Auswirkungen der EU-Datenschutz-Grundverordnung auf ein ISMS nach ISO/IEC 27001:2013

Laut der europäischen Kommission wird die neue Datenschutz-Grundverordnung den EU-Bürgern die Möglichkeit geben, ihre personenbezogenen Daten besser kontrollieren zu können. Am 27. April 2016 wurde die „General Data Protection Regulation“ (eine EU-Datenschutz-Grundverordnung – nachfolgend DSGVO) verabschiedet. Dies hat zu Folge, dass alle Unternehmen, innerhalb, sowie außerhalb der EU, die im Besitz von personenbezogenen Daten von EU-Bürgern sind, verpflichtet werden, Maßnahmen zu ergreifen, um diese Verordnung erfolgreich umzusetzen. Weniger als vier Wochen nach der Veröffentlichung ist diese neue Regelung am 25. Mai 2016 in Kraft getreten. Dabei wird den Unternehmen und Organisationen eine Übergangsfrist von zwei Jahren nach dem Inkrafttreten der Verordnung zur Anwendung des Gesetzes gewährt. Dies bedeutet, dass ab dem 25. Mai 2018 Datenschutzaufsichtsbehörden die Einhaltung der neuen Grundverordnung überprüfen dürfen. Wenn die DSGVO nicht befolgt wird, drohen Unternehmen und Organisationen umfangreiche Bußgelder, sowie ein Reputationsverlust.

Für Unternehmen mit einem „lebendigen“ Informationssicherheitsmanagementsystem (nachfolgend ISMS) ergibt sich durch die Publikation der DSGVO eine Änderung im Bereich interne und externe Aspekte (im Sinne der ISO/IEC 27001, Klausel 4.1 „Understanding the organization and its context). Die Änderung sollte hierbei als „Chance“ (im Sinne der ISO/IEC 27001, „6.1 Actions to address risks and opportunities“) betrachtet werden, die es ermöglicht eine weitere Integration des Managementsystems zu gewährleisten und damit Ressourcen, Zeit und andere Aufwände zu reduzieren. Eine solche Integration (das Verschmelzen von Managementsystemen) ist im Sinne des Annex SL, der als Leitfaden für die Entwickler von Managementsystemen und der damit verbundenen Synchronisation dient.

In diesem Artikel soll die Auswirkungen der DSGVO und die damit verbundenen Chancen, praxisnah, für das ISMS näher betrachtet werden.

*Anmerkung: Referenzen auf die internationale Norm ISO/IEC 27001:2013 werden ausschließlich auf Basis der englischen Version der Norm.

1. Relevante Anforderungen der DSGVO

1.1. Definitionen

"Personenbezogene Daten" (nachfolgend PD): alle Daten, die sich auf eine lebende Person beziehen, die aus diesen Daten entweder selbst oder durch Kombination mit anderen Daten identifiziert werden kann. Zusätzlich zu den offensichtlicheren personenbezogenen Daten (z. B. Namen, Adressen und Geburtsdaten) werden Aufzeichnungen über Aktivitäten und Meinungen in Bezug auf eine Einzelperson (z. B. Mitarbeiterbeurteilungen, Kundenmeinungen und Internet-Browserverlauf) angezeigt. Personenbezogene Daten können entweder das persönliche Leben oder das Berufsleben einer Person betreffen.

"Betroffene": Natürliche Personen deren PD im Unternehmen verarbeitet werden.

"Verarbeitung": jede Aktivität, die in Bezug auf PD ausgeführt wird, einschließlich des Erhalts, Aufzeichnens, Haltens, Speicherns, Verwendens, Offenlegens oder Löschens von PD.

"Sensible personenbezogene Daten": Daten in Bezug auf körperliche oder geistige Gesundheit, religiöse Überzeugungen, Rasse oder ethnische Herkunft, politische Ansichten, Sexualleben, Straftaten oder strafrechtliche Verurteilungen oder genetische und biometrische Daten.

