Zahlensalat: 27001, 27701 und 37000
- und was Datenschutz damit zu tun hat

 

Eine Menge Zahlen und Abkürzungen

In der ersten Folge unseres Podcasts widmen wir uns einem meiner Lieblingsthemen, ISO Normen, und wie man sie am besten möglichst effizient einsetzen kann, um ein effektives Datenschutzmanagementsystem zu implementieren (und in weiterer Folge aufrecht zu erhalten).

ISO 37000

Diese ISO Norm beschäftigt sich mit Governance in Organisationen, wobei Governance sinngemäß einen Rahmen von Regeln und Verfahren oder eine bestimmte Struktur bedeutet, mit deren Hilfe Organisationen gesteuert und kontrolliert werden können. 

ISO 27001

Bei dieser Norm stehen Informationssicherheits-Managementsysteme (ISMS) im Vordergrund, wobei auf die allgemeinen Geschäftsrisiken abgestellt wird. 

ISO 27701

Hierbei handelt es sich um eine Norm, die, in Ergänzung zur ISO 27001, Datenschutz stärker in den Fokus stellt, in Form eines Privacy Information Management Systems (PIMS).

Beginnen wir zuerst mit der ISO 37000 - wo gibt es hier sinnvolle Anknüpfungspunkte in Bezug auf Datenschutz?

Zuerst möchte ich hier auf Art 5 Abs 2 DSGVO verweisen, der eine sogenannte Accountability-Pflicht des Verantwortlichen statuiert: Im Wesentlichen bedeutet dies, dass der Verantwortliche nicht nur verpflichtet ist, die in Art 5 Abs 1 DSGVO genannten Prinzipien wie etwa Zweckbindung, Datenminimierung und Rechtmäßigkeit der Verarbeitung einzuhalten, sondern er unterliegt diesbezüglich auch einer Nachweispflicht. Die Rechenschafts- oder eben Accountabilitypflicht kennt die ISO 37000 ebenfalls und kann daher hier bereits als Startpunkt dienen. 

Darüber hinaus spielt die Definition von Verantwortlichkeiten innerhalb einer Organisation und das Erarbeiten von Leitlinien ebenso eine große Rolle in der ISO 37000, wie die beiden Punkte Überwachung und Reporting bzw. Organisationskultur: Besonders die beiden letzten beiden Punkte kennen wir ebenfalls aus der DSGVO, wenn wir nur einen Blick auf Art 39 Abs 1 lit b DSGVO werfen, der Überwachung und Reporting als wesentliche Kernaufgaben eines/einer Datenschutzbeauftragten bezeichnet. Darüber hinaus wird von einem/einer Datenschutzbeauftragten, zumindest wenn es nach dem Working Paper 243 der ehemaligen Art 29 Datenschutzgruppe geht, auch die Fähigkeit gefordert, "eine positive Datenschutzkultur zu fördern". 

Kommen wir jetzt zur ISO 27001 - wie kann eine ISMS-Norm dabei helfen, datenschutzkonform zu werden?

Kurzer Disclaimer vorab: Wenn man stets im Hinterkopf behält, dass Security Expert*innen einen anderen Zugang haben zu bestimmten Themen als Datenschutzexpert*innen, weil Letztere die Rechte und Freiheiten betroffener Personen im Fokus haben (müssen), während Erstere auf Geschäftsrisiken abstellen, gibt es tatsächlich sehr viele "Absprungpunkte" für die Implementierung eines Datenschutzmanagementsystems basierend auf einer ISO 27001 - und zwar in einer Art und Weise, die tatsächlich auch ressourcenschonend erfolgen kann.

Lassen Sie mich hier drei Beispiele für Anknüpfungspunkte geben (die ich übrigens in der Podcastfolge nicht genannt habe):

  • Die ISO 27001 verlangt eine Informationssicherheitspolitik und entsprechende Richtlinien: Hier kann ich als Datenschutzexpert*in sehr gut andocken und diese Dokumente um datenschutzspezifische Regularien ergänzen, es spricht auch nichts dagegen, eine eigene interne Datenschutz-Richtlinie zu etablieren.
  • Darüber hinaus verlangt die ISO 27001 ein Inventar von Informationen sowie Prozesse in Bezug auf das Löschen von Informationen: Datenschutzexpert*innen denken hier sicherlich gleich an Art 30 DSGVO, der das Führen eines Verzeichnisses von Verarbeitungstätigkeiten vorschreibt, oder genauer, an Art 30 Abs 1 lit c DSGVO, der verlangt, dass in einem solchen Verzeichnis jedenfalls die Kategorien personenbezogener Daten angeführt werden. Art 30 Abs 1 lit f DSGVO wiederum schreibt die Dokumentation der Löschfristen vor, wo dies möglich ist. Streng genommen könnte umgekehrt ein ISMS an dieser Stelle sogar von Datenschutzdokumentationen profitieren, da die DSGVO bereits eine gewisse Grundstruktur für ein solches "Inventar" vorgibt und Security Expert*innen ihrerseits mit ihren Themen nur darauf aufbauen müssten.
  • Schließlich wird auch der Nachweis von themenspezifischen Trainings nach ISO 27001 verlangt: Nachdem es durchaus Sinn macht, auch Datenschutztrainings zu dokumentieren bzw. unterschiedliche Trainings mit unterschiedlichem Inhalt an unterschiedlichen Zielgruppen auszurollen, könnten sich Datenschutzexpert*innen die bestehende Infrastruktur für diesen Punkt ebenfalls ressourcenschonend zunutze machen. 

