abasler - stock.adobe.com

Datenschutz-Modelle und Normen zur Umsetzung der DSGVO

Viele Unternehmen arbeiten immer noch an der Umsetzung der DSGVO. Neue Normen und Datenschutz-Modelle bieten sich als Unterstützung an. Doch man muss die Grenzen kennen.

Laut einer Umfrage von Tripwire zum Thema Datenschutz-Grundverordnung (DSGVO) gaben 51 Prozent der befragten Sicherheitsfachkräfte zu, dass ihr Unternehmen zum aktuellen Zeitpunkt noch nicht DSGVO-konform ist. 35 Prozent räumten ein, noch einige Bereiche adressieren zu müssen, um vollständig den Vorgaben der DSGVO zu entsprechen, und ganze 16 Prozent gaben an, überhaupt nicht DSGVO-konform zu sein.

Zweifellos ist den Unternehmen weiterhin jede Form der Unterstützung willkommen, wenn es um die Umsetzung und Einhaltung der DSGVO geht. Richtlinien und Normen sowie Modelle zur Umsetzung sind sehr gefragt.

Da kommen die neue Privacy-Norm ISO/IEC 27701 sowie das Standard-Datenschutzmodell 2.0 gerade zur rechten Zeit, so scheint es. Doch was bieten diese Normen oder Modelle und was nicht?

Standard-Datenschutzmodell

Das sogenannte Standard-Datenschutzmodell (SDM) liefert eine Methode zur Datenschutzberatung und -prüfung nach DSGVO. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) hat im November 2019 mit der Version SDM 2.0 eine grundlegend überarbeitete Version des Standard-Datenschutzmodelles vorgestellt.

Die rechtlichen Anforderungen der Datenschutz-Grundverordnung (DSGVO) werden vom SDM nun vollständig erfasst und mit Hilfe von Gewährleistungszielen systematisiert, so die Aufsichtsbehörden. Die Gewährleistungsziele sind Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettung und Intervenierbarkeit. Die Gewährleistungsziele sind vollständig in Art. 5 der DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten) verankert. Die zusätzliche Anforderung “Belastbarkeit” stammt aus Art. 32 DSGVO (Sicherheit der Verarbeitung).

Das im SDM beschriebene Datenschutzmanagement führt Verantwortliche durch alle Phasen der Verarbeitung personenbezogener Daten und ermöglicht auch die kontinuierliche Aufrechterhaltung einer rechtssicheren Verarbeitung, wie die Aufsichtsbehörden betonen.

Die Anwendungsbereiche des Standard-Datenschutzmodells sind Planung, Einführung und Betrieb von Verarbeitungstätigkeiten, mit denen personenbezogene Daten verarbeitet werden sowie deren Prüfung und Beurteilung. Damit unterstützt das SDM Verantwortliche in Wirtschaft und Verwaltung, die von der DSGVO auferlegten Nachweis- und Rechenschaftspflichten zu erfüllen.

Das SDM ist ein Werkzeug, mit dem die risikoadäquate Auswahl und rechtliche Bewertung der von der DSGVO geforderten technischen und organisatorischen Maßnahmen unterstützt wird. Unternehmen müssen sich trotzdem mit der DSGVO befassen, alleine das SDM 2.0 reicht nicht aus.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder empfiehlt den Verantwortlichen in Wirtschaft und Verwaltung, das SDM bei Planung, Einführung und Betrieb von personenbezogenen Verarbeitungen anzuwenden. Das SDM soll kontinuierlich weiterentwickelt werden. Anwenderinnen und Anwender sind eingeladen, den Datenschutzaufsichtsbehörden ihre Erfahrungen bei der Nutzung des SDM mitzuteilen, um zu einer stetigen Verbesserung des Modells beizutragen. Zu finden ist das SDM 2.0 unter anderem hier (PDF).

Neue Norm ISO/IEC 27701

Die neue Norm ISO/IEC 27701 ist eine Erweiterung der ISO/IEC 27001 Information Security Management und ISO/IEC 27002 Security Controls speziell für ein Datenschutzmanagementsystem. Als internationale Norm für Managementsysteme bietet sie Leitlinien für den Schutz der Privatsphäre, einschließlich der Frage, wie Unternehmen mit personenbezogenen Daten umgehen sollten, und hilft beim Nachweis der Einhaltung von Datenschutzbestimmungen auf der ganzen Welt.

Die Norm ISO/IEC 27701 ist also nicht DSGVO-spezifisch, sondern bietet einen übergreifenden Ansatz für das Datenschutzmanagement. Man muss also jeweils die DSGVO zusätzlich betrachten. Ein wesentlicher Vorteil dieser Norm ist die Integration mit dem führenden Informationssicherheitsstandard ISO/IEC 27001.

Wichtig zu wissen: ISO/IEC 27701 ist bisher nur ein potenzieller Zertifizierungsmechanismus nach DSGVO. ISO/IEC 27701 kann voraussichtlich als Grundlage für einen Zertifizierungsmechanismus dienen (gemäß Artikel 42 DSGVO), noch gibt es keine Datenschutzzertifizierung nach DSGVO. Eine solche Verwendung würde den erforderlichen Nachweis erbringen, dass eine Organisation die personenbezogenen Daten ihrer Kunden in Übereinstimmung mit dem Gesetz behandelt.

ISO/IEC 27701 gilt für Organisationen aller Größen. Die Norm ist für die Erfassung und Verarbeitung personenbezogener Daten sowohl von Mitarbeitern als auch von Kunden bestimmt. Die in Entwicklung befindlichen Kontrollen erweitern die technischen Maßnahmen zur Implementierung der Informationssicherheit, um auch Datenschutzanforderungen zu berücksichtigen, und können, falls sie von einer Organisation implementiert werden, dazu beitragen, die Einhaltung von Datenschutzgesetzen wie der DSGVO nachzuweisen.

Welche Normen letztlich für die DSGVO-Zertifizierungen genutzt werden können, bleibt abzuwarten. Entsprechende Arbeiten laufen noch im Europäischen Datenschutzausschuss (EDPB, European Data Protection Board).

Nächste Schritte

Gratis-eBook: Die DSGVO in der Praxis umsetzen

So können Cyberversicherungen bei Datenpannen helfen

Risikoanalyse für den Datenschutz

Erfahren Sie mehr über Datenschutz und Compliance