In Ermangelung aktuell vorhandener Zertifizierungen nach Artikel 42 Datenschutzgrundverordnung beschreibt der Autor, welche Möglichkeiten Unternehmen haben, sich der Anforderung nach Stand der Technik zu stellen und diese Arbeitsweise als Managementsystem (Steuerungsinstrument für Führungskräfte) auf Basis internationaler Normen zertifizieren zu lassen. Es wird aufgezeigt, dass erhebliche Rationalisierungseffekte erreicht werden, wenn wirtschaftlich sensible und wirtschaftlich vorteilhafte Informationen sowie personenbezogene Informationen (und Daten) in Unternehmen gleichermaßen mit der gebotenen Priorität für Vertraulichkeit, Integrität und Verfügbarkeit gemanagt werden. Die Arbeit schließt mit der Schlussfolgerung einer Zertifizierung nach DIN EN ISO/IEC 27001 als Nachweis für den Stand der Technik bei der betrieblichen Durchführung der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten.
Mit der europäischen Datenschutzgrundverordnung hat man den lange notwendigen Paradigmenwechsel vollzogen und ein Datenschutzmanagementsystem etabliert. Eingebettet in Unternehmensprozesse und deren Dokumentation als Grundforderung aus der gesetzlichen Rechenschaftspflicht und der Forderung nach Vertraulichkeit, Integrität und Verfügbarkeit sind Unternehmen verpflichtet sich an den Stand der Technik zu halten. Doch was ist der Stand der Technik und wie können Unternehmen nachweisen, dass sie nach Stand der Technik arbeiten. Dieser Frage geht der Autor nach.
Inhaltsverzeichnis
1 Zusammenfassung
2 Begriffsdefinitionen
2.1 Informationen
2.2 Informationssicherheit
2.3 ISMS
2.4 IT-Sicherheit
2.5 Informationsschutz
2.6 Compliance
2.7 Datenschutz
2.8 Datensicherung/Datensicherheit
2.9 Rechenschaftspflicht (engl. Accountability) in der DSGVO
3 Einleitung
4 Aktuelle Situation der DSGVO in Deutschland
5 Paradigmenwechsel in der datenschutzrechtlichen Gesetzgebung
6 Motivation
7 Was sind Managementsysteme?
8 Stand der Technik – Was ist das?
9 Untrennbarkeit organisatorischer und technischer Maßnahmen
9.1 Beispiel Firewallregel:
9.2 Beispiel Schadsoftwareschutz:
10 Internationale Vergleichbarkeit und Bedeutsamkeit
11 Bezug der DSGVO zu Managementsystemen
12 Bezug der ISO 27001 zum Datenschutz nach DSGVO
13 Akkreditierung und Zertifizierung
14 Anforderungen an einen Kriterienkatalog
15 Fazit
16 Literatur- und Quellenverzeichnis
16.1 Internet-Links
Zielsetzung & Themen
Die Arbeit untersucht, wie Unternehmen den geforderten „Stand der Technik“ im Rahmen der Datenschutz-Grundverordnung (DSGVO) nachweisen können. Ziel ist es aufzuzeigen, wie akkreditierte Zertifizierungen, insbesondere auf Basis internationaler Normen wie der DIN EN ISO/IEC 27001, als Nachweis für die Einhaltung technischer und organisatorischer Maßnahmen dienen können, um eine hohe Datensicherheit mit internationaler Vergleichbarkeit zu gewährleisten.
- Datenschutzzertifizierung nach Art. 42 DSGVO
- Methodik zur Bestimmung des „Stand der Technik“
- Implementierung von ISMS (Informationssicherheits-Managementsystemen)
- Die Rolle der DAkkS bei Akkreditierung und Zertifizierung
Auszug aus dem Buch
8 Stand der Technik – Was ist das?
Im Jahr 1974 wurde die Formulierung „Stand der Technik“ in § 3 Abs. 6 Bundes-Immissionsschutzgesetz (Gesetz zum Schutz vor schädlichen Umwelteinwirkungen durch Luftverunreinigungen, Geräusche, Erschütterungen und ähnliche Vorgänge (BImSchG) vom 15.03.1974) in die Gesetzgebung aufgenommen und seitdem kontinuierlich als Verweisungsbegriff angewandt.
Der Begriff „Stand der Technik“ entstammt dem Ingenieurwesen. In den technischen Regelwerken des VDE und des DVGW (beispielhaft) sind die sicherheitstechnischen Maßnahmen vorgegeben und stellen die Ausgestaltung von Gesetzen und Verordnungen dar. Technische Anlagen müssen entsprechend den in den Regelwerken geforderten Sicherheitsstandards ausgelegt und betrieben werden. Die sicherheitsrechtlichen Anforderungen gliedern sich in drei Stufen:
Technische Lösungen genügen den „allgemein anerkannten Regeln der Technik“ und finden sich in Normen, Regelwerken und Richtlinien wieder, die sich in der Praxis bewährt haben und von Fachleuten mehrheitlich für richtig erachtet werden.
Der „Stand der Technik“ berücksichtigt die nicht zwangsläufig von der Mehrheit getragene laufende technische Entwicklung. Im Rahmen des „Gesetz über die Bereitstellung von Produkten auf dem Markt“ (Produktsicherheitsgesetz – ProdSG) kann die Bundesregierung durch Rechtsverordnungen die Einhaltung des Standes der Technik verlangen.
Ein strengerer Maßstab ist durch den Verweisungsbegriff „Stand der Wissenschaft und Technik“ gesetzt, nach dem Vorsorge gegen Schäden zu treffen sind, die nach neuesten wissenschaftlichen Erkenntnissen für erforderlich gehalten werden.
