DSGVO und ISO-IEC 27001

EINLEITUNG

Zu Beginn möchten wir darauf hinweisen, dass www.dsgvo-risiko.de keinerlei ISO/IEC 27001 Zertifizierung bzw. Ausbildung durchführen. Trotzdem bieten wir unseren Kunden die Möglichkeit während der Umsetzung von DSGVO Daten Audit & Forensik Projekten das international führende Regelwerk in Bereich Informationssicherheits-Management, einzubinden!

Wieso halten wir uns mit unseren Services und Lösungen an dieses Regelwerk, obwohl es für die meisten unserer Kunden nicht verpflichtend ist?

Wir sehen es als sehr guten Leitfaden, der Unternehmen ermöglicht sich in regelmäßigen Abständen selbst auf Standfestigkeit in Bezug auf Sicherheitsmanagement zu überprüfen und damit auch den steigenden technologischen Standards und Gefahrenpotentialen gerecht zu werden.

Unternehmen können allerdings das Regelwerk auch anwenden ohne die hohen Aufwände für eine ISO/IEC 27001 Zertifizierung und deren Aufrechterhaltung auf sich nehmen. Wirklich gut macht das Regelwerk das Risikobasierende Framework, welches starke Ähnlichkeiten mit Compliance Richtlinien aufweist. Es soll gezielt Gefahren in der Informationssicherheit identifizieren und dadurch Risiko minimierende Auswirkungen auf das Unternehmen haben. Es sorgt für mehr Sicherheit!

Betrachtet man dieses Regelwerk, als Basisfundament für die DSGVO so sind die nächsten zwei Ebenen unserer Risikopyramide die Branchenkonformität sowie die Wahrung von Betriebsgeheimnissen.

Wir haben daher die Möglichkeit unsere Kunden Stufenweise in die gewünschte Ebene zu begleiten:

1. VOR- UND NACHTEILE

Wir möchten unparteiisch sein und die Vor- und Nachteile des ISO/IEC 27001 Zertifikats beurteilen. Danach überprüfen wir wie viel es mit der DSGVO zu tun hat und setzen es als Orientierung bzw. Anhaltspunkt für die Einführung des Datenschutzes ein.

Die Vorteile 🙂

  1. Es ist bekannt und hat sich als internationale Norm durchgesetzt.
  2. Die Anforderungen sind technisch umsetzbar und ohne Zukauf externer Ressourcen möglich.
  3. Erfahrenes Personal kann man zumindest abwerben.
  4. Literatur ist leicht zu erwerben und bietet eine Vielzahl von Möglichkeiten an sich in diversen Kursen und Seminaren weiterzubilden.
  5. Anbieter für Beratung, Implementierung sowie das wiederkehrende Audit sind vorhanden.
  6. Es hat einen hohen Marketingeffekt.

Die Nachteile 🙁

  1. Hoher Personal- und Kostenaufwand (einmalige und laufende Kosten).
  2. Teilweise umständlich definiert und ermöglicht dadurch Spielraum für Interpretationen.
  3. Prüfverfahren sind zum Teil veraltet und oberflächlich (hauptsächlich manuelles Papierarbeit).
  4. Sofern Sie kein IT-Service Provider sind daher Daten Dritter nicht verarbeiten bzw. nicht im Energiesektor tätig sind, hat es nicht viel Einfluss auf Ihr Geschäftsgebaren.
  5. Abhängigkeit von der Prüfstelle die Aufrechterhaltung des Zertifikats einzuhalten da es ansonsten unangenehm werden kann.
  6. Obwohl es als Standard dargelegt, wird sind Abweichungen in der Qualität und Sorgfalt in der Abnahme erkennbar. Anders ist es nicht zu erklären, wieso grenzüberschreitende Zertifizierungen stattfinden, obwohl die Möglichkeit lokal bestehen würde.

 

2. WIESO HABEN ES NICHT ALLE?

Ganz pragmatisch sehen wir uns die Unternehmen, ohne eine Beurteilung zu machen an und unterscheiden diese in 4 Gruppen, wie folgt:

Gruppe 1: Unternehmen, die bewusst JA gesagt haben!

Die Anzahl der Unternehmen, welche sich einer Zertifizierung stellen steigt stetig. Als Hauptgrund dafür sehen wir, dass diese bewusst zum Schluss kamen sowieso bereits nach den Anforderungen der ISO/IEC 27001 Norm gearbeitet zu haben. Für diese Firmen war das Audit zwecks Zertifizierung eher reine Formsache, die sie nach einer gelungen Vorbereitung anstandslos gemeistert haben. Diese Unternehmen vermarkten das erworbene Zertifikat ganz gezielt. In den meisten Fällen wirkt es so, als hätte der Marketing- und Vertriebsmanager mehr Profit aus der Zertifizierung gezogen als der betroffene IT-Manager.

