkeit. Das Standard Datenschutz Modell referenziert auf Artikel 5 der Datenschutz Grundverordnung und leitet aus diesem die Gewährleistungsziele ab.

Basis der Zertifizierung

Eine Zertifizierung nach ISO 27701 kann also nur analog zur ISO 27001 erfolgen, da die ISO 27701 auf der ISO 27001 aufbaut. Die Akkreditierung erfolgt somit nach ISO 17021. Die ISO Norm hat zum Inhalt die Zertifizierung von Management Systemen und deren Inhalt. Wahrscheinlich wird eine (bestehende) Zertifizierung nach ISO 27001 entsprechend um die ISO 27701 erweitert werden können. Aber da nur die Kontrolle und Steuerung und nicht der Prozess, mit personenbezogenen Daten an sich, der Norm unterliegen, wird (vorerst) die ISO 27701 keine Relevanz entfalten können. Artikel 43 der Datenschutz Grundverordnung (vgl.: DSGVO) sieht eine Akkreditierung nach ISO 17056 vor und nicht wie die bei der ISO 27701 verwendete Akkreditierung nach ISO 17021.

Der Unterschied zwischen Akkreditierung und Zertifizierung besteht darin, dass es sich bei der Akkreditierung um die Bestätigung und Anerkennung der fachlichen Kompetenz für bestimmte Aufgaben durch einen unabhängigen Dritten handelt. Während bei einer Zertifizierung bestätigt wird, dass bestimmte Anforderungen, z.B. ISO 27001, eingehalten werden.

Es ist aber auszugehen, dass hier noch entsprechende Anpassungen erfolgen und diese Änderungen keinen allzu großen (Änderungs-)Aufwand darstellen. Vorausgesetzt, dass es sich um eine prozessgetriebene Organisation handelt. Es werden mit der ISO 27701 vorerst nur die Steuerungsprozesse zertifiziert und nicht die Prozesse in denen personenbezogene Daten verarbeitet werden. Eine Umstellung auf eine Akkreditierung nach ISO 17056 fordert somit eine Zertifizierung jedes Prozesses, der mit der Verarbeitung von personenbezogenen Daten zu tun hat. Ergo ist mit einem deutlichen Mehraufwand für eine Datenschutz Grundverordnung konforme Zertifizierung zu rechnen, als eine nach ISO 27701.