ISO 27701 – Endlich eine DSGVO-konforme Datenschutz-Zertifizierung?

Ist die neue ISO wirklich DSGVO-konform?

Die Artikel 42 und 43 der DSGVO regeln, unter welchen Voraussetzungen Zertifizierungen im Datenschutz zulässig sind und welche Anforderungen die Zertifizierungsstellen erfüllen müssen.

Bei näherer Betrachtung des Artikel 43 ist sofort ersichtlich, dass Datenschutz-Zertifizierungen nur auf Grundlage der ISO 17065 (Zertifizierung von Produkten und Prozessen) möglich sind. Dies bekräftigte das European Data Protection Board in seinen Guidelines zu diesem Thema (Guidelines 1/2018 und Guidelines 4/2018). Zertifizierungen von Datenschutz-Management-Systemen sind somit ausgeschlossen.

Des Weiteren haben ISO-Normen eine entscheidende Schwachstelle, was die Transparenz des Gültigkeitsbereichs beziehungsweise der angelegten Kriterien anbelangt. Oftmals kann anhand des Zertifikates nicht erkannt werden, welche Bereiche tatsächlich zertifiziert wurden. Dies widerspricht den Anforderungen an Datenschutz-Zertifizierungen, die Artikel 42 DSGVO vorgibt.

Welche Alternativen gibt es?

Prinzipiell gibt es derzeit keine Zertifizierungen nach Artikel 42 DSGVO, wenngleich diese für die Wirtschaft von großer Bedeutung sind. Die Außenwirkung von Zertifizierungen ist nicht nur für Marketingzwecke und somit Wettbewerbsvorteile von Nutzen, sondern auch für die Haftungsreduzierung des Unternehmens beziehungsweise der Geschäftsführung/dem Vorstand bei möglichen Verstößen und deren Ahndung durch die Aufsichtsbehörden.

Neben Zertifizierungen können jedoch auch andere Verfahren zur Feststellung der DSGVO-Konformität herangezogen werden. Wie die folgende Grafik zeigt, liefern diese Verfahren unterschiedlich hohe Konformitätsindizes. In welchem Bereich die Zertifizierungen nach Artikel 42 DSGVO einzuordnen sind, bleibt abzuwarten.

Ein relativer hoher Konformitätsindex kann durch Attestierungen erreicht werden. Attestierungen sind vor allem für Innenverhältnisse nutzbar. Nach außen hin sind sie nach vorheriger Abstimmung und gem. den getroffenen vertraglichen Regelungen mit dem attestierenden Unternehmen nutzbar, da sie nicht den strengen Vorgaben von Artikel 42 und 43 DSGVO unterliegen. Innenverhältnisse sind zum Beispiel: das Verhältnis zwischen Auftraggeber und Auftragnehmer bei Auftragsverarbeitungen, der Einsatz von Subauftragnehmern oder die Vorlage gegenüber der Aufsichtsbehörde als Nachweis der Rechenschaftspflicht. 

Attestierungen des Datenschutz-Management-Systems können zum Beispiel im Rahmen einer Prüfung des Compliance-Management-Systems (nach IDW PS 980) erfolgen. Möglich sind auch Attestierungen von Teilbereichen der Datenschutzorganisation nach dem International Standard on Assurance Engagements (ISAE) 3000 (Revised).