Gruppe 2: Unternehmen, die bewusst NEIN sagen!

Viele Unternehmen betrachten das Framework des ISO/IEC 27001 als Selbstverständlichkeit, orientieren sich daran und streben trotzdem keine Zertifizierung an. Ihre Gründe sind sehr unterschiedlich und reichen von fehlenden Ressourcen und Budgets bis zu dem Faktor, dass Sie keinen marketingtechnischen Vorteil daraus ziehen können. Wir zählen zu dieser Kategorie auch Unternehmen, die eine Zertifizierung nicht erneuert haben. Offensichtlich werden hier vom Management Kosten und Nutzen gegenübergestellt.

Gruppe 3: Unternehmen, die nicht wissen wie nahe sie dran sind!

Wir identifizieren aber auch Unternehmen, die unbewusst sehr nahe der ISO/IEC 27001 Norm nach arbeiten. Das sind vor allem Unternehmen, die vermehrt auf moderne Service- und CLOUD-Technologien setzen. Eine Vielzahl der CLOUD-Funktionen erfüllt bereits die geforderten Standards und der Kunde erwirbt sie mit der Nutzung der Dienstleistung.

Gruppe 4: Unternehmen, die andere Prioritäten haben!

Es gibt natürlich auch solche Unternehmen, die es aufgrund ihres Wachstums, ihrer geographischen Verteilung oder mangelndem Interesse dieses Regelwerk nicht in Betracht ziehen wollen oder können. Interessant für uns ist hier die Parallelität, weil diesen Unternehmen auch die Implementierung der DSGVO extrem schwerfällt. Offensichtlich ist es unwichtig, ob der Standard freiwillig erfolgen kann oder verordnet wird.

3. Wird in der DSGVO eine ISO/IEC 27001 Zertifizierung tatsächlich erwähnt?

Die ISO/IEC 27001 wird gerade wegen Artikel 32 mit der DSGVO in Kontext gebracht. Oder besser umgekehrt da die Reihenfolge der Erscheinung ebenfalls in Betracht gezogen werden muss. Beratungsunternehmen im Bereich der ISO/IEC 27001 Zertifizierung suggerieren potentiellen Kunden natürlich diesen Standard einzusetzen, um der DSGVO Folge zu leisten. Die DSGVO dient ihnen somit als weiteres Verkaufsargument.

Sehen wir uns aber den betroffenen Artikel 32 näher an:

  1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
    1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
    2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
    3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
    4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
  2. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.
  3. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
  4. Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Unsere Conclusio aus dem Konnex DSGVO und ISO/IEC 27001

In 3. Punkt des Artikel 32 wird auf den Artikel 42 mit dem Satz ‚kann als Faktor herangezogen werden‘ um die Erfüllung des Artikels wie unter Punkt 1 zu bestätigen (Achtung auf das Wort: kann). Praktisch gesehen erleichtert ein existierendes Zertifikat den Behörden in einem Prüfverfahren die Arbeit und assoziiert den risikobewussten Umgang mit personenbezogenen Daten bereits beim Besuch der Webseite, beim Besuch in der Eingangshalle des Unternehmens oder auf dessen Briefpapier.

Risikobewusst mit Daten umgehen können Unternehmen aber auch ohne Zertifikat indem sie das Regelwerk umsetzen, in regelmäßigen Abständen anpassen, sachgemäß dokumentieren und technologisch am Stand der Dinge sind. Damit setzen sie tatsächlich Artikel 32 um und haben die Empfehlung unter Punkt 3 zur Kenntnis genommen.

Mit einem hauseigenen Standard gemäß dem Regelwerk der ISO/IEC 27001 bestätigen sie den Behörden erst im zweiten Schritt den Einsatz eines hohen Sicherheitsstandards. Es ist sowieso davon auszugehen, dass Ihnen bei einer DSGVO Prüfung der tiefere Einblick in die Geschehnisse ihrer IT nicht erspart bleiben wird.

Das Zertifikat wird bei einem Verstoß die Behörden nicht abhalten hinter die Kulissen zu schauen. Dafür gibt es ja den Punkt 4 im Artikel 42, der eigentlich das DSGVO vom ISO/27001 um einiges distanziert!

Wir bringen es auf den Punkt: Eine Zertifizierung wie in Punkt 3 von Artikel 32 beschrieben sollte nicht mehr als eine aufdringliche Empfehlung seitens der Behörde gewertet werden! Offensichtlich gab es hierfür Fürsprecher, die während der EU Verhandlungen das durchgesetzt haben wollten. Die Gegner konnten aber in Punkt 4 des Artikels 42 dafür sorgen, dass eine ISO/IEC 27001 Zertifizierung keinen Persilschein darstellt. Für Unternehmen bleibt jetzt die Aufgabe einen hohen Standard im Informationssicherheits-Management zu erstellen. Ob dieser zertifiziert ist oder nicht wird bei einem Verstoß auf das Strafmaß keinen Einfluss haben. Wäre es nicht so, würden Unternehmen gemeinsam mit dem ISO/IEC 27001 Zertifikat eine Versicherung gegen DSGVO Verstöße erwerben.

