Am 25.05.2016 trat die EU-DSGVO in Kraft. In dem Kapitel IV Abschnitt 5 EU-DSGVO wird auf die Möglichkeit hingewiesen, mittels genehmigter Verhaltensregeln, beziehungsweise über Zertifizierungen die Einhaltung der datenschutzrechtlichen Vorgaben aus der EU-DSGVO nachzuweisen. Für Unternehmen, welche ihre Konformität gerne unter anderem als Wettbewerbsvorteil zertifizieren lassen möchten, stellt sich die Frage, welche Zertifikate aktuell sinnvoll sind. Insbesondere die Zertifizierung nach ISO 27001 wird in diesem Zusammenhang stark beworben, und es ist zu klären, ob dies tatsächlich eine sinnvolle Vorbereitung für eine Zertifizierung nach Art. 42 DSGVO darstellen kann. Dies wird im Rahmen dieser Arbeit beispielhaft an einem Payment-Anbieter betrachtet.
Die Arbeit gliedert sich in die Betrachtung der Vorgaben aus der EU-DSGVO für eine Zertifizierung, anschließend in die Betrachtung der ISO 27001 und darauffolgend die Betrachtung der spezifischen zusätzlichen Vorgaben für Payment-Anbieter. Zu guter Letzt rundet eine Handlungsempfehlung für den heutigen Stand die Arbeit ab.
Zunächst ist für die Arbeit vorab grob zu klären, was die ISO 27001 darstellt. Die ISO 27001 ist eine Norm, welche Part der Normen-Familie ISO/IEC 2700x ist. Veröffentlicht werden die Normen von der Internationalen Organisation für Standardisierung (ISO). Die Normen sind international anerkannt. Speziell die ISO 27001 ist eine Norm, welche die Einhaltung geltender Standards der Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen zertifiziert. Allerdings wird lediglich die Einrichtung, Realisierung und Optimierung sowie der Betrieb eines dokumentierten Informationssicherheitsmanagementsystems beschrieben. Es werden Maßnahmen zur Implementierung und zum Betrieb eines Informationssicherheits-Managementsystems beschrieben, aber es werden keine Vorgaben hinsichtlich der Tiefe der Umsetzung gemacht.
Inhaltsverzeichnis
A. Die ISO 27001 und die DSGVO
B. Die EU-DSGVO und die Vorgaben
I. Kapitel IV Abschnitt 5 DSGVO
II. Art. 40 EU-DSGVO
III. Art. 41 EU-DSGVO
IV. Art. 42 EU-DSGVO
V. Art. 43 EU-DSGVO
VI. Anforderungen an eine Zertifizierung
C. Die ISO-Norm und die Erfüllung der Vorgaben
I. Die ISO 27001
II. Die ISO 27552
III. Weitere relevante ISO – Normen
IV. Alternative Zertifizierungen
D. Die Payment-Anbieter und die Zusatzanforderungen
E. Die Handlungsempfehlung und die Einschränkung
Zielsetzung & Themen
Die Arbeit untersucht, inwieweit eine Zertifizierung nach ISO 27001 – gegebenenfalls in Kombination mit der Erweiterung ISO 27552 – als wirksames Instrument zur Vorbereitung oder Erfüllung von Zertifizierungsanforderungen nach Art. 42 EU-DSGVO für einen Payment-Anbieter dienen kann.
- Analyse der Anforderungen der EU-DSGVO an Zertifizierungsverfahren
- Bewertung der ISO 27001 und ISO 27552 hinsichtlich ihrer DSGVO-Konformität
- Untersuchung spezifischer regulatorischer Anforderungen für Payment-Anbieter (BaFin, MaRisk, BAIT)
- Gegenüberstellung von Informationssicherheits- und Datenschutzmanagementsystemen
- Erarbeitung einer Handlungsempfehlung für Unternehmen zur Zertifizierungsstrategie
Auszug aus dem Buch
A. Die ISO 27001 und die DSGVO
Am 25.05.2016 trat die EU-DSGVO in Kraft. In dem Kapitel IV Abschnitt 5 EU-DSGVO wird auf die Möglichkeit hingewiesen, mittels genehmigter Verhaltensregeln, beziehungsweise über Zertifizierungen die Einhaltung der datenschutzrechtlichen Vorgaben aus der EU-DSGVO nachzuweisen. Für Unternehmen, welche Ihre Konformität gerne unter anderem als Wettbewerbsvorteil zertifizieren lassen möchten, stellt sich die Frage, welche Zertifikate aktuell sinnvoll sind. Insbesondere die Zertifizierung nach ISO 27001 wird in diesem Zusammenhang stark beworben, und es ist zu klären, ob dies tatsächlich eine sinnvolle Vorbereitung für eine Zertifizierung nach Art. 42 DSGVO darstellen kann. Dies wird im Rahmen dieser Arbeit beispielhaft an einem Payment-Anbieter betrachtet.
