Datenschutz-Managementsysteme im Aufwind? Implementierung, Auditierung und Zertifizierung von Datenschutz- Managementsystemen Datenschutz-Managementsysteme im Aufwind? Zürich, 28. Oktober 2015 Maria Winkler

Zertifizierung von Datenschutz-Managementsystemen (DSMS) DSMS können in der Schweiz nach dem Label GoodPriv@cy oder nach der Verordnung über die Datenschutzzertifizierungen (VDSZ) zertifiziert werden. GoodPriv@cy Private Trägerschaft, geschützte Garantiemarke, auch international angewandt Verordnung über die Datenschutzzertifizierungen (VDSZ) Akkreditierte Zertifizierungsstellen (SQS und KPMG AG), basiert auf Art. 11 DSG, Zertifizierung und deren Meldung hat Befreiung von der Meldepflicht für Datensammlungen zur Folge, rein schweizerische Norm

Zertifizierung als Selbstregulierung? Mit der Revision des DSG wurde 2008 für Unternehmen und Behörden die Möglichkeit eingeführt, Systeme, Verfahren und Organisationen freiwillig durch anerkannte unabhängige Zertifizierungsstellen prüfen zu lassen (Art. 11 DSG). Krankenversicherer sind seit dem 01. Januar 2013 verpflichtet, ihre Datenannahmestellen gemäss Art. 11 DSG zertifizieren zu lassen. Weitere gesetzliche Zertifizierungsverpflichtungen im Gesundheitsbereich sind zu erwarten.

VDSZ | Grundlagen Art. 11 Datenschutzgesetz (DSG; 235.1) Verordnung über die Datenschutzzertifizierungen (VDSZ; SR 235.13) Mindestanforderungen an die Qualifikation des Personals der Zertifizierungsstellen, welches Zertifizierungen durchführt (Anhang zur VDSZ) Zertifizierungsrichtlinien 2014 Anhang zu den Zertifizierungsrichtlinien 2014 Erläuterungen zu den Zertifizierungsrichtlinien 2014 ISO/IEC 27001:2013 (Anhang – ausgewählte Controls)

Gegenstand der Zertifizierung (Art. 4 und 5 VDSZ) Zertifizierbar sind die Gesamtheit der Datenbearbeitungsverfahren, für die eine Stelle verantwortlich ist einzelne, abgrenzbare Datenbearbeitungsverfahren. Dienstleistungen können nach VDSZ nicht zertifiziert werden. Produkte (Hardware, Software oder Systemen für automatisierte Datenbearbeitungen) können gemäss Art. 5 VDSZ zertifiziert werden. Die dafür erforderlichen Richtlinien wurden aber durch den EDÖB noch nicht erlassen.

Geltungsbereich des DSMS Der Geltungsbereich des DSMS (Scope) muss klar beschrieben sein. Die Beschreibung umfasst die Datenbearbeitungsverfahren (alle oder nur einzelne) die betroffenen Datensammlungen die relevanten technischen Systeme die betroffenen Standorte die Outsourcingpartner im zu zertifizierenden Bereich. Die Beschreibung des Geltungsbereichs sollte frühzeitig bei der Planung des DSMS erfolgen, damit alle relevanten Elemente erfasst werden! Die Befreiung von der Meldepflicht besteht nur, wenn alle relevanten Datenbearbeitungen zertifiziert sind.

ISO/IEC 27001:2013 Die DSMS-Richtlinien des EDÖB basieren auf ISO/IEC 27001:2013, welche den Standard für die Anforderungen an Informationssicherheits-Managementsysteme (ISMS) regelt. Der Begriff Informationssicherheit ist durch den Begriff Datenschutz zu ersetzen und Anhang A durch die Ziele und Massnahmen gemäss Ziffer 5. Aus urheberrechtlichen Gründen verweist die DSMS-Richtlinie auf Ziffern der Norm, ohne diese wörtlich zu zitieren. Um die Richtlinie umsetzen zu können, muss die ISO/IEC 27001:2013 gekauft werden!

Datenschutzmanagementsystem Das DSMS basiert auf dem PDCA-Ansatz (Plan-Do-Check-Act). Ziel ist die ständige Verbesserung des Datenschutzes in der zertifizierten Organisation. Quelle: Erläuterungen des BJ zur VDSZ, abrufbar unter https://www.bj.admin.ch/dam/data/bj/staat/gesetzgebung/archiv/datenschutz/erl-vdsz-d.pdf

Dokumentation des DSMS Damit ein DSMS von einer externen Stelle auditiert und zertifiziert werden kann, muss eine Dokumentation erstellt werden. Die Dokumente des DSMS müssen von den verantwortlichen Stellen geprüft und freigegeben werden und sie müssen den betroffenen Personen bekannt und zugänglich sein. Die Dokumente müssen laufend geprüft und aktualisiert werden, Änderungen und aktueller Status müssen ersichtlich sein (sog. Dokumentenlenkung) . In der Praxis werden oft Software-Tools eingesetzt, welche das Management dieser Dokumente erleichtern.

