Zertifizierung von Datenschutz

Implementierung, Auditierung und
Zertifizierung von DatenschutzManagementsystemen
Datenschutz-Managementsysteme im Aufwind?
Zürich, 28. Oktober 2015
Maria Winkler
Zertifizierung von DatenschutzManagementsystemen (DSMS)
 DSMS können in der Schweiz nach dem Label GoodPriv@cy oder
nach der Verordnung über die Datenschutzzertifizierungen (VDSZ)
zertifiziert werden.
 GoodPriv@cy
Private Trägerschaft, geschützte Garantiemarke, auch international
angewandt
 Verordnung über die Datenschutzzertifizierungen (VDSZ)
Akkreditierte Zertifizierungsstellen (SQS und KPMG AG), basiert auf
Art. 11 DSG, Zertifizierung und deren Meldung hat Befreiung von der
Meldepflicht für Datensammlungen zur Folge, rein schweizerische
Norm
2
Zertifizierung als Selbstregulierung?
 Mit der Revision des DSG wurde 2008 für Unternehmen und
Behörden die Möglichkeit eingeführt, Systeme, Verfahren und
Organisationen freiwillig durch anerkannte unabhängige
Zertifizierungsstellen prüfen zu lassen (Art. 11 DSG).
 Krankenversicherer sind seit dem 01. Januar 2013 verpflichtet,
ihre Datenannahmestellen gemäss Art. 11 DSG zertifizieren zu
lassen. Weitere gesetzliche Zertifizierungsverpflichtungen im
Gesundheitsbereich sind zu erwarten.
3
VDSZ | Grundlagen
 Art. 11 Datenschutzgesetz (DSG; 235.1)
 Verordnung über die Datenschutzzertifizierungen (VDSZ; SR
235.13)
 Mindestanforderungen an die Qualifikation des Personals der
Zertifizierungsstellen, welches Zertifizierungen durchführt
(Anhang zur VDSZ)
 Zertifizierungsrichtlinien 2014
 Anhang zu den Zertifizierungsrichtlinien 2014
 Erläuterungen zu den Zertifizierungsrichtlinien 2014
 ISO/IEC 27001:2013 (Anhang – ausgewählte Controls)
4
Gegenstand der Zertifizierung (Art. 4 und 5 VDSZ)
 Zertifizierbar sind
 die Gesamtheit der Datenbearbeitungsverfahren, für die eine
Stelle verantwortlich ist
 einzelne, abgrenzbare Datenbearbeitungsverfahren.
 Dienstleistungen können nach VDSZ nicht zertifiziert werden.
 Produkte (Hardware, Software oder Systemen für
automatisierte Datenbearbeitungen) können gemäss Art. 5
VDSZ zertifiziert werden. Die dafür erforderlichen Richtlinien
wurden aber durch den EDÖB noch nicht erlassen.
5
Geltungsbereich des DSMS
 Der Geltungsbereich des DSMS (Scope) muss klar beschrieben
sein. Die Beschreibung umfasst





die Datenbearbeitungsverfahren (alle oder nur einzelne)
die betroffenen Datensammlungen
die relevanten technischen Systeme
die betroffenen Standorte
die Outsourcingpartner im zu zertifizierenden Bereich.
 Die Beschreibung des Geltungsbereichs sollte frühzeitig bei der
Planung des DSMS erfolgen, damit alle relevanten Elemente
erfasst werden! Die Befreiung von der Meldepflicht besteht nur,
wenn alle relevanten Datenbearbeitungen zertifiziert sind.
6
ISO/IEC 27001:2013
 Die DSMS-Richtlinien des EDÖB basieren auf ISO/IEC
27001:2013, welche den Standard für die Anforderungen an
Informationssicherheits-Managementsysteme (ISMS) regelt.
 Der Begriff Informationssicherheit ist durch den Begriff
Datenschutz zu ersetzen und Anhang A durch die Ziele und
Massnahmen gemäss Ziffer 5.
 Aus urheberrechtlichen Gründen verweist die DSMS-Richtlinie
auf Ziffern der Norm, ohne diese wörtlich zu zitieren. Um die
Richtlinie umsetzen zu können, muss die ISO/IEC 27001:2013
gekauft werden!
7
Datenschutzmanagementsystem
Das DSMS basiert auf dem
PDCA-Ansatz (Plan-Do-CheckAct).
Ziel ist die ständige
Verbesserung des
Datenschutzes in der
zertifizierten Organisation.
Quelle: Erläuterungen des BJ zur VDSZ, abrufbar unter https://www.bj.admin.ch/dam/data/bj/staat/gesetzgebung/archiv/datenschutz/erl-vdsz-d.pdf
8
Dokumentation des DSMS
 Damit ein DSMS von einer externen Stelle auditiert und
zertifiziert werden kann, muss eine Dokumentation erstellt
werden.
 Die Dokumente des DSMS müssen von den verantwortlichen
Stellen geprüft und freigegeben werden und sie müssen den
betroffenen Personen bekannt und zugänglich sein. Die
Dokumente müssen laufend geprüft und aktualisiert werden,
Änderungen und aktueller Status müssen ersichtlich sein (sog.
Dokumentenlenkung) .
 In der Praxis werden oft Software-Tools eingesetzt, welche das
Management dieser Dokumente erleichtern.
9
Elemente eines DSMS
 Ein DSMS kann aus den folgenden Prozessen und/oder
Dokumenten bestehen:











