GDPR und ISO 27001 Mapping: Ist ISO 27001 ausreichend für die GDPR-Konformität?

Die DSGVO und ISO 27001 sind zwei bedeutende Compliance-Standards, die viele Gemeinsamkeiten haben. Beide zielen darauf ab, die Datensicherheit zu stärken und das Risiko von Datenpannen zu mindern, und beide verlangen von Organisationen, die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Daten zu gewährleisten. ISO 27001 ist einer der detailliertesten Best-Practice-Standards und tatsächlich spezifiziert Artikel 24 der DSGVO, dass die Einhaltung von Verhaltenskodizes und anerkannten Zertifizierungen, wie ISO 27001, als Element zum Nachweis der Compliance verwendet werden kann. Kein Wunder, dass ich oft Fragen höre wie: „Bin ich vollständig mit der DSGVO konform, wenn ich bereits nach ISO 27001 zertifiziert bin?“

Die DSGVO hat jedoch einen wesentlich breiteren Anwendungsbereich und ein grundlegenderes Verständnis von Datenschutz und Privatsphäre. In diesem Blogbeitrag werde ich mehrere häufig gestellte Fragen zu ISO 27001 und GDPR beantworten, damit Sie die Ähnlichkeiten und Unterschiede zwischen diesen Standards besser verstehen und entscheiden können, wie Sie den ISO 27001-Rahmen nutzen könnten, um GDPR compliance Audits zu bestehen:

• Was ist die DSGVO?
• Was ist ISO 27001?
• Was sind die Gemeinsamkeiten zwischen ISO 27001 und GDPR?
• Garantiert die Einhaltung von ISO 27001 auch die Einhaltung der DSGVO?

Was ist die DSGVO?

The General Data Protection Regulation (GDPR) is a compliance standard that aims to strengthen data protection; it applies to all organizations — inside or outside the EU — that store or process the personal data of EU residents. The standard will come into force on May 25, 2018, and it is already changing the way companies handle data protection. The GDPR broadens the rights of individuals with respect to their personal data, mandates new approaches (e.g., data protection by design and by default) and involves large penalties for violations.

Die wichtigsten Anforderungen der DSGVO umfassen:

1. Größerer Umfang von Daten, die Schutz benötigen

Die DSGVO schützt eine große Menge an Daten, einschließlich nicht nur persönlicher Informationen wie Namen, Ausweisnummern und Sozialversicherungsnummern, sondern auch medizinische Daten, biometrische Daten, politische Meinungen und mehr (Artikel 5–11).

2. Ausdrückliche Zustimmung erforderlich für die Verwendung von Daten

Artikel 6 der DSGVO verlangt von Organisationen, eine ausdrückliche Zustimmung für die Sammlung und Nutzung personenbezogener Daten einzuholen. Um diese Anforderung zu erfüllen, müssen Organisationen dokumentierte Beweise dafür bewahren, dass die Zustimmung erteilt wurde, und nachweisen, dass alle Anfragen um Zustimmung klar und prägnant sind.

3. Erweiterte Rechte der betroffenen Personen

Kapitel 3 bietet eine lange Liste von Regeln, um Einzelpersonen zu helfen, eine bessere Kontrolle über ihre Daten zu erlangen. EU-Bürger haben das Recht auf Auskunft darüber, ob ihre personenbezogenen Daten verarbeitet werden (Artikel 15), ihre Daten problemlos zwischen Dienstanbietern zu übertragen (Artikel 20) und der Verarbeitung ihrer Daten zu widersprechen (Artikel 21). Eine der bedeutendsten Anforderungen der DSGVO ist das „Recht auf Vergessenwerden“ (Artikel 17), das Einzelpersonen die Macht gibt, Unternehmen dazu zu zwingen, ihre Daten aus allen Systemen zu löschen. Die DSGVO ist wohl der einzige Compliance-Standard, der Macht in die Hände der Verbraucher legt und ihre Interessen über die Interessen von Organisationen stellt, und Unternehmen, die sich auf die DSGVO vorbereiten, sehen bereits den Unterschied:

Kyle Reyes, Administrator für Infrastruktursysteme, Midland Information Resources

4. Hohe Strafen bei Nichteinhaltung

Fines for compliance failures are 2–4% of the company’s annual worldwide turnover or €10-20 million, whichever is higher. The most serious violations include accidental destruction, loss, change or transmission of personal data, as well as failure to demonstrate explicit consent for data processing (Articles 83–84).

5. Strenge Regeln zur Benachrichtigung bei Datenschutzverletzungen

Gemäß Artikel 33 müssen Datenverantwortliche Datenpannen innerhalb von 72 Stunden nach Entdeckung den Aufsichtsbehörden melden. Versäumt es ein Unternehmen, dies zu tun, muss es triftige Gründe für die Verzögerung vorlegen. Dies ist deutlich weniger Zeit, als von jedem US-amerikanischen Compliance-Standard (wie HIPAA oder SOX) gefordert wird.