Zusammenfassung der Kapitel
1 Zusammenfassung: Ein Überblick über die Relevanz des Datenschutzes und die Verpflichtung zur Einhaltung des Stands der Technik gemäß DSGVO.
2 Begriffsdefinitionen: Erläuterung zentraler Begriffe wie ISMS, IT-Sicherheit, Compliance und Rechenschaftspflicht im Kontext der DSGVO.
3 Einleitung: Analyse der historischen Entwicklung von IT-Sicherheit und der Motivation des Gesetzgebers zur DSGVO.
4 Aktuelle Situation der DSGVO in Deutschland: Kritische Betrachtung der Umsetzung und Wahrnehmung der DSGVO in deutschen Unternehmen.
5 Paradigmenwechsel in der datenschutzrechtlichen Gesetzgebung: Untersuchung der prozessorientierten Steuerung und der neuen Rechenschaftspflicht.
6 Motivation: Erläuterung der Forschungsfrage und der Relevanz einer nationalen DSGVO-Zertifizierung.
7 Was sind Managementsysteme?: Einordnung von Managementsystemen als Steuerungsinstrumente und deren Bedeutung für die Sicherheit.
8 Stand der Technik – Was ist das?: Definition und Herleitung des Begriffs „Stand der Technik“ aus dem Ingenieurwesen und dem Gesetz.
9 Untrennbarkeit organisatorischer und technischer Maßnahmen: Analyse der notwendigen Verzahnung von Prozessen und Technik anhand von Beispielen.
10 Internationale Vergleichbarkeit und Bedeutsamkeit: Diskussion der Unterschiede zwischen geregelten und ungeregelten Zertifizierungen.
11 Bezug der DSGVO zu Managementsystemen: Analyse der Rolle von Datenschutz innerhalb von Compliance-Management-Systemen.
12 Bezug der ISO 27001 zum Datenschutz nach DSGVO: Untersuchung der Eignung der ISO 27001 als Nachweisstandard für den Stand der Technik.
13 Akkreditierung und Zertifizierung: Darstellung der Rolle der DAkkS und der Anforderungen an Zertifizierungsverfahren.
14 Anforderungen an einen Kriterienkatalog: Diskussion über die Notwendigkeit modularer und branchenorientierter Prüfstandards.
15 Fazit: Zusammenfassendes Ergebnis der Arbeit zur Eignung der ISO 27001 als Standard für die Datenschutzzertifizierung.
Schlüsselwörter
DSGVO, Datenschutz, Stand der Technik, ISO 27001, ISMS, IT-Sicherheit, Rechenschaftspflicht, Akkreditierung, Zertifizierung, Compliance, Informationssicherheit, Managementsysteme, DAkkS, Risikomanagement, Datenschutzmanagement
Häufig gestellte Fragen
Worum geht es in der Arbeit grundsätzlich?
Die Arbeit beschäftigt sich mit der Herausforderung, den „Stand der Technik“ im Bereich Datenschutz nach DSGVO für Unternehmen nachvollziehbar und zertifizierbar zu gestalten.
Was sind die zentralen Themenfelder?
Zentrale Themen sind die DSGVO-Zertifizierung nach Art. 42, das Zusammenspiel von IT-Sicherheit und Datenschutz sowie die Bedeutung von Managementsystemen wie ISO 27001.
Was ist das primäre Ziel der Arbeit?
Das Ziel ist aufzuzeigen, wie Unternehmen den Stand der Technik durch anerkannte Zertifizierungsverfahren abbilden können, um sowohl gesetzliche Anforderungen als auch internationale Vergleichbarkeit zu erreichen.
Welche wissenschaftliche Methode wird verwendet?
Der Autor stützt sich auf eine Analyse von Gesetzen, Normen (ISO) und technischen Regelwerken sowie Studien, um eine Argumentationsgrundlage für die Nutzung bestehender Managementsysteme im Datenschutz zu schaffen.
Was wird im Hauptteil behandelt?
Der Hauptteil behandelt die Definition des Stands der Technik, die Untrennbarkeit von Organisation und Technik, die Rolle der Akkreditierung sowie die Anforderungen an Zertifizierungs-Kriterienkataloge.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die Arbeit wird durch Begriffe wie DSGVO, Stand der Technik, ISO 27001, ISMS, Akkreditierung und Zertifizierung charakterisiert.
Warum ist die DIN EN ISO/IEC 27001 laut Autor so bedeutsam?
Der Autor sieht darin ein etabliertes, international anerkanntes Managementsystem, das den Anforderungen an Sicherheit und Rechenschaftspflicht gemäß DSGVO bereits heute weitgehend entspricht.
Wie unterscheidet der Autor zwischen geregelten und ungeregelten Zertifizierungen?
Geregelte Zertifizierungen basieren auf staatlich akkreditierten Verfahren (z.B. durch die DAkkS), während ungeregelte Prüfzeichen von Zertifizierungsstellen selbst entwickelt werden und keine direkte Konformität mit Art. 42 DSGVO garantieren.
Was ist die Kernbotschaft zum Thema "Stand der Technik"?
Der Stand der Technik ist ein dynamischer Begriff, der durch technische Normen und Best Practices konkretisiert wird, da gesetzliche Regelungen die rasche technische Entwicklung meist nicht in Echtzeit abbilden können.
- Citation du texte
- Dr. Joachim Müller (Auteur), 2018, Datenschutzzertifizierung nach Stand der Technik im nationalen Ökosystem akkreditierter Zertifizierungen, Munich, GRIN Verlag, https://www.grin.com/document/513616