Datenschutzpolitik
Festlegung der Organisation und Verantwortlichkeiten
Identifizierung und Klassifizierung der Datensammlungen und der
datenschutzrelevanten Objekte einschliesslich Risikoanalyse
Übersicht über die anwendbaren gesetzlichen Grundlagen
Datenschutzziele
Vorgaben für die Dokumentenlenkung
Schulungskonzept
Planung der internen und externen Kommunikation
Umgang mit Abweichungen und Notfällen
Internes Audit
Prozesse und Dokumente zur Sicherstellung der gesetzeskonformen
Datenbearbeitung (Beispiele)
 Datensicherheitsmassnahmen
 Auskunftsbegehren
10
Vorgehen
 Audits werden vorgängig geplant (Zeitpunkt, auditierte Prozesse und
Systeme, beteiligte Personen).
 Im Rahmen des Dokumentenaudits werden die Dokumente des
DSMS hinsichtlich der Konformität mit den rechtlichen Vorgaben und
den Normanforderungen geprüft.
 Am Audit selbst wird die Umsetzung des DSMS geprüft anhand von
 Interviews mit den verantwortlichen Stellen
 Audit der Datenbearbeitungen einschliesslich der betroffenen ITSysteme (auch geoutsourcte)
 Umsetzung der Kontrollen
 Das Ergebnis der Prüfung wird in einem Bericht festgehalten. Darin
werden Aussagen zu allfälligen Nicht-Konformitäten gemacht.
11
Stolpersteine in der Praxis
Aufbau des DSMS
 Der Geltungsbereich des DSMS ist nicht klar definiert.
 Das Management steht nicht hinter dem Zertifizierungsentscheid. Es
werden zu wenig personelle Ressourcen für den Aufbau des DSMS zur
Verfügung gestellt.
 Die Organisation setzt sich nicht oder zu wenig mit den Anforderungen
der VDSZ inklusive ISO/IEC 27001:2013 auseinander.
 Der Dokumentationsaufwand wird unterschätzt. Insbesondere die
Anwendbarkeitserklärung (SoA = Statement of Applicability) wird nicht
oder nur sehr spärlich erstellt.
 Die Funktion des Datenschutzbeauftragten wird nicht durch eine
unabhängige Stelle wahrgenommen.
 Datenbearbeitungen sind nicht rechtskonform.
12
Stolpersteine in der Praxis
Betrieb des DSMS
 Das DSMS wird nicht weiterentwickelt und verbessert.
 Die Mitarbeitenden werden nicht geschult.
 Es werden keine internen Audits durchgeführt.
 Es wird kein Management Review erstellt.
 Datenbearbeitungen sind nicht rechtskonform.
 Nach dem Aufbau und der Erstzertifizierung muss der
systematische Betrieb des DSMS oft erst „erlernt“ werden.
13
Aufwand
 Der interne und externe Aufwand hängt im Wesentlichen von
den folgenden Faktoren ab:
 Grösse des Unternehmens
 Anzahl und Komplexität der zu zertifizierenden
Datenbearbeitungsverfahren
 Komplexität der vorhandenen Infrastruktur
 Vorbestehende Regelwerke
 Vorhandene Fachkenntnisse
 Bestehen bereits andere Zertifizierungen (insbesondere ISO
9001), dann verringert sich der Aufwand erheblich.
14
Erfahrungen
 Die Praxis hat gezeigt, dass die Unternehmen sich an die
Gesetze halten wollen, oft aber nicht genau wissen, wie sie dies
systematisch gewährleisten können.
 Der Aufbau des DSMS gibt ihnen oft die nötigen Instrumente,
um Sicherheit im Umgang mit den Themen des Datenschutzes
und der Datensicherheit zu bekommen.
 Die Dokumentationsanforderungen werden unterschiedlich gut
erfüllt, auch wenn der Nutzen erkannt wird.
 Die Unternehmen schätzen das Feedback aus den Audits.
15
Schlussfolgerungen
 Die Zertifizierung nach VDSZ besagt, dass ein DSMS besteht,
das geeignet ist, die Einhaltung von Datenschutz und
Datensicherheit systematisch zu gewährleisten.
 Die Zertifizierung nach VDSZ gewährleistet nicht, dass der
Datenschutz lückenlos gewährleistet ist.
 Auch wenn keine Zertifizierung angestrebt wird, kann die
Umsetzung einzelner Elemente der VDSZ bei der Umsetzung
von Datenschutz im Unternehmen hilfreich sein.
16
Fragen und Antworten
mag. iur. Maria Winkler
IT & Law Consulting GmbH
Grafenaustrasse 5
6300 Zug
Telefon: +41 41 711 74 08
[email protected]
17