Ansätze für einen zertifizierten Datenschutz - CONSUVATION GmbH

CONSUVATION GmbH | Beratung mit Kompetenz
Willkommen bei CONSUVATION - wir leben erfolgreiche Beratung
Telefon +41 4350 83 469
kontakt(@)consuvation.ch
    Vorsprung - durch Wissen
    Direkt zum Seiteninhalt
    Zertifizierter Datenschutz
    Mit der ISO 27701 auf der sicheren Seite im Datenschutz. Integration in die ISO 27001 zur Informationssicherheit
    Wir beraten Sie - kompetent, pragmatisch, schnell und lösungsorientiert

    Zertifizierter Datenschutz

    Sie würden gerne Ihren Kunden zeigen, dass Sie den Datenschutz in ihrem Unternehmen umgesetzt haben? Damit unterscheiden Sie sich von Ihren Marktbegleitern und zeigen nach aussen, dass sie den Datenschutz und den Schutz der Informationen für die Betroffenen umsetzen.

    Hierzu gibt es verschiedene Möglichkeiten. Sie können sich die Umsetzung von einem Dritten testieren lassen. Am besten orientieren Sie sich hierzu an den Emfehlungen der Interantionalen Organisation für Standardisierung (ISO) in Genf. Dort wurde eine spezifische Norm zur Umsetzung des Datenschutzes entwickelt - die ISO 27701. Falls Sie bereits ein Informationssicherheit Managementsystem nach ISO 27001 haben, dann können sie beide zusammen führen.

    ISO 27701 – Datenschutz Managementsystem (DSMS)

    Die ISO 27701 wurde 2019 veröffentlicht und ist ein Teil der Normenfamilie ISO 27xxx; es handelt sich um eine Teilerweiterung der Datenschutzkriterien zu der Informationssicherheit nach ISO 27001. Eine Zertifizierung des Datenschutzes nach der ISO 27701 ist derzeit nicht möglich. Eine Bestätigung erfolgt derzeit nur im Rahmen einer ISO 27001 Zertifizierung, d.h. ein Informationssicherheitssystem muss vorhanden sein.

    Die Norm orientiert sich sehr stark an der Abbildung eines Managementsystems für den Datenschutz (Privacy Information Managementsystem: PIMS) und legt fest, wie Maßnahmen des Datenschutzes und zur Informationsicherheit zu verknüpfen sind. Zur Umsetzung der DS GVO empfiehlt die ISO 27701 ca. 30 spezifische Maßnahmen für den Datenschutz. Die Norm bietet somit eine gute Grundlage die Anforderungen der DS GVO und des nDSG abzubilden oder zumindest gegen zu prüfen.
    Es ist aber auch möglich, sich die Anwendung der ISO 27701 von dritter Stelle testieren zu lassen. Damit kann man den testierten Datenschutz zum Beispiel auch im Innenverhältnis zwischen Verantwortlichem und Auftragsverarbeiter anwenden.

    Rechtliche Grundlage zur Zertifizierung nDSG

    Die rechtliche Grundlage zur Zertifizierung im Datenschutz ist im Datenschutzgesetz (nDSG) in Kapitel 1 Artikel 13 festgelegt:

    nDSG Art. 13 Zertifizierung
    1) Die Hersteller von Datenbearbeitungssystemen oder -programmen sowie die Verantwortlichen und Auftragsbearbeiter können ihre Systeme, Produkte und Dienstleistungen einer Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen.
    2) Der Bundesrat erlässt Vorschriften über die Anerkennung von Zertifizierungsverfahren und die Einführung eines Datenschutz-Qualitätszeichens. Er berücksichtigt dabei das internationale Recht und die international anerkannten technischen Normen.
           

    Rechtliche Grundlage zur Zertifizierung DS GVO (EU)

    Im Bereich der Europäischen Union wurde die Zertifizierung im Bereich des Datenschutzes in der DS GVO in Artikel 42 festgelegt:

    DS GVO Artikel 42 Zertifizierung
    1. Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von   datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.
    2. Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können auch datenschutzspezifische Zertifizierungsverfahren, Siegel oder Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt worden sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsverarbeiter, die gemäß Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
    3. Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein.
    4. Eine Zertifizierung gemäß diesem Artikel mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung dieser   Verordnung und berührt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, die gemäß Artikel 55 oder 56 zuständig sind.
    5. Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde anhand der von  dieser zuständigen Aufsichtsbehörde gemäß Artikel 58 Absatz 3 oder – gemäß Artikel  63 – durch den Ausschuss genehmigten Kriterien erteilt. Werden  die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen.
    6. Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach Artikel 43 oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten.
    7. Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Kriterien weiterhin erfüllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Kriterien für die Zertifizierung nicht oder nicht mehr erfüllt werden.
    8. Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen in ein Register auf und veröffentlicht sie in geeigneter Weise.

     Zusammenfassung Zertifizierung nach nDSG

    Derzeit gibt es weder nach der DS GVO in der EU noch nach dem nDSG in der Schweiz eine Möglichkeit im Sinne dieser Gesetze den Datenschutz zu zertifizieren.

    Die ISO 27701 bietet aber die Möglichkeit die Umsetzung des Datenschutzes nach DS GVO oder nDSG durch einen Dritten testieren zu lassen. Die Anwendung der ISO 27701 bietet auch Vorteile zum Nachweis, wie der Datenschutz in die Informationssicherheit integriert worden ist.

    Dies wird von verschiedenen Standards, wie TISAX in der Automobilindustrie als Nachweis verlangt.
     

    ISO 27701 - Datenschutz nach NormWir unterstützen Sie bei der Umsetzung der ISO 27701

    Kontaktinformationen
    +41 4350 83 469
    kontakt(@)consuvation.ch
    MONTAG-FREITAG 09:00 - 17:00
    SAMSTAG-SONNTAG geschlossen




     Bitte zum Datenschutz (nDSG) Kontakt aufnehmen
     Bitte zum DSMS Portal Kontakt aufnehmen
     Bitte zum ISMS Portal Kontakt aufnehmen
     Informationssicherheit (ISO 27001, GS)


    (Bitte Pflichtfelder* ausfüllen)

    Datenschutzberatung für Datenschutzmanagementsystem DS GVO BDSG-neu BS 10012 ISO 29100 ISO 29101 ISO 29134 ISO 29151 ISO 2719 ISO 27552 Datenschutz Zertifizierung Datenschutzbeauftragter Hotline

    +41 43 50 83 469
    kontakt(@)consuvation.ch
    MONTAG-FREITAG
    09:00  - 17:00
    SAMSTAG -SONNTAG
    geschlossen
    CONSUVATION GmbH  | CONSUVATION Akademie
    (c) CONSUVATION GmbH
    Hier finden Sie Informationen
    zu unserem Unternehmen
    Hier finden Sie Informationen zum
    Datenschutz
    Hier können Sie direkt mit uns
    Kontakt aufnehmen

    Wir erfüllen folgende Normen: ISO 9001, ISO 14001, ISO 27001, ISO 31000 / ONR 49001 und ISO 22301

    Die Übermittlung Ihrer  Daten in unseren Kontaktformularen erfolgt verschlüsselt. Wollen Sie das  Kontaktformular nicht nutzen wollen, können Sie uns gerne auch direkt eine Email senden oder anrufen. Wir verarbeiten Ihre Daten aus dem Kontaktformular oder Email ausschließlich zur Bearbeitung Ihrer Anfrage und gegeben diese nicht an Dritte weiter. Dabei halten wir die Anforderungen der Datenschutz Grundverordnung (DS GVO) und BDSG-neu ein.
    Zurück zum Seiteninhalt