Zertifizierung nach ISO/IEC 27001 und die DSGVO 

Können Unternehmen mit einer ISO/IEC 27001 Zertifizierung die Einhaltung der DSGVO abschließend nachweisen? 

Theorie

Nach Maßgabe des Art. 24 Abs. 3 DSGVO kann der Verantwortliche die Einhaltung der sich aus der DSGVO ergebenen Pflichten durch ein genehmigtes Zertifizierungsverfahren nachweisen. Dieses Zertifizierungsverfahren und die Ausgabe von Datenschutzsiegeln sollen auf Unionsebene gefördert werden. Hierzu besagt der Erwägungsgrund 100 der DSGVO folgendes:  

Um die Transparenz zu erhöhen und die Einhaltung dieser Verordnung zu verbessern, sollte angeregt werden, dass Zertifizierungsverfahren sowie Datenschutzsiegel und –prüfzeichen eingeführt werden, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen. 

Praxis

Das klingt auf dem ersten Blick sehr schlüssig und ist auch für Unternehmen von hoher Bedeutung.  Dennoch gibt es derzeit kein offizielles und genehmigtes Zertifizierungsverfahren der Deutschen Akkreditierungsstelle (DAkkS). Welche Alternative bleibt den Unternehmen als Nachweis der Erfüllung ihrer Rechenschaftspflichten gem. Art. 5 Abs. 2 DSGVO?

In diesem Zusammenhang ist es naheliegend an die bereits seit Jahren etablierte Zertifizierungsnorm ISO/IEC 27001 zu denken. Mit dieser Norm werden Managementsysteme zur Informationssicherheit bewertet und anschließend zertifiziert. Leider spielt der Datenschutz im Prozess der Zertifizierung nach dieser Norm nur eine untergeordnete Rolle und wird im Themenbereich Compliance nur als Teilaspekt berücksichtigt. Der Grund hierfür liegt nicht zuletzt auch an der Problematik der länderspezifischen rechtlichen Vorgaben zum Datenschutz. Da die ISO/IEC – Zertifizierungen international gelten, werden die nationalen Anforderungen an den Datenschutz hier nicht ausreichend berücksichtigt.

Fazit

Die ISO/IEC 27001 Norm ist also nicht für die Zertifizierung von Datenverarbeitungsvorgängen nach DSGVO geeignet. Da bei der Prüfung der Managementsysteme einige Prüfpunkte im Bereich der Datenschutz-Compliance berücksichtigt werden, kann diese Zertifizierung nur unterstützend oder ergänzend zur Erfüllung der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO dienlich sein. 

Es ist abzuwarten, inwieweit der Europäische Datenschutz-Ausschuss abschließende Kriterien für die Prüfverfahren herausgibt. Denn erst dann ist es auch der deutschen Akkreditierungsstelle möglich, ein Zertifizierungsverfahren für den Datenschutz ins Leben zu rufen.