Elemente eines DSMS Ein DSMS kann aus den folgenden Prozessen und/oder Dokumenten bestehen: Datenschutzpolitik Festlegung der Organisation und Verantwortlichkeiten Identifizierung und Klassifizierung der Datensammlungen und der datenschutzrelevanten Objekte einschliesslich Risikoanalyse Übersicht über die anwendbaren gesetzlichen Grundlagen Datenschutzziele Vorgaben für die Dokumentenlenkung Schulungskonzept Planung der internen und externen Kommunikation Umgang mit Abweichungen und Notfällen Internes Audit Prozesse und Dokumente zur Sicherstellung der gesetzeskonformen Datenbearbeitung (Beispiele) Datensicherheitsmassnahmen Auskunftsbegehren

Vorgehen Audits werden vorgängig geplant (Zeitpunkt, auditierte Prozesse und Systeme, beteiligte Personen). Im Rahmen des Dokumentenaudits werden die Dokumente des DSMS hinsichtlich der Konformität mit den rechtlichen Vorgaben und den Normanforderungen geprüft. Am Audit selbst wird die Umsetzung des DSMS geprüft anhand von Interviews mit den verantwortlichen Stellen Audit der Datenbearbeitungen einschliesslich der betroffenen IT-Systeme (auch geoutsourcte) Umsetzung der Kontrollen Das Ergebnis der Prüfung wird in einem Bericht festgehalten. Darin werden Aussagen zu allfälligen Nicht-Konformitäten gemacht.

Stolpersteine in der Praxis Aufbau des DSMS Der Geltungsbereich des DSMS ist nicht klar definiert. Das Management steht nicht hinter dem Zertifizierungsentscheid. Es werden zu wenig personelle Ressourcen für den Aufbau des DSMS zur Verfügung gestellt. Die Organisation setzt sich nicht oder zu wenig mit den Anforderungen der VDSZ inklusive ISO/IEC 27001:2013 auseinander. Der Dokumentationsaufwand wird unterschätzt. Insbesondere die Anwendbarkeitserklärung (SoA = Statement of Applicability) wird nicht oder nur sehr spärlich erstellt. Die Funktion des Datenschutzbeauftragten wird nicht durch eine unabhängige Stelle wahrgenommen. Datenbearbeitungen sind nicht rechtskonform.

Stolpersteine in der Praxis Betrieb des DSMS Das DSMS wird nicht weiterentwickelt und verbessert. Die Mitarbeitenden werden nicht geschult. Es werden keine internen Audits durchgeführt. Es wird kein Management Review erstellt. Datenbearbeitungen sind nicht rechtskonform. Nach dem Aufbau und der Erstzertifizierung muss der systematische Betrieb des DSMS oft erst „erlernt“ werden.

Aufwand Der interne und externe Aufwand hängt im Wesentlichen von den folgenden Faktoren ab: Grösse des Unternehmens Anzahl und Komplexität der zu zertifizierenden Datenbearbeitungsverfahren Komplexität der vorhandenen Infrastruktur Vorbestehende Regelwerke Vorhandene Fachkenntnisse Bestehen bereits andere Zertifizierungen (insbesondere ISO 9001), dann verringert sich der Aufwand erheblich.

Erfahrungen Die Praxis hat gezeigt, dass die Unternehmen sich an die Gesetze halten wollen, oft aber nicht genau wissen, wie sie dies systematisch gewährleisten können. Der Aufbau des DSMS gibt ihnen oft die nötigen Instrumente, um Sicherheit im Umgang mit den Themen des Datenschutzes und der Datensicherheit zu bekommen. Die Dokumentationsanforderungen werden unterschiedlich gut erfüllt, auch wenn der Nutzen erkannt wird. Die Unternehmen schätzen das Feedback aus den Audits.

Schlussfolgerungen Die Zertifizierung nach VDSZ besagt, dass ein DSMS besteht, das geeignet ist, die Einhaltung von Datenschutz und Datensicherheit systematisch zu gewährleisten. Die Zertifizierung nach VDSZ gewährleistet nicht, dass der Datenschutz lückenlos gewährleistet ist. Auch wenn keine Zertifizierung angestrebt wird, kann die Umsetzung einzelner Elemente der VDSZ bei der Umsetzung von Datenschutz im Unternehmen hilfreich sein.

IT & Law Consulting GmbH Fragen und Antworten mag. iur. Maria Winkler IT & Law Consulting GmbH Grafenaustrasse 5 6300 Zug Telefon: +41 41 711 74 08 maria.winkler@itandlaw.ch