Spätestens seit der mit der DSGVO eingeführten Beweislastumkehr müssen Organisationen ihre rechtskonforme Datenverarbeitung nachweisen. Dazu zählt die Einhaltung der Grundsätze Transparenz, Zweckbindung, Rechtmäßigkeit und Datenminimierung. Ebenso die Erfüllung von Betroffenenrechten (Auskunft, Löschung, etc.) und die fristgerechte Behandlung von etwaigen Datenschutzverstößen. Um diesen Nachweis zu ermöglichen, stellt msecure ein prüfbares Datenschutzmanagementsystem zur Verfügung.
Mit ISP27 bietet msecure einen Prüfrahmen, der sich an den internationalen Standards zum Compliance Management und zur Informationssicherheit orientiert, und dabei spezifische Forderungen zum Datenschutz berücksichtigt. msecure führt Datenschutzaudits nach diesem Prüfrahmen durch und stellt ihn auf Anfrage auch anderen Beratungsunternehmen zur Verfügung. Im Sinne eines 4-Augen-Prinzips werden die Prüfberichte durch eine unabhängige Prüforganisation verifiziert und ein entsprechendes Zertifikat ausgestellt.
Der Prüfrahmen folgt der High-Level-Structure (HLS) der ISO Standards und erleichtert so die Integration mit bestehenden Systemen.
Der Managementsystemteil berücksichtigt spezifische Forderungen aus dem Bereich des Compliance Managements, hier insbesondere die Stellung der Datenschutzfunktion (z.B. des Datenschutzbeauftragten) und die Erfassung der bindenden Verpflichtungen. Entsprechend der üblichen Inhalte der ISO Normen werden der Kontext der Organisation, die Verpflichtung der Führung, sowie Planung, Unterstützung, Betrieb, Leistungsauswertung und Verbesserung im Sinne des PDCA-Ansatzes (Plan-Do-Check-Act) behandelt. Die Risikoorientierung der DSGVO wird im Sinne des Risikomanagements aus Sicht der betroffenen Personen ebenso berücksichtigt wie die Umsetzung in den operativen Prozessen, allen voran kunden- und mitarbeiterorientierte Prozesse, sowie in spezifischen Prozessen für den Datenschutz.
Die Umsetzung von technisch-organisatorischen Maßnahmen orientiert sich weitgehend an den in ISO 27001, Anhang A aufgeführten Maßnahmen. Diese können im Bedarfsfall durch speziellere Maßnahmen, wie etwa hinsichtlich des Datenschutzes in Cloud-Lösungen (ISO 27017) ergänzt werden. Für Organisationen mit weniger als 250 Mitarbeitern gelten dabei Erleichterungen, d.h. nicht jede Maßnahme muss vollumfänglich durch kleine Organisationen erfüllt sein. Damit wird der in Erwägungsgrund 13 der DSGVO erwähnten besonderen Berücksichtigung von Kleinst- und Kleinunternehmen Rechnung getragen.
msecure stellt geeigneten Beratungsunternehmen im Bereich Informationssicherheit und Datenschutz den Prüfrahmen ISP27 zur Verfügung. Voraussetzung für die Nutzung ist die Kenntnis der einschlägigen ISO Standards, insbesondere ISO 27xxx. Aus Lizenzgründen müssen eigene Normtexte dieser Standards vorliegen. Der Standard darf nur in Verbindung mit der 4-Augen-Prüfung eingesetzt werden.
Sollten sie als Beratungsunternehmen Interesse an dem Prüfrahmen haben, können Sie ihn bei msecure schriftlich beantragen.
Die Datenschutzgrundverordnung sieht prinzipiell vor, dass Organisationen sich zum Thema Datenschutz zertifizieren lassen können. Dazu wird in den Artikeln 42 und 43 DSGVO die Bereitstellung geeigneter Verfahren angeregt. Allerdings ist hier nicht die Zertifizierung von Managementsystemen gemeint, sondern Produktprüfungen nach ISO 17065.
Vor dem Hintergrund der durch den Europäischen Datenschutzausschuss veröffentlichten Richtlinien erscheint es aber in jedem Fall sehr sinnvoll, ein Managementsystem zum Datenschutz einzurichten, da in jedem Fall die Einhaltung der Datenschutzgrundsätze, die Einhaltung der Betroffenenrechte oder die technischen und organisatorischen Maßnahmen berücksichtigt werden müssen.
Als Kernelemente, die bei der Zertifizierung eines Produktes, Prozesses oder Dienstes berücksichtigt werden müssen, werden neben den personenbezogenen Daten die technischen Systeme sowie die mit der Verarbeitung verbundenen Prozesse und Verfahren genannt. Kurz gesagt: ein Managementsystem wird nicht nur helfen, den Ablauf einer Zertifizierung deutlich zu straffen; in den meisten Fällen wird es ohne den Nachweis eines systematischen Managements des Datenschutzes (z.B. durch zentrale Prozesse zur Erfüllung von Auskunftsanfragen oder zum Umgang mit Datenschutzvorfällen) nicht möglich sein, eine Zertifizierung zu erlangen.
