Bewertung der Sinnhaftigkeit einer Zertifizierung nach ISO27001 vor dem Hintergrund des Kapitels IV Abschnitt 5 DSGVO am Beispiel eines Payment-Anbieters

Inhaltsverzeichnis

Inhaltsverzeichnis

A. Die ISO 27001 und die DSGVO

B. Die EU-DSGVO und die Vorgaben
I. Kapitel IV Abschnitt 5 DSGVO
II. Art. 40 EU-DSGVO
III. Art. 41 EU-DSGVO
IV. Art. 42 EU-DSGVO
V. Art. 43 EU-DSGVO
VI. Anforderungen an eine Zertifizierung

C. Die ISO-Norm und die Erfüllung der Vorgaben
I. Die ISO 27001
II. Die ISO 27552
III. Weitere relevante ISO – Normen
IV. Alternative Zertifizierungen

D. Die Payment-Anbieter und die Zusatzanforderungen

E. Die Handlungsempfehlung und die Einschränkung

Literaturverzeichnis

Bewertung der Sinnhaftigkeit einer Zertifizierung nach ISO27001 vor dem Hintergrund des Kapitels IV Abschnitt 5 DSGVO am Beispiel eines Payment-Anbieters.

A. Die ISO 27001 und die DSGVO

Am 25.05.2016 trat die EU-DSGVO in Kraft. In dem Kapitel IV Abschnitt 5 EU-DSGVO wird auf die Möglichkeit hingewiesen, mittels genehmigter Verhaltensregeln, beziehungsweise über Zertifizierungen die Einhaltung der datenschutzrechtlichen Vorgaben aus der EU-DSGVO nachzuweisen. Für Unternehmen, welche Ihre Konformität gerne unter anderem als Wettbewerbsvorteil zertifizieren lassen möchten, stellt sich die Frage, welche Zertifikate aktuell sinnvoll sind.¹ Insbesondere die Zertifizierung nach ISO 27001 wird in diesem Zusammenhang stark beworben,² und es ist zu klären, ob dies tatsächlich eine sinnvolle Vorbereitung für eine Zertifizierung nach Art. 42 DSGVO darstellen kann³. Dies wird im Rahmen dieser Arbeit beispielhaft an einem Payment-Anbieter betrachtet. Der Payment-Anbieter bietet Lösungen für das Business-Travel-Management und gibt in diesem Rahmen Kreditkarten aus. Naturgemäß haben Kunden und Anbieter ein hohes Interesse, die personenbezogenen Daten vor unbefugten Zugriffen zu schützen. Da Finanzinstitute häufig Opfer von Hackerangriffen werden,⁴ und diese Angriffe medial länderübergreifend für Schlagzeilen sorgen⁵, möchte der Payment-Anbieter mittels eines Zertifikats für EU-DSGVO-Konformität das Vertrauen der Kunden vertiefen. Zudem erhofft er sich somit nach Art. 24 Abs. 3 EU-DSGVO seine Erfüllung der Pflichten nach Art. 5 Abs. 2 EU-DSGVO nachweisen zu können. Für diese Zertifizierung wurde im vergangenen Geschäftsjahr für 2019 bereits ein Budget zur Verfügung gestellt. Das Budget möchte der Payment-Anbieter nicht ‚verfallen‘ lassen. Nachdem der Abteilung „Security“ von einem Vertriebler die Zertifizierung einer ISO 27552 vorgeschlagen wurde, ist eine Prüfung dieser vor dem Hintergrund des Art. 42 EU-DSGVO nun fällig. Da eine Zertifizierung immer auf Basis der ISO 27001 ausgestellt wird⁶, beschränkt sich die Anschauung nicht auf die ISO 27552, sondern prüft inwieweit die ISO 27001 inklusive der ISO 27552 als Zertifizierung nach Art. 42 EU-DSGVO, oder zumindest zur Vorbereitung für eine solche Zertifizierung geeignet ist.

