Europäische IT-Sicherheitsbehörde ENISA unterstützt Zertifizierungsprozesse für Datenschutz-Grundverordnung
Die europäische IT-Sicherheitsbehörde ENISA treibt die europäischen Zertifizierungsanstrengungen in Sachen IT-Sicherheit voran. Die Umsetzung der Datenschutz-Grundverordnung nimmt sie zum Anlass, das Vorgehen der verschiedenen Akteure zu koordinieren.
- Christiane Schulzki-Haddouti
Die Datenschutz-Grundverordnung (DSGVO) verlangt von Organisationen neben „Privacy by Design“ und „Privacy by Default“ (Art. 25) erstmals auch „angemessene“ technische und organisatorische Maßnahmen auch zur Gewährleitung von IT-Sicherheit (Art. 5) umzusetzen. Bisher bereiten sich aber nur wenige Unternehmen aktiv vor, obgleich empfindliche Bußgelder drohen.
Freiwillige Zertifizierungen (Art. 42, 43) können dabei als Nachweis gegenüber den Aufsichtsbehörden dafür angeführt werden, dass die gesetzlichen Verpflichtungen eingehalten werden. Für Udo Helmbrecht, Chef der europäischen IT-Sicherheitsbehörde ENISA (European Union Agency for Network and Information Security), ist die Grundverordnung daher ein „Meilenstein der Gesetzgebung“.
Bericht gibt Hilfestellung bei der Umsetzung
Die ENISA veröffentlichte zum Thema Zertifizierung jetzt einen Bericht, mit dem Helmbrecht „eine effektive Umsetzung der Gesetzgebung“ unterstützen will. Helmbrecht betont in dem Bericht, dass es bei der Zertifizierung nach der DSGVO nicht um Produkte, Systeme oder Organisationen, sondern um Datenverarbeitungsvorgänge geht. Dabei werde nicht geprüft, welche Maßnahmen getroffen wurden, sondern ob diese auch genügen, die Anforderungen der Grundverordnung umzusetzen.
Die Auffassung der ENISA, die ab nächstem Jahr die Etablierung eines europaweiten, freiwilligen Zertifizierungsverfahrens für IT-Sicherheit übernehmen soll, spielt auch im Bereich des Datenschutzes eine Rolle. Sie berät nämlich die EU-Kommission, die Anforderungen und technische Standards für die Datenschutz-Zertifizierungen rechtlich festlegen darf. Dabei legt die ENISA Wert darauf, dass die verschiedenen Zertifizierungsansätze in der Europäischen Union harmonisiert werden.
Aufsichtsbehörden sollen nicht selbst zertifizieren
Die Zertifizierungskriterien können von den zuständigen Aufsichtsbehörden oder durch den Europäischen Datenschutzausschuss festgelegt werden. Die ENISA empfiehlt, dass sich die Aufsichtsbehörden auf ein gemeinsames Vorgehen verständigen sollten. Zertifizierungen können durch die Aufsichtsbehörden oder durch eine akkreditierte Stelle ausgesprochen werden.
Zudem rät die ENISA in Hinblick auf mögliche Interessenskonflikte, dass Aufsichtsbehörden darauf verzichten sollten, selbst Zertifizierungen durchzuführen. Falls sie es doch tun, wie etwa das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein, sollten sie die Mitarbeiter der Zertifizierungsstelle von den anderen Tätigkeitsbereichen der Behörde separieren.
Eigene Vorbereitungen auf DSGVO per Online-Test prüfen
Nicht nur die ENISA, auch deutsche Datenschutzaufsichtsbehörden unterstützen Unternehmen bei der Umsetzung der europäischen Datenschutz-Grundverordnung mit verschiedenen Handreichungen. Seit wenigen Tagen können Unternehmen beispielsweise mit einem Online-Test selbst testen, wie gut sie bereits auf die DSGVO vorbereitet sind. Das Bayerische Landesamt für Datenschutzaufsicht hat 28 Fragen mit jeweils drei Antwortmöglichkeiten entwickelt. Sie sollen den Unternehmen dabei helfen, die datenschutzrechtlichen Brennpunkte in ihrer Organisation zu erkennen.
Als Ergebnis erhalten sie eine detaillierte Auswertung der Antworten, die beschreibt, wie die Anforderungen umzusetzen wären. Die Datenschutzaufsichtsbehörde weist darauf hin, dass ihre Datenschutzprüfungen ab Mai 2018 dann auf die im Online-Test adressierten Fragenbereiche abzielen werden.
Warum man die Anforderungen der DSGVO im Unternehmen dringend umsetzen sollte, war bereits Thema eines iX-Webinars (die Aufzeichnung ist verfügbar). Ein weiteres Webinar am 29. November behandelt den Stand der Technik im IT-Sicherheitsrecht. (tiw)