Foto: endostock - Fotolia.com
Kein IT-Dienstleister hört gerne Aussagen wie: „Wir müssten mal bei Ihnen vorbeikommen und die Einhaltung der Anforderungen zur Auftragsdatenverarbeitung überprüfen…“. Verstärkt seit der Novelle des Bundesdatenschutzgesetzes im Jahr 2009 kennen IT-Service-Anbieter solche Anfragen ihrer Kunden nach Audits. Der Aufwand auf beiden Seiten ist enorm: Der Kunde stellt den Datenschutzbeauftragten für das Audit ab, Dienstleister stellen Ihrerseits Personal ab. Wie Sie diesen Aufwand und die Kosten reduzieren und welche Hilfe ein zertifiziertes Datenschutzmanagementsystem Ihnen dazu bieten kann, erfahren Sie in diesem Artikel.
„Tatbestand“ Auftragsdatenverarbeitung
Auftragsdatenverarbeitung findet immer dann statt, wenn personenbezogene Daten verarbeitet und gespeichert werden. Dann kommen die Auftrag gebenden Unternehmen in die Verlegenheit, die Anforderungen des BDSG zur Auftragsdatenverarbeitung zu erfüllen und darauf zu achten, dass ihre Dienstleister weisungsgemäß und im Rahmen vereinbarter Sicherheitsmaßnahmen, den technisch-organisatorischen Maßnahmen, handeln.
Zertifizierung nach anerkannten Standards – Entlastung für Sie und Ihre Kunden
Wie wäre es, wenn Sie die Überwachung der Einhaltung von Datenschutzanforderungen bündeln könnten und eine neutrale Stelle, zum Beispiel eine Zertifizierungsgesellschaft, mit dem Audit beauftragen? Ihre Kunden erhalten dann einen Nachweis der Auditierung, in Form eines anerkannten Zertifikates und Sie reduzieren damit Aufwand und Kosten.
Die DIN ISO 27001 ist eine Norm, die hier Anwendung findet, da Sie sich der Fragen der Informationssicherheit auf organisatorischer, technischer und personeller Ebene annimmt. Solche Zertifizierungen erfreuen sich bei IT-Dienstleistern steigender Beliebtheit, da man damit nachweist, dass ein Sicherheitsverständnis besteht und dies durch eine externe und neutrale Zertifizierungsgesellschaft überwacht wird. Die Zertifizierungsgesellschaft bestätigt mit ihrem Zertifikat, dass die Anforderungen der Norm und gesetzliche Anforderungen eingehalten werden.
Leider deckt eine Zertifizierung nach ISO 27001 nicht unbedingt und automatisch die Anforderungen an den Datenschutz mit ab.
Datenschutz mit System – ein Lösungsansatz
Eine wertvolle Ergänzung oder sogar Alternative bieten Datenschutzmanagementsysteme mit Zertifizierung. Wenn man den Markt betrachtet, findet man viele Datenschutzsiegel und -Zertifikate, die jedoch oftmals auf eigenen Anforderungskatalogen der Zertifizierungsstellen beruhen. Die Vergleichbarkeit und damit das Vertrauen Ihrer Auftraggeber in solche Zertifikate und Siegel sind daher durchaus kontrovers diskutiert.
Sinnvoll wäre es, wenn die Marktpartner einen verbindlichen, vergleichbaren Datenschutzstandard zur Verfügung hätten, vergleichbar einer nationalen Norm. Eine solche ist in Deutschland leider noch nicht verfügbar. Zu zerklüftet scheint derzeit die föderale deutsche Datenschutzwelt.
Im Oktober 2010 wagte die Loomans & Matz AG einen Vorstoß und hat eine öffentlich verfügbare Norm „Anforderungen an ein Datenschutzmanagementsystem“ veröffentlicht. Das Datenschutzmanagementsystem entspricht dabei den Anforderungen an ein Managementsystem, wie wir es aus der DIN EN ISO 9001 oder der DIN ISO 27001 kennen. Es ist damit „kompatibel“ und kann in bestehende Systeme im Unternehmen integriert werden.
Neben den allgemeinen Anforderungen nach Datenschutzverpflichtung und Aussagen zu den Datenschutzgrundsätzen verfügt die „Loomans & Matz“-Norm über einen umfangreichen Anhang, in dem Good-Practice-Ansätze für die technisch-organisatorischen Maßnahmen genannt sind. Diese dienen Ihrem Datenschutzbeauftragten, aber auch Ihren Marktpartnern als Grundlage für die Bewertung der umgesetzten Maßnahmen.
Besonders interessant: auf Basis des Datenschutzmanagementsystems können durch eine Zertifizierungsgesellschaft Zertifikate erteilt werden. Loomans & Matz arbeitet hierzu mit der BSI Management Systems, dem deutschen Ableger der British Standards Institution, zusammen. Mit SAP konnte bereits ein großer und bedeutender Kunde gewonnen werden, der sein Datenschutzmanagement auf der Basis der Norm überprüfen und zertifizieren ließ.
Fazit aus Sicht eines Auditors
Als Auditor wünscht man sich vergleichbare Anforderungen, wenn es darum geht, Zertifikate zu erteilen und Zertifikate vergleichbar, und damit im Markt akzeptiert, zu halten. Dafür fehlte in Deutschland bislang ein wesentliches Element: ein Datenschutzmanagementsystem, das die Anforderungen an die Maßnahmen und Regularien zum Schutz personenbezogener Daten zusammen brachte. Hier scheint ein Schritt in die richtige Richtung getan zu sein. (ph)