Die Arbeit gliedert sich in die Betrachtung der Vorgaben aus der EU-DSGVO für eine Zertifizierung, anschließend in die Betrachtung der ISO 27001 und darauffolgend die Betrachtung der spezifischen zusätzlichen Vorgaben für Payment-Anbieter. Zu guter Letzt rundet eine Handlungsempfehlung für den heutigen Stand die Arbeit ab.

Zunächst ist für die Arbeit vorab grob zu klären, was die ISO 27001 darstellt. Die ISO 27001 ist eine Norm, welche Part der Normen-Familie ISO/IEC 2700x ist. Veröffentlicht werden die Normen von der Internationalen Organisation für Standardisierung (ISO). Die Normen sind international anerkannt. Speziell die ISO 27001 ist eine Norm, welche die Einhaltung geltender Standards der Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen zertifiziert. Allerdings wird lediglich die Einrichtung, Realisierung und Optimierung sowie der Betrieb eines dokumentierten Informationssicherheitsmanagementsystems beschrieben. Es werden Maßnahmen zur Implementierung und zum Betrieb eines Informationssicherheits-Managementsystems beschrieben, aber es werden keine Vorgaben hinsichtlich der Tiefe der Umsetzung gemacht.⁷

B. Die EU-DSGVO und die Vorgaben

I. Kapitel IV Abschnitt 5 DSGVO

In dem vierten Kapitel Abschnitt fünf der EU-DSGVO geht es um die Beschreibung der Möglichkeit genehmigte Verhaltensregeln aufzustellen oder Unternehmen nach der EU-DSGVO zertifizieren zu lassen. Die EU-DSGVO legt bereits an früherer Stelle nahe, dass sich die Verantwortlichen mittels Zertifizierungen die Erfüllung der Vorgaben aus der EU-DSGVO vereinfachen können. An erster Stelle wird dies in Art. 24 Abs. 3 EU-DSGVO aufgeführt, zwecks Nachweises der Erfüllung der Pflicht aus der EU-DSGVO von Seiten des Verantwortlichen. Gemäß des Kurzpapiers Nummer 9 der DSK kann auch bei Art. 25 Abs. 1 und 2 EU-DSGVO eine Zertifizierung für den Nachweis der Einhaltung der Grundverordnung als Faktor mit herangezogen werden.⁸ Nach Art. 28 Abs. 5 EU-DSGVO und Erwägungsgrund 81⁹ kann der Verantwortliche „die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter (…) als Faktor heranziehen, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen“. Des Weiteren wird bei der Datenübermittlung in Drittstaaten nach Art. 46 Abs. 2 lit.e, lit.f EU-DSGVO auch die Möglichkeit aufgezeigt, mittels genehmigter Verhaltensregeln nach Art. 40 EU-DSGVO oder mittels genehmigter Zertifizierungsverfahren gemäß Art. 42 EU-DSGVO die benötigten Nachweise zur Auftragsverarbeitung bzw. Datenübermittlung in Drittstaaten erbringen.¹⁰ Nicht zuletzt kann durch die Einhaltung genehmigter Zertifizierungsverfahren oder die Einhaltung genehmigter Verhaltensregeln die Höhe eines potentiellen Bußgeldes laut Art. 83 Abs. 2 lit. j EU-DSGVO vermindert werden. Zudem kann nach dem Kurzpapier 9 der DSK, laut Erwägungsgrund 90 EU-DSGVO bei der Datenschutzfolgenabschätzung eine Zertifizierung für den Nachweis der Einhaltung der Grundverordnung herangezogen werden.¹¹

Aus dem Art. 32 EU-DSGVO lässt sich herauslesen, dass die Verantwortlichen ein Datenschutzmanagementsystem (im Folgenden DSMS) implementieren sollten. Die „geeigneten technischen und organisatorischen Maßnahmen“ welche der Verantwortliche zum Schutze der personenbezogenen Daten „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ trifft, müssen nach Art. 32 Abs. 1 lit. d EU-DSGVO einem „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ unterliegen.¹²

