Bedeutet ISO-Zertifizierung GDPR-Compliance?
Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) der EU in Kraft. Alle Organisationen mit Kunden oder Mitgliedern in der EU sind betroffen. Bei Nichteinhaltung drohen Strafen in Millionenhöhe. Bedeutet eine ISO 27001-Zertifizierung des Hosters automatisch DSGVO-Compliance?
Artikel 42 der DSGVO, international auch als GDPR (General Data Protection Regulation) bekannt, adressiert explizit Zertifizierungen. Diese können belegen, dass der Datenschutz eingehalten wird. Ein Information Security Management System (ISMS) gemäss ISO 27001 hat genau dies zum Ziel. Wer also ISO 27001-zertifiziert ist, der belegt, dass er den Gold Standard des Datenschutzes einhält.
Die DSGVO umfasst aber nicht nur den Datenschutz, sondern auch die Rechte der Betroffenen an Ihren Daten. Zum Beispiel die informierte und explizite Einwilligung in die Erhebung der Personendaten oder das Recht auf Löschen, Korrigieren oder Migrieren von persönlichen Daten. Diese Rechte werden von ISO 27001 nicht erfasst und müssen unabhängig davon umgesetzt werden.
Wie die entsprechenden Aufgaben zwischen den Parteien geregelt sind, wird im Datenverarbeitungsvertrag und in den technisch-organisatorischen Massnahmen definiert. Im Verhältnis zwischen Hoster („Auftragsverarbeiter“) und Auftraggeber („Verantwortlicher“) muss aber in letzter Instanz der Verantwortliche dafür sorgen, dass die DSGVO eingehalten wird.
Weiterführende Links: