Zertifizierungen im Datenschutz und deren Aussagegehalt
03.09.2021
[IITR – 03.09.21] Artikel 42 der EU-Datenschutzgrundverordnung (DSGVO) beschreibt die Möglichkeit einer Datenschutzzertifizierung, bei der die zuständige Deutsche Akkreditierungsstelle (DAkkS) als nationale Akkreditierungsbehörde der Bundesrepublik Deutschland und die für ein Unternehmen zuständige Datenschutz-Aufsichtsbehörde beteiligt sind.
Genehmigtes Konformitätsbewertungsprogramm als Grundlage
Ein Unternehmen, das Zertifizierungen gemäß Artikel 42 DSGVO anbieten möchte, muss ein entsprechendes Konformitätsbewertungsprogramm bei der DAkkS einreichen, welches von der DAkkS unter Beteiligung der für das Zertifizierungsunternehmen zuständigen Datenschutz-Aufsichtsbehörde geprüft und genehmigt wird.
Im Ergebnis kann sich ein Zertifizierungsunternehmen für Zertifizierungen gemäß Artikel 42 DSGVO akkreditieren lassen. Die letzten Jahre (auch schon vor Ausbruch der Corona-Pandemie) haben uns gezeigt, dass der Versuch der Erlangung einer Akkreditierung für Zertifizierungen gemäß Artikel 42 DSGVO in der aktuellen Form weder zielführend noch praxisgerecht ist. Dies liegt sicherlich auch daran, dass nach Lesart der Aufsichtsbehörden diese Art der Akkreditierung auf der ISO 17065 (Zertifizierung von Produkten, Prozessen und Dienstleistungen) basieren soll und somit Management-Systeme nach Art. 42 DSGVO nicht zertifiziert werden können.
Kann die ISO 27701 ein Lösungsansatz sein?
Zwischenzeitlich kann jedoch auf die ISO 27701 („Privacy Information Managementsystem“) als Zertifizierungsbasis von Datenschutz-Management-Systemen außerhalb der DSGVO für die Verarbeitung von personenbezogenen Daten zurückgegriffen werden.
Eine akkreditierte Zertifizierung eines Datenschutz-Management-Systems nach ISO 27701 erfolgt dabei auf Basis der ISO 17021 (Zertifizierung von Managementsystemen) und ist nur in Verbindung mit der ISO 27001 („Information Security Managementsystem“) möglich. Die regelmäßigen Verweise auf die Anforderungen des Anhang A der ISO 27701 oder der ISO 27001 schaffen jedoch bei Licht betrachtet weder eine transparente und objektive Zertifizierungsgrundlage noch eine praxisgerechte und praktikabel Basis zur Umsetzung.
Der Rückgriff auf eine Zertifizierung nach ISO 27001 und ISO27701 ist aufgrund des damit verbundenen zeitlich wie finanziellen Aufwands nur für größere Unternehmen überhaupt zu stemmen.
Damit haben die KMUs (kleine und mittelständische Unternehmen) weiterhin keine speziell auf die Belange dieser Unternehmensgruppe zugeschnittene Zertifizierungsmöglichkeit.
Geringer Aussagegehalt einer Zertifizierung auf Basis der ISO 17021
Im Datenschutz und in der Informationssicherheit zeigt die Praxis regelmäßig, dass der Aussagegehalt eines auf der ISO 17021 (Management-Systeme) basierenden Zertifikats durchaus als gering eingestuft werden kann.
Dies liegt u.a. daran, dass die den Zertifizierungen zu Grunde liegenden Normen keine klaren und eindeutigen bzw. nicht durchgängig zwingend zu erfüllende Vorgaben enthalten, zum anderen liegt es regelmäßig auch an dem Umstand, dass ein Auditor seine subjektive Wahrnehmung und Bewertung einfließen lässt.
Wenn ein Unternehmen als Konformitätsnachweis einem anderen Unternehmen / einem Auftraggeber ein ISO Zertifikat nach ISO 17021 vorlegt, hilft das (im Kern der Sache) regelmäßig nicht weiter. Dies liegt an dem Umstand, dass der Empfänger inhaltlich nicht nachvollziehen kann, auf welchen geprüften Sachverhalten und auf welchen vorhandenen Maßnahmen das Zertifikat beruht.
Die Unternehmen verweigern regelmäßig die Herausgabe des dazugehörigen Auditberichts der Zertifizierungsstelle mit der Begründung, dass der Bericht unternehmensinterne bzw. vertrauliche Informationen beinhalten würde, die nicht für Dritte bestimmt seien.