Was ist ISO 27001?

ISO 27001 (formell bekannt als ISO/IEC 27001:2013) ist ein internationaler Standard für Informationssicherheit, der Anforderungen für die Implementierung, Aufrechterhaltung und Verbesserung eines Informationssicherheits-Managementsystems (ISMS) vorgibt. Ein ISMS ist ein Rahmenwerk aus Richtlinien und Verfahren, das die rechtlichen, technischen und physischen Kontrollen umfasst, die in den IT risk management-Prozessen eines Unternehmens beteiligt sind. Faktoren, die die Implementierung des ISMS beeinflussen, umfassen die Ziele der Organisation, Sicherheitsanforderungen, Größe und Struktur.

Die Befolgung der ISO 27001 Best Practices hilft Organisationen, Sicherheitsrisiken zu bewältigen, sensible Daten zu schützen und den Umfang und die Grenzen ihrer Sicherheitsprogramme zu identifizieren. Die Norm gilt für eine Vielzahl von Organisationen, wie Unternehmen, Regierungsgruppen, akademische Einrichtungen und gemeinnützige Organisationen.

Die wichtigsten Anforderungen von ISO 27001 umfassen:

1. Asset-Management

Organisationen müssen einen angemessenen Schutz ihrer Vermögenswerte erreichen und aufrechterhalten, was bedeutet, dass sie ihre Vermögenswerte identifizieren und Regeln für die akzeptable Nutzung von Informationen dokumentieren müssen (Kontrollen A.8). Darüber hinaus muss alle Informationen hinsichtlich ihres Wertes, der rechtlichen Anforderungen, der Sensibilität und der Kritikalität für die Organisation klassifiziert werden.

2. Betriebssicherheit

Dieser umfangreiche Satz von Kontrollen skizziert grundlegende Betriebsverfahren und Verantwortlichkeiten, wie die Trennung von Entwicklungs-, Test- und Betriebsumgebungen; Änderungsmanagement; und die Dokumentation der Betriebsverfahren (A.12).

3. Zugriffskontrolle

Diese Familie von Kontrollmechanismen (A.9) bietet Richtlinien für die Steuerung der Datennutzung innerhalb der Organisation und zur Verhinderung unbefugten Zugriffs auf Betriebssysteme, vernetzte Dienste, Informationsverarbeitungseinrichtungen und so weiter. Dies beinhaltet Regeln für das Benutzerzugriffsmanagement, das Management von Privileged Access Rights, Benutzerverantwortlichkeiten sowie System- und Anwendungszugriffskontrolle.

4. Management von Informationssicherheitsvorfällen

Die Kontrollfamilie A.16 legt die Regeln für die Meldung von IT-Sicherheitsereignissen und Schwachstellen, das Management von IT-Sicherheitsvorfällen und die Verbesserung dieser Prozesse fest. Organisationen müssen sicherstellen, dass Sicherheitsvorfälle so kommuniziert werden, dass eine zeitnahe und wirksame Reaktion möglich ist.

5. Sicherheit im Personalwesen

Die Kontrollfamilie A.7 verlangt von Organisationen, sicherzustellen, dass Mitarbeiter und Auftragnehmer sich ihrer Verantwortung für die Informationssicherheit bewusst sind und diese erfüllen. Organisationen müssen ihren Mitarbeitern Bewusstseinsschulungen anbieten und formelle Disziplinarmaßnahmen gegen Mitarbeiter ergreifen, die einen Verstoß gegen die Informationssicherheit begehen.

6. Geschäftskontinuität

Dieser Satz von Kontrollen (A.17) beschreibt die Aspekte der Informationssicherheit im Geschäftskontinuitätsmanagement. Organisationen müssen die Anforderungen an die Kontinuität des Informationssicherheitsmanagements in widrigen Situationen bestimmen, Sicherheitskontrollen dokumentieren und aufrechterhalten, um das erforderliche Kontinuitätsniveau zu gewährleisten, und diese Kontrollen regelmäßig überprüfen.

ISO 27001 auf die DSGVO abbilden: Was sind die Ähnlichkeiten?

Es gibt viele Bereiche, in denen sich ISO 27001 und die DSGVO überschneiden. Die meisten davon stehen im Zusammenhang mit der Informationssicherheit: ISO 27001 legt ähnliche Regeln für den Datenschutz fest, wie sie in den Artikeln 5, 24, 25, 28, 30 und 32 der DSGVO beschrieben sind. Hier sind nur einige Punkte, die in beiden Standards übereinstimmen:

Datengeheimhaltung, Verfügbarkeit und Integrität

Artikel 5 der DSGVO legt allgemeine Grundsätze für die Datenverarbeitung fest, wie Schutz vor „unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, Zerstörung oder Schaden.“ Detailliertere Richtlinien werden in Artikel 32 gegeben, der festlegt, dass Organisationen geeignete technische und organisatorische Maßnahmen implementieren, betreiben und aufrechterhalten müssen, um die Datensicherheit zu gewährleisten, wie Verschlüsselung, Widerstandsfähigkeit der Verarbeitungssysteme und -dienste, die Fähigkeit, die Verfügbarkeit personenbezogener Daten zeitnah wiederherzustellen, und mehr.