II. Art. 40 EU-DSGVO

Art. 40 EU-DSGVO kann als Anreiz ausgelegt werden, dass Verantwortliche zu Zwecken der Selbstregulierung Verhaltensregeln aufstellen, die zu einer wirksamen Umsetzung der Vorgaben aus der EU-DSGVO führen. Adressiert werden direkt die Verantwortlichen¹³

III. Art. 41 EU-DSGVO

Art.41 EU-DSGVO geht Hand in Hand mit Art. 40 EU-DSGVO, wenngleich die Normadressaten an dieser Stelle die Aufsichtsbehörden sind. Diese sind für die Akkreditierung von Überwachungsstellen zuständig.¹⁴

IV. Art. 42 EU-DSGVO

Gemeinsam mit Art. 43 EU-DSGVO bildet der Art. 42 EU-DSGVO den Rahmen für eine Zertifizierung¹⁵. Art. 42 Abs. 5 EU-DSGVO beschreibt, dass eine Zertifizierung nach der EU-DSGVO voraussetzt, dass entweder die zuständige Aufsichtsbehörde oder der Europäische Datenschutzausschuss nach Art. 63 EU-DSGVO das Zertifizierungsverfahren gemäß der ISO/IEC 17065 in Verbindung mit der ISO/IEC 17067 genehmigt hat.¹⁶ Diese Normen beschreiben Anforderungen an Stellen, welche Verfahren, Produkte und Prozesse zertifizieren.¹⁷ Ein Service im Markt, dessen Verantwortliche bereits stark auf Zertifizierungen hinarbeiten, da man sich einen hohen Nutzen durch den Wettbewerbsvorteil erhofft, sind Cloud-Dienstleistungen.¹⁸ Denn auch ein technikunkundiger Kunde, würde über die Zertifizierung in die Lage gebracht werden, dem Cloud-Dienstleister vertrauen zu können. Alleinige Transparenz verhilft aufgrund der technischen Tiefe im Prozess der Kundenbindung nicht weiter.¹⁹ Den Prozess des Zertifizierungsverfahrens hat die DSK in dem Kurzpapier 9 wie folgt dargestellt:

Abbildung in dieser Leseprobe nicht enthalten

Abb.B.IV.: Gesamtverfahren nach Art. 42 Abs. 5 EU-DSGVO ²⁰

V. Art. 43 EU-DSGVO

So wie Art. 40 und Art. 41 EU-DSGVO sind auch Art. 42 und Art. 43 EU-DSGVO miteinander verbrüdert. Der Art. 43 adressiert die neben den Aufsichtsbehörden die Zertifizierungsstellen. Des Weiteren werden Vorgaben zu den Akkreditierungsvoraussetzungen und Akkreditierungsverfahren genannt.²¹ In Art. 43 Abs. 1 lit. b EU-DSGVO wird nochmals ausdrücklich auf die EN-ISO/IEC 17065/2012 verwiesen. Hierbei handelt es sich um eine Produkt–, Service- oder Verfahrenszertifizierung.²² Die Kommission ist nach Art. 43 Abs. 8 EU-DSGVO in Verbindung mit Art. 92 Abs. 2 EU-DSGVO befugt weitere Maßnahmen und Anforderungen an ein Zertifizierungsverfahren festzulegen.²³

VI. Anforderungen an eine Zertifizierung

In der EU-DSGVO lassen sich weder abschließende Regelungen zu den Akkreditierungsvorgaben herauslesen, noch inhaltliche Vorgaben zu dem Zertifizierungsverfahren. In Art. 42 Abs. 1 ist lediglich zu lesen, dass der Zertifizierungsgegenstand alle für den Zertifizierungsgegenstand relevanten Anforderungen der DSGVO abbilden muss. Andernfalls kann das Zertifikat nicht als Nachweis dienen, dass die EU-DSGVO „bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird“.²⁴

