ISMS & DSGVO: Möglichkeiten der Zertifizierung

Fachbeitrag

In diesem Artikel möchten wir die unterschiedlichen Zertifizierungen in der Informationssicherheit und nach der Datenschutz-Grundverordnung (DSGVO) kurz vorstellen und vergleichen. Bei der Zertifizierung eines Informationssicherheits-Managementsystem (ISMS) haben sich zwei wesentliche Zertifizierungen etabliert. Auch die DSGVO regelt nun datenschutzspezifische Zertifizierungen, die die Einhaltung bestimmter Anforderungen nachweisen sollen.

Zertifizierung der Informationssicherheit

Bei der Zertifizierung in der Informationssicherheit gibt es verschiedene Verfahren. Bekannt sind die beiden folgenden Standards:

  • ISO 27001 (nativ)
    Dieser Standard ist eher prozessorientiert, da hier die Prozesse der Informationssicherheit betrachtet werden. Ein wichtiger Bestandteil des ISMS ist eine Risikoanalyse zur Identifikation von Risiken und deren Behandlung. Zudem muss sich das Unternehmen zu den ca. 150 allgemein gefassten Maßnahmen der ISO Norm erklären. Dabei bietet die Norm keine konkreten Handlungsempfehlungen, so dass das Unternehmen bei der Umsetzung der Maßnahmen zwar relativ frei ist, die Details aber selbst erarbeiten muss (eine Orientierung an ISO 27002 oder BSI IT-Grundschutz kann dabei behilflich sein). Zu beachten ist, dass es eine ISO 27000ff Normenreihe gibt, wobei Grundlage einer Zertifizierung immer nur ISO 27001 ist. Die übrigen Standards wie z.B. ISO 27018 für Cloud Computing bieten u.a. eine Hilfestellung an. Unternehmen können diesem Standard entsprechen, nicht aber danach zertifiziert werden.
  • ISO 27001 auf der Basis von IT-Grundschutz
    Dieser Standard ist eher maßnahmenorientiert. Das BSI nimmt den Unternehmen die Arbeit ab und bewertet typische Gefährdungen selbst, so dass eine umfassende Risikoanalyse entfallen kann. Um diesen umfassenden Grundschutz zu realisieren, muss das Unternehmen jedoch eine Vielzahl von konkreten Maßnahmen tatsächlich umsetzen, was sehr aufwendig sein kann. Eine Risikoanalyse ist dann nur bei Systemen mit höheren Schutzbedarf durchzuführen, was an hier wiederum Arbeit erspart. Der Grundschutz wird zurzeit vom BSI modernisiert.

Bei beiden Standards wird aber das ISMS überprüft (also die Dokumente und die praktische Umsetzung). Dabei muss das Unternehmen nachweisen, dass es Verfahren und Regeln aufgestellt hat (Richtlinien, Prozesse usw.), die die Informationssicherheit dauerhaft definiert, steuert, überwacht und verbessert (als kontinuierlichen Prozess).

Daneben gibt es noch andere Anbieter wie der „Bayerischer IT-Sicherheitscluster e.V.“ (ISIS12) sowie VdS Schadenverhütung GmbH (Vds), die ihren eigenen Standard zur ISMS anbieten und sich hauptsächlich an kleine und mittelständische Unternehmen richten. Diese können ebenfalls zertifiziert werden und werden oft als Vorstufe zu einer ISO 27001 Zertifizierung angesehen.

Zertifizierung nach Art. 42 DSGVO

Auch die DSGVO setzt auf Zertifikate. In Art. 42 DSGVO ist die Einführung von datenschutzspezifischen Zertifizierungen geregelt. Das Zertifikat soll bescheinigen, dass datenschutzrechtliche Anforderungen im Unternehmen eingehalten werden. Gleichzeitig stellt Art. 42 Abs. 4 aber klar, dass selbstverständlich trotz der Zertifizierung das Unternehmen die übrigen Anforderungen der DSGVO Bestimmungen einhalten muss. Zertifikate dürfen gemäß Art. 42 Abs. 5 DSGVO nur von den Aufsichtsbehörden oder akkreditierten Zertifizierungsstellen ausgestellt werden.

Eine Zertifizierung kann damit als Nachweis herangezogen werden, dass bestimmte Anforderungen des DSGVO eingehalten werden. Damit wird die Kontrolle (z.B. Bei Einsatz von Dienstleister) erleichtert.

Wie die Zertifizierung aussehen wird, ist noch nicht konkret. Das „Bayerisches Landesamt für Datenschutzaufsicht“ fordert in seinem Leitfaden die Entwicklung neuer länderübergreifender Zertifizierungsverfahren mit einheitlicher Bewertung.

ISO-Zertifizierung und DSGVO

Wenn ein Unternehmen im Besitz einer ISO-Zertifizierung ist, darf nicht automatisch der Schluss gezogen werden, dass die Zertifizierung auch nach der DSGVO ausreicht. Denn ein erstelltes und zertifiziertes Managementsystem kann eventuell einen anderen Umfang haben und personenbezogene Daten gar nicht berücksichtigen. Bei einer ISO 27001 Zertifizierung kann nämlich der Anwendungsbereich frei gewählt werden und muss sich nicht auf das ganze Unternehmen erstrecken.

Die ISO-Zertifizierung ist aber ein guter Rahmen, um die Anforderungen nach DSGVO zu erfüllen. Wenn ein ISMS aufgebaut und zertifiziert ist, so hat man bereits ein Management etabliert und sollte es auf die personenbezogenen Daten ausweiten. Aufbauend auf einer ISO Zertifizierung sollte dann analysiert werden, was man schon hat und was eventuell noch zusätzlich gemäß DSGVO gemacht werden muss.

Unternehmensinterne Entscheidung

Jedes Unternehmen ist anders und sollte für sich entscheiden, welchen Weg es gehen möchte. Ob es sinnvoll ist, gleich eine ISO-Zertifizierung anzustreben wird wohl bei kleineren Unternehmen fraglich sein. Sinnvoller kann es auch sein, erstmal die Anforderungen nach der DSGVO umzusetzen und dann zu einem ISMS überzugehen, indem man die Anforderungen nach DSGVO entsprechend dem Standard nach ISO 27001 ausbaut.

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

5 Kommentare zu diesem Beitrag

  1. Ich finde es bemerkenswert, dass ohne Scope-Definition solche Aussagen zu BSI IT-Grundschutz publiziert werden: „Das Unternehmen muss jedoch eine Vielzahl von konkreten Maßnahmen (ca. 1.100) tatsächlich umsetzen. „

    • Sie haben recht. Eine genaue Anzahl der durchzuführenden Massnahmen lässt sich erst nach Festlegung des Untersuchungsgegenstandes mit nachfolgender Strukturanalyse feststellen. Da aber erfahrungsgemäss selbst bei mittelgrossen Umgebungen schnell zwei dutzend und mehr Zielobjekte identifiziert werden und dazu teilweise zwei Bausteine angewendet werden müssen, schnellt die Zahl der Massnahmen entsprechend nach oben. Die 5.000 Seiten IT-Grundschutzkatalog der EL 15 geben da ja einiges her. Wir werden den Text entsprechend anpassen und dabei auf den neuen Grundschutz verweisen, der einiges vereinfachen wird.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.