Implementierung, Auditierung und Zertifizierung von Datenschutz-Managementsystemen Datenschutz-Managementsysteme im Aufwind? Zürich, 28. Oktober 2015 Maria Winkler
Implementierung, Auditierung und Zertifizierung von Datenschutz-
Managementsystemen
Datenschutz-Managementsysteme im Aufwind?Zürich, 28. Oktober 2015
Maria Winkler
Zertifizierung von Datenschutz-Managementsystemen (DSMS) DSMS können in der Schweiz nach dem Label GoodPriv@cy oder
nach der Verordnung über die Datenschutzzertifizierungen (VDSZ) zertifiziert werden.
GoodPriv@cy Private Trägerschaft, geschützte Garantiemarke, auch international angewandt
Verordnung über die Datenschutzzertifizierungen (VDSZ)Akkreditierte Zertifizierungsstellen (SQS und KPMG AG), basiert auf Art. 11 DSG, Zertifizierung und deren Meldung hat Befreiung von der Meldepflicht für Datensammlungen zur Folge, rein schweizerische Norm
2
Zertifizierung als Selbstregulierung? Mit der Revision des DSG wurde 2008 für Unternehmen und
Behörden die Möglichkeit eingeführt, Systeme, Verfahren und Organisationen freiwillig durch anerkannte unabhängige Zertifizierungsstellen prüfen zu lassen (Art. 11 DSG).
Krankenversicherer sind seit dem 01. Januar 2013 verpflichtet, ihre Datenannahmestellen gemäss Art. 11 DSG zertifizieren zu lassen. Weitere gesetzliche Zertifizierungsverpflichtungen im Gesundheitsbereich sind zu erwarten.
3
VDSZ | Grundlagen Art. 11 Datenschutzgesetz (DSG; 235.1) Verordnung über die Datenschutzzertifizierungen (VDSZ; SR
235.13) Mindestanforderungen an die Qualifikation des Personals der
Zertifizierungsstellen, welches Zertifizierungen durchführt (Anhang zur VDSZ)
Zertifizierungsrichtlinien 2014 Anhang zu den Zertifizierungsrichtlinien 2014 Erläuterungen zu den Zertifizierungsrichtlinien 2014 ISO/IEC 27001:2013 (Anhang – ausgewählte Controls)
4
Gegenstand der Zertifizierung (Art. 4 und 5 VDSZ)
Zertifizierbar sind die Gesamtheit der Datenbearbeitungsverfahren, für die eine
Stelle verantwortlich ist einzelne, abgrenzbare Datenbearbeitungsverfahren.
Dienstleistungen können nach VDSZ nicht zertifiziert werden. Produkte (Hardware, Software oder Systemen für
automatisierte Datenbearbeitungen) können gemäss Art. 5 VDSZ zertifiziert werden. Die dafür erforderlichen Richtlinien wurden aber durch den EDÖB noch nicht erlassen.
5
Geltungsbereich des DSMS Der Geltungsbereich des DSMS (Scope) muss klar beschrieben
sein. Die Beschreibung umfasst die Datenbearbeitungsverfahren (alle oder nur einzelne) die betroffenen Datensammlungen die relevanten technischen Systeme die betroffenen Standorte die Outsourcingpartner im zu zertifizierenden Bereich.
Die Beschreibung des Geltungsbereichs sollte frühzeitig bei der Planung des DSMS erfolgen, damit alle relevanten Elemente erfasst werden! Die Befreiung von der Meldepflicht besteht nur, wenn alle relevanten Datenbearbeitungen zertifiziert sind.
6
ISO/IEC 27001:2013 Die DSMS-Richtlinien des EDÖB basieren auf ISO/IEC
27001:2013, welche den Standard für die Anforderungen an Informationssicherheits-Managementsysteme (ISMS) regelt.
Der Begriff Informationssicherheit ist durch den Begriff Datenschutz zu ersetzen und Anhang A durch die Ziele und Massnahmen gemäss Ziffer 5.
Aus urheberrechtlichen Gründen verweist die DSMS-Richtlinie auf Ziffern der Norm, ohne diese wörtlich zu zitieren. Um die Richtlinie umsetzen zu können, muss die ISO/IEC 27001:2013 gekauft werden!
7
Datenschutzmanagementsystem
8
Quelle: Erläuterungen des BJ zur VDSZ, abrufbar unter https://www.bj.admin.ch/dam/data/bj/staat/gesetzgebung/archiv/datenschutz/erl-vdsz-d.pdf
Das DSMS basiert auf dem PDCA-Ansatz (Plan-Do-Check-Act). Ziel ist die ständige Verbesserung des Datenschutzes in der zertifizierten Organisation.
Dokumentation des DSMS Damit ein DSMS von einer externen Stelle auditiert und
zertifiziert werden kann, muss eine Dokumentation erstellt werden.