Der Payment-Anbieter bietet Lösungen für das Business-Travel-Management und gibt in diesem Rahmen Kreditkarten aus. Naturgemäß haben Kunden und Anbieter ein hohes Interesse, die personenbezogenen Daten vor unbefugten Zugriffen zu schützen. Da Finanzinstitute häufig Opfer von Hackerangriffen werden, und diese Angriffe medial länderübergreifend für Schlagzeilen sorgen, möchte der Payment-Anbieter mittels eines Zertifikats für EU-DSGVO-Konformität das Vertrauen der Kunden vertiefen. Zudem erhofft er sich somit nach Art. 24 Abs. 3 EU-DSGVO seine Erfüllung der Pflichten nach Art. 5 Abs. 2 EU-DSGVO nachweisen zu können.
Zusammenfassung der Kapitel
A. Die ISO 27001 und die DSGVO: Einführung in die Fragestellung, ob die ISO 27001 als sinnvolle Zertifizierungsgrundlage zur Erfüllung der Anforderungen aus der EU-DSGVO für einen beispielhaften Payment-Anbieter dienen kann.
B. Die EU-DSGVO und die Vorgaben: Analyse der rechtlichen Rahmenbedingungen für Zertifizierungen gemäß Art. 40 bis Art. 43 der EU-DSGVO sowie der allgemeinen Anforderungen an Zertifizierungsverfahren.
C. Die ISO-Norm und die Erfüllung der Vorgaben: Untersuchung der ISO 27001 und ISO 27552 hinsichtlich ihrer Eignung als Datenschutzinstrumente sowie Vorstellung weiterer relevanter ISO-Normen und alternativer Zertifizierungsansätze.
D. Die Payment-Anbieter und die Zusatzanforderungen: Betrachtung der speziellen regulatorischen Herausforderungen für Payment-Anbieter durch Vorgaben der BaFin wie MaRisk und BAIT sowie deren Auswirkungen auf den Datenschutz.
E. Die Handlungsempfehlung und die Einschränkung: Zusammenfassende Einschätzung, dass eine ISO-Zertifizierung eine wertvolle Vorbereitung darstellt, jedoch voraussichtlich nicht die spezifische Zertifizierung nach Art. 42 EU-DSGVO ersetzt.
Schlüsselwörter
ISO 27001, EU-DSGVO, Zertifizierung, Datenschutz, Payment-Anbieter, Informationssicherheitsmanagementsystem, ISMS, DSMS, PIMS, ISO 27552, Art. 42 EU-DSGVO, Compliance, Risikoanalyse, BaFin, MaRisk.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit bewertet die Sinnhaftigkeit einer ISO 27001-Zertifizierung unter Berücksichtigung der Anforderungen der EU-DSGVO, speziell für einen Payment-Anbieter.
Welche zentralen Themenfelder werden behandelt?
Die Themen umfassen Datenschutzrecht, Informationssicherheitsnormen (ISO), regulatorische Anforderungen im Finanzsektor und die Zertifizierungsverfahren nach DSGVO.
Was ist das primäre Ziel der Untersuchung?
Das Ziel ist zu klären, ob eine Zertifizierung nach ISO 27001 (ggf. inklusive ISO 27552) als Vorbereitung oder Ersatz für eine Zertifizierung nach Art. 42 EU-DSGVO dienen kann.
Welche wissenschaftliche Methode wird verwendet?
Es erfolgt eine rechtswissenschaftliche und betriebswirtschaftliche Analyse, basierend auf einer Untersuchung der normativen Anforderungen der DSGVO im Vergleich mit den Kontrollen und Clauses der ISO-Normen.
Was wird im Hauptteil der Arbeit behandelt?
Im Hauptteil werden die DSGVO-Zertifizierungsvorgaben, die ISO 27001/27552, alternative Normen sowie spezifische regulatorische Anforderungen (BaFin/MaRisk) für Payment-Anbieter analysiert.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die Arbeit wird maßgeblich durch Begriffe wie ISO 27001, DSGVO-Konformität, ISMS, Datenschutz-Zertifizierung und Compliance-Management geprägt.
Warum ist eine ISO 27001-Zertifizierung für Payment-Anbieter besonders relevant?
Aufgrund der hohen Sensibilität von Kreditkartendaten und der häufigen Bedrohung durch Hackerangriffe streben Payment-Anbieter nach hohen Sicherheitsstandards, um Vertrauen bei Kunden zu festigen.
Warum reicht eine ISO 27001-Zertifizierung laut Autorin nicht vollständig aus?
Die Autorin stellt fest, dass ISO-Normen meist Systemzertifizierungen sind, während die DSGVO in Art. 42 für bestimmte Konformitätsnachweise Produkt- oder Prozesszertifizierungen anstrebt.
- Arbeit zitieren
- Anina Mendner (Autor:in), 2019, Bewertung der Sinnhaftigkeit einer Zertifizierung nach ISO27001 vor dem Hintergrund des Kapitels IV Abschnitt 5 DSGVO am Beispiel eines Payment-Anbieters, München, GRIN Verlag, https://www.grin.com/document/882585