Ich glaube, man erkennt hier recht gut, dass die ISO 27001 ein nahezu perfektes Vehikel ist, um ein Datenschutzmanagementsystem mit vertretbarem Aufwand in einer Organisation zu implementieren (ja, gebe zu, ich bin ein Fan der ISO 27001).

Warum sollte ich trotzdem über eine ISO 27701-Zertifizierung nachdenken?

Weil die ISO 27001 nur ein nahezu perfektes Instrument ist, um ein Datenschutzmanagementsystem bei einem bereits bestehendem Information Security Management System "anzudocken" - sie ist nicht perfekt, es fehlen wesentliche Teile, die erst in der ISO 27701 abgebildet werden:

  • Zunächst bildet die ISO 27701 die unterschiedlichen Sichtweisen auf Verarbeitungstätigkeiten tatsächlich ab: Als Unternehmen können Sie sowohl Verantwortlicher als auch Auftragsverarbeiter sein, die ISO 27701 gibt hier konkrete Vorgaben zu Dokumentationen und Prozessen.
  • Darüber hinaus müssen Sie nach der ISO 27701 zB auch zusätzlich jeweils Prozesse und Dokumentationen in Bezug auf die Rechtmäßigkeit und die Einhaltung des Zweckbindungsprinzips haben oder darlegen können, wie Sie eine Einwilligung nach Art 7 DSGVO rechtskonform einholen (sowie, was passiert, wenn eine solche Einwilligung widerrufen werden sollte): Diese Punkten finden sich in der ISO 27001 (naturgemäß) nicht, sondern das müsste in diesem Fall wohl gesondert über ein entsprechend ausgearbeitetes Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden, wenn Sie alle Informationen an einem Platz haben möchten.
  • In der ISO 27701 werden auch Prozesse und Dokumentationen in Bezug auf die Einhaltung von Art 25 DSGVO (Privacy by Design and by Default) gefordert, auch das ist nicht Teil der ISO 27001.

Im Ergebnis bietet die ISO 27701 somit eine noch stärkere Anleitung in Bezug auf Prozesse und Dokumentationen aus Datenschutz-Sicht. 

Befreit mich eine ISO Zertifizierung von möglichen Haftungen?

Kurze, knackige Antwort: Nein, eine ISO-Zertifizierung, egal ob ISO 27001 oder ISO 27701, alleine wird Sie von allfälligen Haftungen nach Art 82 DSGVO nicht befreien. Art 82 Abs 3 DSGVO hält fest, dass der Verantwortliche sich von seiner Haftung auf Schadenersatz nur dann exkulpieren kann, wenn er in keinerlei Hinsicht für den Umstand, durch den der Schaden letztlich eingetreten ist, verantwortlich ist. 

Ich kann hier beispielhaft auf die Entscheidung des EuGH vom 11. April 2024 (C-741/21) verweisen, in der unter anderem ausgesprochen wurde, dass der Verantwortliche sich nicht darauf zurückziehen kann, dass ein*e Mitarbeiter*in trotz interner Arbeitsanweisungen und Policies bedauerlicherweise ein Fehlverhalten gesetzt hat, der Verantwortliche muss die Wirksamkeit solcher Arbeitsanweisungen auch kontrollieren. 

Leider hat der EuGH in diesem Urteil nicht weiter ausgeführt, welche Maßnahmen ein Verantwortlicher denn setzen sollte, um sicherzustellen, dass Mitarbeiter*innen ihre Weisungen vorschriftsgemäß ausführen. Spoiler Alert: Genau mit dieser Frage werden wir uns in einer der zukünftigen Folgen auseinandersetzen!

Noch eine kleine Werbung in eigener Sache: An der TÜV Austria Akademie finden (unter anderem) eigene Fortbildungen zum Thema "Ausbildung zum/r zertifizierten DSMS-Manager/in & -Auditor/in nach ISO 27701 TÜV®" statt, ich würde mich freuen, Sie dort begrüßen zu dürfen!