Ähnlich zielen mehrere Kontrollen in ISO 27001 darauf ab, Organisationen dabei zu unterstützen, die Vertraulichkeit, Verfügbarkeit und Integrität von Daten zu gewährleisten. Beginnend mit Klausel 4, fordert ISO 27001 von Organisationen, interne und externe Probleme zu identifizieren, die ihre Sicherheitsprogramme beeinträchtigen könnten. Klausel 6 verlangt von ihnen, ihre IT-Sicherheitsziele zu bestimmen und ein Sicherheitsprogramm zu erstellen, das ihnen hilft, diese Ziele zu erreichen. Klausel 8 setzt Standards für die fortlaufende Wartung des Sicherheitsprogramms und verlangt von den Organisationen, ihr Sicherheitsprogramm zu dokumentieren, um die Einhaltung von Vorschriften nachzuweisen.

Risikobewertung

Sowohl ISO 27001 als auch die DSGVO erfordern einen risikobasierten Ansatz für die Datensicherheit. Artikel 35 der DSGVO verpflichtet Unternehmen dazu, Datenschutz-Folgenabschätzungen durchzuführen, um Risiken für die Daten von Personen zu bewerten und zu identifizieren. Diese GDPR risk assessment ist verpflichtend, bevor mit der Verarbeitung von besonders sensiblen Daten begonnen wird, wie etwa der systematischen Überwachung.

ISO 27001 rät Organisationen auch, eine gründliche Risikobewertung durchzuführen, um Bedrohungen und Schwachstellen zu identifizieren, die ihre Vermögenswerte beeinträchtigen könnten (Klausel 6.1.2), und auf Grundlage der Ergebnisse dieser Risikobewertung geeignete Maßnahmen zur Informationssicherheit auszuwählen (Klausel 6.1.3).

Lieferantenmanagement

Klausel 8 der ISO 27001 verlangt von Organisationen, dass sie identifizieren, welche Verarbeitungstätigkeiten ausgelagert werden und sicherstellen, dass sie diese Tätigkeiten unter Kontrolle behalten können. Klausel A.15 gibt spezifische Anweisungen zu Lieferantenbeziehungen und verlangt von Organisationen, die Dienstleistungserbringung der Lieferanten zu überwachen und zu überprüfen.

Ähnliche Themen werden in Artikel 28 der DSGVO behandelt, der von Datenverantwortlichen verlangt, vertragliche Bedingungen und Zusicherungen von Verarbeitern zu sichern, indem ein „Datenverarbeitungsvertrag“ erstellt wird.

Verletzungsmeldung

Gemäß den Artikeln 33–34 der DSGVO müssen Unternehmen die Behörden innerhalb von 72 Stunden nach Entdeckung einer Verletzung personenbezogener Daten benachrichtigen. Auch die betroffenen Personen müssen unverzüglich benachrichtigt werden, allerdings nur, wenn die Daten ein „hohes Risiko für die Rechte und Freiheiten der betroffenen Personen“ darstellen.

Klausel A.16 der ISO 27001, die sich mit Kontrollen für das Management von Informationssicherheitsvorfällen befasst, gibt keinen genauen Zeitrahmen für die Meldung von Datenschutzverletzungen an, aber sie besagt, dass Organisationen Sicherheitsvorfälle umgehend melden und diese Ereignisse so kommunizieren müssen, dass „zeitnah korrigierende Maßnahmen ergriffen werden können.“

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Artikel 25 der DSGVO besagt, dass Unternehmen technische und organisatorische Maßnahmen bereits in der Entwurfsphase aller Projekte implementieren müssen, um den Datenschutz von Anfang an zu gewährleisten („Datenschutz durch Technikgestaltung“). Darüber hinaus sollten Organisationen den Datenschutz standardmäßig schützen und sicherstellen, dass nur die für den jeweiligen Verarbeitungszweck notwendigen Informationen verwendet werden („Datenschutz durch datenschutzfreundliche Voreinstellungen“).

In ISO 27001 werden ähnliche Anforderungen in den Klauseln 4 und 6 beschrieben. Klausel 4 verlangt von Organisationen, den Umfang und Kontext der Daten, die sie sammeln und verarbeiten, zu verstehen, während Klausel 6 empfiehlt, regelmäßige Sicherheitsrisikobewertungen durchzuführen, um die Wirksamkeit ihres Sicherheitsmanagementprogramms sicherzustellen.

