Beitrag

IT-Sicherheitskatalog gemäß § 11 Abs. 1b EnWG – Betreiber von Energieanlagen Mo 04.03.2019

ISO/IEC 27552 ist keine DSGVO-konforme Zertifizierung!

Viele Unternehmen sind auf der Suche nach einem Zertifikat, mit dem Sie die Einhaltung der DSGVO nachweisen und ihrer Rechenschaftspflicht nachkommen können.
Verstärkt erscheinen Unternehmen auf der Bildfläche, die in diesem Zusammenhang die ISO/IEC 27552 ins Spiel bringen und eine Prüfung nach dieser Norm anbieten. Doch was genau wird eigentlich mit dieser Norm zertifiziert und: Ist das Ergebnis DSGVO-konform?

Datenschutz als Ergänzung für das Managementsystem

Mit der Norm ISO/IEC 27552 „Informationstechnik - Sicherheitsverfahren - Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement - Anforderungen und Leitfaden“, die derzeit als Entwurf diskutiert wird, lässt sich ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 wunderbar um Datenschutz-Aspekte ergänzen.
Ähnlich wie bei ISO/IEC 27017, 27018 oder 27019 erweitert auch die ISO/IEC 27552 die Controls der ISO/IEC 27001 um Datenschutz-Anforderungen, die dann im Kontext einer ISO/IEC 27001-Auditierung mitbetrachtet werden können. Kurzum: Das nach ISO/IEC 27001 zu zertifizierende Informationssicherheits-Managementsystem wird um Datenschutz-Aspekte erweitert.

ISO/IEC 27552 ist keine Zertifizierungsnorm

Dabei ist wichtig zu wissen: ISO/IEC 27552 ist keine Zertifizierungsnorm. Zertifiziert wird stets ein ISMS gem. ISO/IEC 27001. Es ist aber möglich, in seinem ISMS über das Statement of Applicability (SOA-Dokument) weitere normative Anforderungen, wie etwa die 27552, hinzuzufügen – und diese auch im Rahmen eines Audits mit überprüfen zu lassen. ABER: Zertifiziert wird nur das ISMS.

Keine Zertifizierung gemäß DSGVO

Die EU-Datenschutz-Grundverordnung (DSGVO) sieht in Artikel 42 Zertifizierungsverfahren für Verarbeitungsvorgänge vor, die von akkreditierten Zertifizierungsstellen durchgeführt werden können.
Die ISO/IEC 27552 ist jedoch KEINE per se zugelassene Norm, die sich hier anwenden ließe. Hintergrund ist, dass der Gesetzgeber in der DSGVO die Akkreditierungsnorm ISO/IEC 17065 für Produkte und Dienstleistungen vorgegeben hat, während ISO/IEC 27001 zu den sogenannten Managementsystemnormen zählt. Derzeit gibt es noch keine DSGVO-konformen Zertifizierungen. Zum aktuellen Sachstand bzgl. zugelassener DSGVO-Zertifizierungsverfahren verweisen wir auf unseren Artikel  „Zertifizierungen gemäß DSGVO“ im Blog datenschutz notizen.

Von Dr. Sönke Maseberg in der Rubrik cert News