Spätestens seit der mit der DSGVO eingeführten Beweislastumkehr müssen Organisationen ihre rechtskonforme Datenverarbeitung nachweisen. Dazu zählt die Einhaltung der Grundsätze Transparenz, Zweckbindung, Rechtmäßigkeit und Datenminimierung. Ebenso die Erfüllung von Betroffenenrechten (Auskunft, Löschung, etc.) und die fristgerechte Behandlung von etwaigen Datenschutzverstößen. Um diesen Nachweis zu ermöglichen, stellt msecure ein prüfbares Datenschutzmanagementsystem zur Verfügung.
Mit ISP27 bietet msecure einen Prüfrahmen, der sich an den internationalen Standards zum Compliance Management und zur Informationssicherheit orientiert, und dabei spezifische Forderungen zum Datenschutz berücksichtigt. msecure führt Datenschutzaudits nach diesem Prüfrahmen durch und stellt ihn auf Anfrage auch anderen Beratungsunternehmen zur Verfügung. Im Sinne eines 4-Augen-Prinzips werden die Prüfberichte durch eine unabhängige Prüforganisation verifiziert und ein entsprechendes Zertifikat ausgestellt.
Der Prüfrahmen folgt der High-Level-Structure (HLS) der ISO Standards und erleichtert so die Integration mit bestehenden Systemen.
Der Managementsystemteil berücksichtigt spezifische Forderungen aus dem Bereich des Compliance Managements, hier insbesondere die Stellung der Datenschutzfunktion (z.B. des Datenschutzbeauftragten) und die Erfassung der bindenden Verpflichtungen. Entsprechend der üblichen Inhalte der ISO Normen werden der Kontext der Organisation, die Verpflichtung der Führung, sowie Planung, Unterstützung, Betrieb, Leistungsauswertung und Verbesserung im Sinne des PDCA-Ansatzes (Plan-Do-Check-Act) behandelt. Die Risikoorientierung der DSGVO wird im Sinne des Risikomanagements aus Sicht der betroffenen Personen ebenso berücksichtigt wie die Umsetzung in den operativen Prozessen, allen voran kunden- und mitarbeiterorientierte Prozesse, sowie in spezifischen Prozessen für den Datenschutz.
Die Umsetzung von technisch-organisatorischen Maßnahmen orientiert sich weitgehend an den in ISO 27001, Anhang A aufgeführten Maßnahmen. Diese können im Bedarfsfall durch speziellere Maßnahmen, wie etwa hinsichtlich des Datenschutzes in Cloud-Lösungen (ISO 27017) ergänzt werden. Für Organisationen mit weniger als 250 Mitarbeitern gelten dabei Erleichterungen, d.h. nicht jede Maßnahme muss vollumfänglich durch kleine Organisationen erfüllt sein. Damit wird der in Erwägungsgrund 13 der DSGVO erwähnten besonderen Berücksichtigung von Kleinst- und Kleinunternehmen Rechnung getragen.
msecure stellt geeigneten Beratungsunternehmen im Bereich Informationssicherheit und Datenschutz den Prüfrahmen ISP27 zur Verfügung. Voraussetzung für die Nutzung ist die Kenntnis der einschlägigen ISO Standards, insbesondere ISO 27xxx. Aus Lizenzgründen müssen eigene Normtexte dieser Standards vorliegen. Der Standard darf nur in Verbindung mit der 4-Augen-Prüfung eingesetzt werden.
Sollten sie als Beratungsunternehmen Interesse an dem Prüfrahmen haben, können Sie ihn bei msecure schriftlich beantragen.
Die Datenschutz-Grundverordnung sieht prinzipiell vor, dass Organisationen sich zum Thema Datenschutz zertifizieren lassen können. Dazu wird in den Artikeln 42 und 43 DSGVO die Bereitstellung geeigneter Verfahren angeregt. Allerdings ist hier nicht die Zertifizierung von Managementsystemen gemeint, sondern Produktprüfungen nach ISO 17065.
Vor dem Hintergrund der durch den Europäischen Datenschutzausschuss veröffentlichten Richtlinien erscheint es aber in jedem Fall sehr sinnvoll, ein Managementsystem zum Datenschutz einzurichten, da in jedem Fall die Einhaltung der Datenschutzgrundsätze, die Einhaltung der Betroffenenrechte oder die technischen und organisatorischen Maßnahmen berücksichtigt werden müssen.
Als Kernelemente, die bei der Zertifizierung eines Produktes, Prozesses oder Dienstes berücksichtigt werden müssen, werden neben den personenbezogenen Daten die technischen Systeme sowie die mit der Verarbeitung verbundenen Prozesse und Verfahren genannt. Kurz gesagt: ein Managementsystem wird nicht nur helfen, den Ablauf einer Zertifizierung deutlich zu straffen; in den meisten Fällen wird es ohne den Nachweis eines systematischen Managements des Datenschutzes (z.B. durch zentrale Prozesse zur Erfüllung von Auskunftsanfragen oder zum Umgang mit Datenschutzvorfällen) nicht möglich sein, eine Zertifizierung zu erlangen.