Dokumentation

Artikel 30 der DSGVO verpflichtet Organisationen dazu, Aufzeichnungen über ihre Verarbeitungstätigkeiten zu führen, einschließlich der Kategorien von Daten, dem Verarbeitungszweck und einer allgemeinen Beschreibung der relevanten technischen und organisatorischen Sicherheitsmaßnahmen.

Ähnlich fordert die ISO 27001, dass Organisationen ihre Sicherheitsprozesse sowie die Ergebnisse ihrer Sicherheitsrisikobewertungen und Risikobehandlungen (Klausel 8) dokumentieren müssen. Gemäß Kontrolle A.8 müssen Informationswerte inventarisiert und klassifiziert werden, Eigentümer der Vermögenswerte müssen zugewiesen werden und Verfahren für die akzeptable Nutzung von Daten müssen definiert werden.

Garantiert die Einhaltung von ISO 27001 auch die Einhaltung der DSGVO?

Wie Sie sehen können, kann die Zertifizierung nach ISO 27001 den Prozess zur Erreichung der GDPR compliance vereinfachen. Es gibt jedoch mehrere Unterschiede zwischen diesen Standards. Die GDPR ist ein globaler Standard, der eine strategische Vision davon vermittelt, wie Organisationen den Datenschutz sicherstellen müssen. ISO 27001 ist ein Satz von Best Practices mit einem engen Fokus auf Informationssicherheit; es bietet praktische Ratschläge, wie Informationen geschützt und Cyberbedrohungen reduziert werden können. Im Gegensatz zur GDPR deckt sie nicht direkt die folgenden mit dem Datenschutz verbundenen Themen ab, die in Kapitel 3 der GDPR (Data Subject Rights) aufgeführt sind:

• Einwilligung — Datenverantwortliche müssen nachweisen, dass die betroffenen Personen der Verarbeitung ihrer personenbezogenen Daten zugestimmt haben (Artikel 7 und 8). Die Anfrage zur Einwilligung muss in einer leicht zugänglichen Form erfolgen, mit dem Zweck der Datenverarbeitung beigefügt. Betroffene Personen haben auch das Recht, ihre Einwilligung jederzeit zu widerrufen.
• Datenportabilität — Personen haben das Recht, ihre persönlichen Daten für ihre eigenen Zwecke über verschiedene Dienste hinweg zu erhalten und wiederzuverwenden, sowie diese Daten ohne Beeinträchtigung der Benutzerfreundlichkeit an einen anderen Verantwortlichen zu übermitteln (Artikel 20).
• Das Recht auf Vergessenwerden — Personen haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen oder deren weitere Verbreitung unverzüglich zu stoppen (Artikel 17).
• Das Recht auf Einschränkung der Verarbeitung — Personen haben das Recht, die Art und Weise, wie eine Organisation ihre personenbezogenen Daten verwendet, einzuschränken, wenn die Daten unrechtmäßig verarbeitet wurden oder die betroffene Person die Richtigkeit der Daten bestreitet (Artikel 18).
• Widerspruchsrecht — Betroffene Personen haben das Recht, der Datenverarbeitung für Direktmarketing, die Erfüllung rechtlicher Aufgaben oder Forschungszwecke und Statistiken zu widersprechen (Artikel 21).
• Internationale Übertragungen von personenbezogenen Daten — Organisationen müssen sicherstellen, dass internationale Datentransfers gemäß den von der Europäischen Kommission genehmigten Regeln durchgeführt werden (Artikel 46).

Kurz gesagt

Wie wir sehen können, konzentriert sich die DSGVO auf den Datenschutz und den Schutz personenbezogener Informationen; sie verlangt von Organisationen, mehr Aufwand in die Erlangung expliziter Zustimmung zur Datenerhebung zu stecken und sicherzustellen, dass alle Daten rechtmäßig verarbeitet werden. Allerdings fehlen ihr technische Details darüber, wie ein angemessenes Niveau der Datensicherheit aufrechterhalten oder interne und externe Bedrohungen gemindert werden können. In dieser Hinsicht ist die ISO 27001 nützlich: Sie bietet praktische Anleitungen zur Entwicklung klarer, umfassender Richtlinien, um Sicherheitsrisiken zu minimieren, die zu Sicherheitsvorfällen führen könnten.

Obwohl die Einhaltung von ISO 27001 keine Garantie für die Einhaltung der DSGVO ist, stellt sie einen wertvollen Schritt dar. Organisationen sollten eine Zertifizierung nach ISO 27001 in Betracht ziehen, um sicherzustellen, dass ihre Sicherheitsmaßnahmen ausreichend stark sind, um sensible Daten zu schützen.