C. Die ISO-Norm und die Erfüllung der Vorgaben

I. Die ISO 27001

Die ISO 27001 ist eine Norm aus der Normenfamilie der ISO/IEC 27000. Firmen aus verschiedenen Branchen haben die ISO 27001 Zertifizierung quasi flächendeckend umgesetzt, zum Beispiel Automobilzulieferer, Energienetzbetreiber oder Cloud-Dienstleister. Diese Normenfamilie befasst sich grundlegend mit drei Punkten. Zum einen die Definition der Begriffe aus der Informationssicherheit. Zum zweiten die Umsetzung von 114 Maßnahmen, um das geforderte Maß an Informationssicherheit zu gewährleisten. Und zum dritten mit dem Punkt, des Aufsetzens eines grundlegenden Informationssicherheitsmanagementsystems (im Folgenden ISMS). Ein ISMS dient der Steuerung aller Prozesse und Aktivitäten im Bereich der Informationssicherheit.²⁵

[...]

¹ https://www.infopoint-security.de/wann-kommen-eigentlich-die-dsgvo-zertifikate/a17491/ (18.08.2019)

² https://www.bsigroup.com/LocalFiles/de-de/CSIR/Resources/BSI-ISO-27001-EU-DSGVO.pdf (18.08.2019)

³ https://www.e-commerce-magazin.de/die-dsgvo-und-ihre-begleitenden-zertifizierungen-und-guetesiegel-ein-einblick/ (18.08.2019)

⁴ https://www.it-finanzmagazin.de/g7-hacker-stresstest-banken-security-ethische-hacks-89573/ (18.08.2019)

⁵ https://www.security-insider.de/hacker-stiehlt-daten-von-rund-100-millionen-bankkunden-a-851063/ (18.08.2019)

⁶ https://dzdcert.de/iso-iec-27552-keine-dsgvo-konforme-zertifizierung-moeglich/ (18.08.2019)

⁷ Umnuß, Karsten:, Corporate Compliance Checklisten, S. 16

⁸ Kurzpapier 9 Seite 1

⁹ https://www.datenschutz-notizen.de/zertifizierungen-gemaess-dsgvo-0021733/ (18.08.2019)

¹⁰ https://www.computerwoche.de/a/welche-datenschutz-zertifikate-passen-zu-dsgvo-und-gdpr,3545410,2 (18.08.2019)

¹¹ Kurzpapier 9 Seite 1

¹² https://www.datenschutzbeauftragter-info.de/isms-dsgvo-was-unternehmen-beachten-sollten/ (18.08.2019)

¹³ Spindler/Schuster Elektron. Medien/Spindler/Dalby DS-GVO Art. 40 Rn. 1-3

¹⁴ Spindler/Schuster Elektron. Medien/Spindler/Dalby DS-GVO Art. 41 Rn. 1-3

¹⁵ Spindler/Schuster Elektron. Medien/Spindler/Dalby DS-GVO Art. 42 Rn. 1-3

¹⁶ https://www.dakks.de/content/keine-g%C3%BCltige-zertifizierung-nach-der-eu-dsgvo-vor-dem-25-mai-2018-m%C3%B6glich (18.08.2019)

¹⁷ https://www.datenschutz-notizen.de/iso-iec-27001-vs-dsgvo-1022677/ (18.08.2019)

¹⁸ Hofmann, Johanna: Management sicherer Cloud-Services. Vertrauensschutz durch Zertifizierung. S.178

¹⁹ Hofmann, Johanna: Management sicherer Cloud-Services. Vertrauensschutz durch Zertifizierung. S.69

²⁰ Kurzpapier 9 Seite 2

²¹ Spindler/Schuster Elektron. Medien/Spindler/Dalby DS-GVO Art. 43 Rn. 1, 2

²² Sowa, Aleksandra: IT-Prüfung, Sicherheitsaudit und Datenschutzmodell, S.115

²³ Spindler/Schuster Elektron. Medien/Spindler/Dalby DS-GVO Art. 43 Rn. 11

²⁴ Natalie Maier, Tamer Bile: Die Zertifzierung nach der DSGVO. S. 479

²⁵ Michael Brenner: Praxisbuch ISO / IEC 27001, S.1