1.2. Rahmenbedingungen

Die neue Datenschutz-Grundverordnung hat das Ziel, eine einheitliche, EU-weite Regelung in Bezug auf die Verarbeitung von personenbezogenen Daten durch öffentliche Einrichtungen / öffentliche Organisationen und private Unternehmen sicherzustellen. Nach dem Marktortprinzip müssen alle Unternehmen, die Dienstleistungen in der EU anbieten, unabhängig davon, ob sie einen Sitz innerhalb oder außerhalb von Europa haben, dieselben Regeln befolgen. Obwohl die neue EU-Grundverordnung einen einheitlichen Datenschutz innerhalb der Europäischen Union als Ziel verfolgt, wird es zahlreiche Öffnungsklauseln geben, mit deren Hilfe nationale Regelungen weiterhin umgesetzt / bewahrt werden können. Für die Unternehmen bedeutet dies, dass sie sich zukünftig detailliert informieren müssen, um einen Überblick zu haben, in welchem EU-Staat welche Regelungen gelten. Im Vergleich zum BDSG sind die Regelungen in der DSGVO umfangreicher und zugleich schärfer. Auch die drohenden Sanktionen bei Verstößen gegen die Grundprinzipien der Verordnung übersteigen bei Weitem die des BDSG. So können Bußgelder bis zu 20 Mio. Euro oder vier Prozent eines Jahresumsatzes verhängt werden. In Art. 83 Abs. 4 bis 6 der DSGVO ist im Vergleich zu noch geltendem BDSG eine deutlich größere Anzahl an Verstößen, für die Bußgelder verhängt werden, aufgelistet. In den Vorschriften der DSGVO, in denen die Vorgaben für den Auftragsverarbeiter geregelt sind, werden auch Geldbußen im Falle eines Verstoßes vorgesehen. Nach dem Willen des europäischen Gesetzgebers (so Erwägungsgrund 148) sollen Verstöße gegen bußgeldbewehrte Pflichten der DSGVO grundsätzlich eine Sanktion zur Folge haben. Ausnahmen soll es nur bei geringfügigen Verstößen sowie in Fällen geben, in denen eine Geldbuße gegen eine natürliche Person unverhältnismäßig belastend wäre.

Nach der DSGVO stellt nun auch der Verstoß gegen die Pflicht zur Ergreifung geeigneter und angemessener technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten eine Ordnungswidrigkeit dar. Dies ist eine wichtige Neuerung gegenüber dem heute noch geltenden Recht. Besonders bemerkenswert ferner: Auch Verstöße Verantwortlicher gegen die Pflichten zu datenschutzfreundlicher Technikgestaltung und zu datenschutzfreundlichen Voreinstellungen können zu Geldbußen führen. Dies unterstreicht insgesamt die große Bedeutung, die der Gesetzgeber den technischen, organisatorischen Maßnahmen und den Grundsätzen „privacy by design“ und „privacy by default“ für einen effektiven Datenschutz zumisst. Die bisher geltenden Grundsätze der Transparenz, Verhältnismäßigkeit und Zweckbindung bei der Verarbeitung von PD bleiben bestehen und sind Grundlage der Analyse. Eine entscheidende Veränderung in der DSGVO im Vergleich zu dem BDSG ist die Verpflichtung der Verantwortlichen technische, sowie organisatorische Maßnahmen einzuleiten, um datenschutzfreundliche Voreinstellungen zu gewährleisten. Sanktionen können nicht nur gegen beauftragte PD Verarbeiter und Verantwortliche erhoben werden. Zertifizierer, wie auch Akkreditierungsstellen, die für die Überwachung der genehmigten Verhaltensregeln (CoC) zuständig sind, können durch die DSGVO auch zur Rechenschaft gezogen werden. 

1.3. Relevante Anforderungen und Umsetzungsbeispiele

Die nachfolgende Tabelle beschreibt Anforderungen der DSGVO, sowie auch einige Beispiele hinsichtlich der Umsetzung dieser. Es wird keine Vollständigkeit garantiert.

 

 

2. Relevante Anforderungen der ISO/IEC 27001

Nachfolgend werden die in Tabelle-1 erörterten Anforderungen mit den integrierbaren Anforderungen / Maßnahmen der ISO/IEC 27001:2013 referenziert, inklusive einer kurzen Beschreibung. Es wird keine Vollständigkeit garantiert.

 

3. FAZIT

Die Integration der DSGVO in das ISMS entsprechend Abschnitt 2 beschreibt einen möglichen Ansatz. Selbst bei einer erfolgreichen Integration wird es zu Aufwänden kommen, jedoch ergibt sich eine deutliche Reduktion durch die Nutzung der bestehenden technischen und organisatorischen Maßnahmen des ISMS. 

Autoren: Dr. K. Tomov, D. Ivanov (NenConsulting IT and Security GmbH)

Quelle: GAI NetConsult GmbH

4. REFERENZEN

[1] DSGVO, Opens external link in new windowhttps://dsgvo-gesetz.de/  

[2] ISO/IEC 27001:2013 

 

Diesen Artikel empfehlen