top of page

NEWS 06.10.2020

Können Sie darauf vertrauen, dass Ihre Auftragsverarbeiter die nach der ISO/IEC 27001 zertifiziert sind, den datenschutzrechtlichen Anforderungen der DSGVO gerecht werden?“

06. Oktober 2020, secriso Consulting

Schon einmal vorwegzunehmen ist, dass die Annahme aus verantwortlicher Sicht nicht genügt, dass jeder Auftragsverarbeiter DSGVO-konform arbeitet, nur weil er nach der ISO/IEC 27001 zertifiziert ist. Aus den Anforderungen der Verordnung geht vielmehr hervor, dass der Verantwortliche in der Pflicht steht genau zu prüfen, ob die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten gewährt werden.

 

Um den Nachweis erbringen zu können, eröffnet die Verordnung die Möglichkeit Zertifizierungen gem Art 42 iVm Art 28 Abs 5 DSGVO heranzuziehen. Eine ISO/IEC 27001 Zertifizierung ist jedoch keine Zertifizierung gem. Art 42, 43 DSGVO. Somit muss der Verantwortliche seiner Prüfpflicht trotz alledem nachkommen.

 

Eine ISO/IEC 27001 Zertifizierung kann in Bezug auf die Anforderungen gem Art 32 DSGVO herangezogen werden, jedoch beinhaltet ein ISMS bspw meist nicht den Grundsatz der Datenminimierung, Transparenz etc. Deshalb ermöglicht ein ISMS eines Auftragsverarbeiters natürlich Rückschlüsse auf dessen technischen und organisatorischen Maßnahmen, jedoch ermöglicht es keine umfassende Prüfung hinsichtlich der datenschutzrechtlichen Anforderungen der DSGVO.

 

Was muss vom Verantwortlichen geprüft werden?

Der Verantwortliche sollte den „Scope“ des ISMS des Auftragsverarbeiters prüfen. Um in weiterer Folge feststellen zu können, ob der Anwendungsbereich der Zertifizierung sich auf die im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten des Auftragsverarbeiters erstreckt. Es würde nämlich nicht zielführend sein, wenn der Auftragsverarbeiter zwar nach der ISO/IEC 27001 zertifiziert ist, jedoch der Scope einen anderen Bereich betrifft. Das ISMS kann nämlich unternehmensweit oder auf einen bestimmten Bereich begrenzt durchgeführt werden. So kann es vorkommen, dass sich der Geltungsbereich der ISO/IEC 27001 Zertifizierung von dem Bereich unterscheidet, in dem die personenbezogenen Daten verarbeitet werden.

Zusätzlich sollte das ausschlaggebendste Dokument (Statement of Applicabilty (SoA)) eines ISMS vorab durch den Verantwortlichen geprüft werden. Hierbei muss geprüft werden, ob die personenbezogenen Daten schutzbedürftige Assets im Rahmen des vorliegendes ISMS sind. Unter Assets versteht man in der Informationssicherheit alles, was für ein Unternehmen besonders zu schützen ist bzw. alle „Werte“ eines Unternehmens in physischer oder digitaler Form. Die Assets werden in einem ISMS nach dem Ermessen des Unternehmens festgelegt. Hierbei werden insbesondere die Auswirkungen bei einem Verlust der Vertraulichkeit, Verfügbarkeit und Integrität betrachtet. Wenn nun ein Unternehmen personenbezogene Daten bei der Risikoanalyse nicht als besonders schützenswert ansieht, wird deren Schutz bei der Maßnahmenplanung nicht berücksichtigt. Es kann aber auch sein, dass ein Unternehmen personenbezogene Daten als schützenswert identifiziert hat, jedoch die Maßnahmen zum Schutz nicht den datenschutzrechtlichen Anforderungen genügen. Deshalb ist es umso wichtiger, dass der Verantwortliche vor der Beauftragung das Dokument „SoA“ prüft, ob die Schutzmaßnahmen den Anforderungen der Verordnung entsprechen.

 

Empfehlungen:

Vor der Beauftragung des Auftragsverarbeiters sollte der Verantwortliche trotz einer möglichen Zertifizierung nach ISO/IEC 27001 prüfen, ob dieser die Schutzmaßnahmen aus datenschutzrechtlicher Sicht konform umsetzt. Insbesondere sollte sich der Verantwortliche den Scope des ISMS anschauen und sich in weiterer Folge das SoA vorlegen lassen. Auftragsverarbeiter die sich weigern die Informationen bereitzustellen, sollten vermieden werden. Darüber hinaus sollte sich der Verantwortliche das Zertifikat vorlegen lassen und die Gültigkeit des Zertifikats prüfen bzw eine möglichen Re-Zertifizierung prüfen.

 

Nehmen Sie Auftragsverarbeiter in Anspruch und haben sich auf die ISO/IEC 27001 Zertifizierung verlassen, ohne zu geprüft zu haben, ob dieser DSGVO-konform arbeitet?

Verlassen Sie sich nicht darauf! Kommen Sie mit unserer Unterstützung Ihrer datenschutzrechtlichen Prüfpflicht nach. Wir beraten Sie gerne und prüfen ob Ihre Auftragsverarbeiter hinreichende Garantien bereitstellen.

 

Sie erreichen uns:

 

bottom of page