Datenschutzmamagementsystem
in Zusammenarbeit mit unserem Partner
DS-GVO - EUROPÄISCHE DATENSCHUTZ-GRUNDVERORDNUNG
ISP27 Managementsystem für Informationssicherheit und Datenschutz.
Begutachtung zusammen mit unserem Partner msecure.
Auch Jahre nach Inkrafttreten der Datenschutz-Grundverordnung in Europa stehen Unternehmen unter Druck: Den Stellenwert des Datenschutzes unterstreicht die europäischen Aufsichtsbehörden mit erheblichen Bußgeldern, bis zu vier Prozent vom weltweiten Konzernumsatz. Insbesondere die Vielzahl ergänzender Spezialgesetze und die Auslegung durch Behörden und Gerichte erfordern eine ständige Anpassung der Prozesse und Verfahren.
Überprüfung des eigenen Geschäftsmodells auf Datenschutzkonformität
Einführung einer risikoorientierten Informationssicherheit
Haftungsfallen bei Auftragsverarbeitungen
Erhöhte Anforderungen an die Datenschutz-Dokumentation
Seit Mai 2018 gilt die Datenschutz-Grundverordnung (DS-GVO) in allen Mitgliedstaaten der Europäischen Union direkt und unmittelbar. Insbesondere in Deutschland kommt eine Vielzahl von ergänzenden Regelungen in Spezialgesetzen hinzu. Neben dem Bundesdatenschutzgesetz (BDSG) finden sich solche Regelungen u.a. in TTDSG und SGB. Das Bundesinnenministerium (BMI) gab an, dass ca. 800 nationale Gesetze an die DS-GVO angepasst werden mussten und müssen. Eine Kenntnis der aktuell relevanten Anforderungen ist wichtig, um Risiken zu erkennen und etwaige Korrekturen an Geschäftsprozessen vornehmen zu können.
Mit ISP27 bietet msecure einen Prüfrahmen, der sich an den internationalen Standards zur Informationssicherheit und zum Compliance Management orientiert. Darin werden auch spezifische Forderungen zum Datenschutz berücksichtigt. msecure führt Datenschutzaudits nach diesem Prüfrahmen durch und stellt ihn auf Anfrage auch anderen Beratungsunternehmen zur Verfügung. Im Sinne eines 4-Augen-Prinzips werden die Prüfberichte durch eine unabhängige Prüforganisation verifiziert und ein entsprechendes Zertifikat ausgestellt.
Ihre Vorteile
- Management von Datenschutz und Informationssicherheit entsprechend bekannter Standards
- Erhalt eines Prüfberichts mit Aussagen zu Stärken, Schwächen und Handlungsempfehlungen
- Erhalt eines Nachweises für die unabhängige Prüfung des Datenschutz-Managementsystems
- Verifizierung des Berichts durch eine neutrale Stelle zur Erhöhung der Glaubwürdigkeit
- Durchgeführt von erfahrenen Experten für Datenschutz und Informationssicherheit
Die Inhalte von ISP27
Der Prüfrahmen folgt den bewährten Strukturen der ISO Standards (HLS, Anhänge) und erleichtert so die
- Überprüfung des eigenen Geschäfts Integration mit bestehenden Systemen.
- Berücksichtigung spezifischer Forderungen aus dem Bereich des Compliance Managements
- Erfassung der bindenden Verpflichtungen (Plan-Do-Check-Act-Ansatz)
- Risikoorientierung der DSGVO & Umsetzung operativer Prozesse
- Orientierung an ISO 27001, ISO 19600 und weiteren Internationalen Standards
Der Managementsystemteil berücksichtigt spezifische Forderungen aus dem Bereich des Compliance Managements, hier insbesondere die Stellung der Datenschutzfunktion (z.B. des Datenschutzbeauftragten) und die Erfassung der bindenden Verpflichtungen. Entsprechend der üblichen Inhalte der ISO Normen werden der Kontext der Organisation, die Verpflichtung der Führung, sowie Planung, Unterstützung, Betrieb, Leistungsauswertung und Verbesserung im Sinne des PDCA-Ansatzes (Plan-Do-Check-Act) behandelt. Die Risikoorientierung der DSGVO wird im Sinne des Risikomanagements aus Sicht der betroffenen Personen ebenso berücksichtigt wie die Umsetzung in den operativen Prozessen, allen voran kunden- und
mitarbeiterorientierte Prozesse, sowie in spezifischen Prozessen für den Datenschutz.Die Umsetzung von technisch-organisatorischen Maßnahmen orientiert sich weitgehend an den in ISO 27001, Anhang A aufgeführten Maßnahmen. Diese können im Bedarfsfall durch speziellere Maßnahmen, wie etwa hinsichtlich des Datenschutzes in Cloud-Lösungen (ISO 27017) ergänzt werden. Für Unternehmen mit weniger als 250 Mitarbeitern gelten dabei Erleichterungen, d.h. nicht jede Maßnahme muss vollumfänglich durch kleine Unternehmen erfüllt sein. Damit wird der in Erwägungsgrund 13 der DSGVO erwähnten besonderen Berücksichtigung von Kleinst- und Kleinunternehmen Rechnung getragen.
Zertifizierungen nach DSGVO
Die Datenschutzgrundverordnung sieht prinzipiell vor, dass Unternehmen sich zum Thema Datenschutz zertifizieren lassen können. Dazu wird in den Artikeln 42 und 43 DSGVO die Bereitstellung geeigneter Verfahren angeregt. Allerdings ist hier nicht die Zertifizierung von Managementsystemen gemeint, sondern Produktprüfungen nach ISO 17065.
Vor dem Hintergrund der durch den Europäischen Datenschutzausschuss veröffentlichten Richtlinien erscheint es aber in jedem Fall sehr sinnvoll, ein Managementsystem zum Datenschutz einzurichten, da in jedem Fall die Einhaltung der Datenschutzgrundsätze, die Einhaltung der Betroffenenrechte oder die technischen und organisatorischen Maßnahmen berücksichtigt werden müssen.
Als Kernelemente, die bei der Zertifizierung eines Produktes, Prozesses oder Dienstes berücksichtigt werden müssen, werden neben den personenbezogenen Daten die technischen Systeme sowie die mit der Verarbeitung verbundenen Prozesse und Verfahren genannt.
Kurz gesagt: ein Managementsystem wird nicht nur helfen, den Ablauf einer Zertifizierung deutlich zu straffen; in den meisten Fällen wird es ohne den Nachweis eines systematischen Managements des Datenschutzes (z.B. durch zentrale Prozesse zur Erfüllung von Auskunftsanfragen oder zum Umgang mit Datenschutzvorfällen) nicht möglich sein, eine Zertifizierung zu erlangen.
Mit einem Datenschutzaudit durch die m-secure können Sie den sicheren und integren Umgang mit personenbezogenen Daten in Ihrer Organisation überprüfen und bestätigen lassen.
Diese Bestätigung kann auch durch eine Zertifizierung nach ISO 27701 in Verbindung mit einer ISO 27001 untermauert werden – gerne erstellen wir mit Ihnen gemeinsam ein entsprechendes Zertifizierungskonzept.
Tel: +49 8247 3674670
Fax: +49 8247 9983971
E-Mail: beratung@n-cs.de