Erschwerend kommt hinzu, dass
- die Auditberichte der Zertifizierungsstellen oftmals keine detaillierten Angaben dazu enthalten, was genau geprüft wurde,
- die vom Auditor festgestellten Nichtkonformitäten nicht in der Auditdokumentation erfasst und stattdessen nur verbal adressiert wurden mit dem Hinweis, dass dieser Umstand eine Nichtkonformität darstellen würde und bis zum nächsten Audit zu beseitigen ist.
Vor allem der Umstand, dass festgestellte Nichtkonformitäten regelmäßig nicht ordnungsgemäß erfasst und als solche ausgewiesen werden führt dazu, dass der Aussagegehalt eines ISO Zertifikats nach ISO 17021 in der Sache gering ist.
Dies wird auch dadurch deutlich, dass u.a. die deutsche Akkreditierungsstelle (DAkkS) regelmäßig bei den Überprüfungen der Zertifizierungsstellen den Umstand als nicht plausibel bemängelt, dass bei den von den Zertifizierungsstellen durchgeführten Audits wenig Nichtkonformitäten festgestellt wurden.
Die Praxis bestätigt den geringen Aussagegehalt eines ISO-Zertifikats
Bei einer Auditierung bzw. Überprüfung von Auftragsverarbeitern gemäß Art. 28 DS-GVO wird oftmals ein ISO 27001 Zertifikat und eine begleitende Übersicht der anwendbaren Controls vom Auftragsverarbeiter vorgelegt. Beim Hinterfragen der einzelnen Anforderungen und deren Umsetzungsmaßnahmen stellt sich oft heraus, dass einzelne Anforderungen teilweise nicht vollständig oder nicht einmal im Ansatz erfüllt werden. Trotzdem kann das Unternehmen ein ISO 27001 Zertifikat mit einer von der Zertifizierungsstelle bestätigten Übersicht der anwendbaren Controls vorweisen.
Dabei zeigt die Praxis, dass dies nicht davon abhängt, ob ein Zertifikat von einer akkreditierten oder nicht akkreditierten Zertifizierungsstelle ausgestellt wurde.
Dies liegt daran, dass Zertifizierungen letztlich auch ein umsatzgetriebener Marktzweig sind. So ist es denkbar, dass ein Unternehmen immer ein ISO-Zertifikat ohne ausgewiesene Nichtkonformitäten verlangen würde. Im Zweifel würde das Unternehmen einfach die Zertifizierungsstelle wechseln.
Detaillierter Anforderungskatalog hilft
Damit ein Unternehmen vor einem Zertifizierungsaudit genau weiß, welche Anforderungen im Audit erfüllt bzw. nachgewiesen werden müssen, sollte immer ein objektives, transparentes und verbindliches Konformitätsbewertungsprogramm vorhanden sein, in dem die zu erfüllenden Anforderungen klar, eindeutig und ohne Interpretationsspielraum definiert sind.
Transparenter und objektiver Auditprozess
Transparenz ist auch im Datenschutz und der der damit einhergehenden Auditierung nicht nur wichtig, sondern zwingend erforderlich. Unter anderem fordert Art. 28 Abs. 1 DSGVO von einem Auftraggeber, dass dieser nur mit Auftragsverarbeitern zusammenarbeitet, die hinreichend Garantien dafür bieten können, geeignete technische und organisatorische Maßnahmen so durchzuführen, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und so der Schutz der Rechte der betroffenen Person gewährleistet werden kann.
Soweit sich Unternehmen auf ISO-Zertifikate stützen sollten begleitende Informationen wie Auditbericht und festgestellte Nichtkonformitäten geprüft werden können.
Im Ergebnis bedarf es eines transparenten und objektiven Zertifizierungs- und Auditierungsprozesses. Nur so ist es für den Empfänger eines Zertifikats nachvollziehbar, auf welcher Sachverhaltsgrundlage der Auditor zu seiner Bewertung kommt. Wenn dem Auditergebnis dann auch noch eine objektive auf technischen Messverfahren Entscheidungsfindung zugrunde liegt, kann der Aussagegehalt und damit der Wert eines Zertifikats erheblich gesteigert werden.
Audit-Plattform privASSIST
Die IITR Cert GmbH bietet gerade für kleine und mittelständische Unternehmen mit ihrer Audit-Plattform privASSIST die Möglichkeit, den eigenen Datenschutz-Status nach Maßgabe eines vorhandenen Konformitätsbewertungsprogramm in einem objektiven technischen Messverfahren ermitteln zu lassen.
Autor: Ralf Zlamal