Das ist aber nicht möglich!

4. Gemeinsamkeiten bzw. Schnittmengen des DSGVO und dem ISO/IEC 27001

Wir haben beide gegenübergestellt um die Schnittmenge zwischen freiwilligem Standard und der Datenschutzgrundverordnung anzusehen. Es ist in unseren Augen weniger als erwartet:

5. Die DSGVO umsetzen mit und ohne ISO/IEC 27001 Zertifikat

Ob sie ein Zertifikat haben oder nicht, Unternehmen müssen die DSGVO durchgehend umsetzen. Die Ausgangssituation eines Unternehmens kann aber variieren. Wir stellen uns darauf ein und konzentrieren uns auf die gemeinsam gesetzten Ziele des Kunden. Wir beschreiben die üblichen Ausgangssituationen und die möglichen Ziele unserer Kunden:

Das Unternehmen ist ISO/IEC 27001 zertifiziert!

Ihre Zertifizierung bestätigt, dass der Kunde hervorragende Basisdaten über seine Ist-Situation im Unternehmen verfügt. Seine IT-Infrastruktur ist durch diverse Systeme transparent dokumentiert und benötigt von uns keinen Aufbau eines Basisfundaments. Er stellt Daten und Dokumentation zur Verfügung und wir fokussieren uns ausschließlich auf die nächste Ebene unserer Risikopyramide. Mit dem DSGVO Daten Audit & Forensik stellen wir die Erreichung und den Erhalt der DSGVO Konformität sicher.

Das Unternehmen hat einen eigenen Standard im Informationssicherheits-Management!

Dieser Fall ist für uns identisch wie eine vorhandene Zertifizierung zu betrachten. Hier muss geklärt werden, ob der Kunde eine ISO/IEC 27001 Zertifizierung anstrebt und im Zuge des DSGVO Daten Audit & Forensik Projektes ein Voraus-Audit für die ISO/IEC 27001 Zertifizierung haben möchte. Wir stellen die Ergebnisse unseres DSGVO Daten Audits den Erwartungen einer ISO/IEC 27001 gegenüber und helfen dem Unternehmen die Chancen für den Erhalt eines Zertifikats korrekt einzuschätzen! Sofern der Kunde aber weiterhin keine ISO/IEC 27001 Zertifizierung anstrebt, sind unsere Dienstleistungen auf die DSGVO Konformität ausgerichtet. Das bedeutet sein vorhandener Standard wird als Aufbau für unser DSGVO Daten Audit & Forensik verwendet.

Der Kunde hat seine Zertifizierung nicht erneuert!

Abhängig vom Zeitpunkt des Verlustes sowie der Datenqualität und Aktualität seiner vorhandenen Dokumentation klären wir wo und wie angesetzt wird. Wir bieten in solchen Unternehmen die notwendige Unterstützung an, um das Basisfundament für eine funktionierende DSGVO Konformität neu zu erstellen. Diese orientiert sich dann an das Regelwerk der ISO/IEC 27001 Norm, setzt aber eine Zertifizierung nicht zwingend voraus.

Der Kunde ist ein unbeschriebenes Blatt, weil er bisher andere Prioritäten hatte!

Ein bis vor Inkrafttreten der DSGVO legaler Zustand, der allerdings schleunigst geändert werden muss. Wir erstellen für solche Unternehmen eine Kartografie über das gesamte Unternehmen und setzen hier ebenfalls gleich das ISO/IEC 27001 Regelwerk ein damit diese Unternehmen die notwendige Transparenz erzielen und eine DSGVO Prüfung bestehen. Unser DSGVO Daten Audit & Forensik Projekt schafft Klarheit und wird das DSGVO Risiko stark minimieren!

Wir bauen die Brücke zwischen DSGVO und der ISO/IEC 27001 Norm!

In unserem Intelligent Risk Assessment sowie im darauffolgenden Intelligent Risk Management setzen wir unsere Werkzeuge SIG (Standardized Information Gathering) CIG (Customized Information Gathering) und das AUP (Audit Upon Procedure) ein. Dieser inkludieren sämtliche Prüfungsfragen aus dem ISO/IEC 27001 Norm und ermöglichen uns den Istzustand des Kunden den Anforderungen gegenüberzustellen und zu bewerten. Der absolute Vorteil hier ist, dass unsere Lösung automatisiert abläuft und viel Zeit und Geld spart. Wir bieten hiermit eine sehr wirksame Möglichkeit den Artikel 32 trotz fehlender Zertifizierung erfolgreich umzusetzen!