Die Dokumente des DSMS müssen von den verantwortlichen Stellen geprüft und freigegeben werden und sie müssen den betroffenen Personen bekannt und zugänglich sein. Die Dokumente müssen laufend geprüft und aktualisiert werden, Änderungen und aktueller Status müssen ersichtlich sein (sog. Dokumentenlenkung) .
In der Praxis werden oft Software-Tools eingesetzt, welche das Management dieser Dokumente erleichtern.
9
Elemente eines DSMS Ein DSMS kann aus den folgenden Prozessen und/oder
Dokumenten bestehen: Datenschutzpolitik Festlegung der Organisation und Verantwortlichkeiten Identifizierung und Klassifizierung der Datensammlungen und der
datenschutzrelevanten Objekte einschliesslich Risikoanalyse Übersicht über die anwendbaren gesetzlichen Grundlagen Datenschutzziele Vorgaben für die Dokumentenlenkung Schulungskonzept Planung der internen und externen Kommunikation Umgang mit Abweichungen und Notfällen Internes Audit Prozesse und Dokumente zur Sicherstellung der gesetzeskonformen
Datenbearbeitung (Beispiele) Datensicherheitsmassnahmen Auskunftsbegehren
10
Vorgehen Audits werden vorgängig geplant (Zeitpunkt, auditierte Prozesse und
Systeme, beteiligte Personen). Im Rahmen des Dokumentenaudits werden die Dokumente des
DSMS hinsichtlich der Konformität mit den rechtlichen Vorgaben und den Normanforderungen geprüft.
Am Audit selbst wird die Umsetzung des DSMS geprüft anhand von Interviews mit den verantwortlichen Stellen Audit der Datenbearbeitungen einschliesslich der betroffenen IT-
Systeme (auch geoutsourcte) Umsetzung der Kontrollen
Das Ergebnis der Prüfung wird in einem Bericht festgehalten. Darin werden Aussagen zu allfälligen Nicht-Konformitäten gemacht.
11
Stolpersteine in der PraxisAufbau des DSMS
Der Geltungsbereich des DSMS ist nicht klar definiert. Das Management steht nicht hinter dem Zertifizierungsentscheid. Es
werden zu wenig personelle Ressourcen für den Aufbau des DSMS zur Verfügung gestellt.
Die Organisation setzt sich nicht oder zu wenig mit den Anforderungen der VDSZ inklusive ISO/IEC 27001:2013 auseinander.
Der Dokumentationsaufwand wird unterschätzt. Insbesondere die Anwendbarkeitserklärung (SoA = Statement of Applicability) wird nicht oder nur sehr spärlich erstellt.
Die Funktion des Datenschutzbeauftragten wird nicht durch eine unabhängige Stelle wahrgenommen.
Datenbearbeitungen sind nicht rechtskonform.
12
Stolpersteine in der PraxisBetrieb des DSMS
Das DSMS wird nicht weiterentwickelt und verbessert. Die Mitarbeitenden werden nicht geschult. Es werden keine internen Audits durchgeführt. Es wird kein Management Review erstellt.
Datenbearbeitungen sind nicht rechtskonform.
Nach dem Aufbau und der Erstzertifizierung muss der systematische Betrieb des DSMS oft erst „erlernt“ werden.
13
Aufwand Der interne und externe Aufwand hängt im Wesentlichen von
den folgenden Faktoren ab: Grösse des Unternehmens Anzahl und Komplexität der zu zertifizierenden
Datenbearbeitungsverfahren Komplexität der vorhandenen Infrastruktur Vorbestehende Regelwerke Vorhandene Fachkenntnisse
Bestehen bereits andere Zertifizierungen (insbesondere ISO 9001), dann verringert sich der Aufwand erheblich.
14
Erfahrungen Die Praxis hat gezeigt, dass die Unternehmen sich an die
Gesetze halten wollen, oft aber nicht genau wissen, wie sie dies systematisch gewährleisten können.
Der Aufbau des DSMS gibt ihnen oft die nötigen Instrumente, um Sicherheit im Umgang mit den Themen des Datenschutzes und der Datensicherheit zu bekommen.
Die Dokumentationsanforderungen werden unterschiedlich gut erfüllt, auch wenn der Nutzen erkannt wird.
Die Unternehmen schätzen das Feedback aus den Audits.
15
Schlussfolgerungen Die Zertifizierung nach VDSZ besagt, dass ein DSMS besteht,
das geeignet ist, die Einhaltung von Datenschutz und Datensicherheit systematisch zu gewährleisten.
Die Zertifizierung nach VDSZ gewährleistet nicht, dass der Datenschutz lückenlos gewährleistet ist.
Auch wenn keine Zertifizierung angestrebt wird, kann die Umsetzung einzelner Elemente der VDSZ bei der Umsetzung von Datenschutz im Unternehmen hilfreich sein.
16
Fragen und Antwortenmag. iur. Maria Winkler
IT & Law Consulting GmbHGrafenaustrasse 5
6300 Zug
Telefon: +41 41 711 74 [email protected]
17