Die Europäische Datenschutz-Grundverordnung (EU-DS-GVO) ist am 25. Mai 2016 in Kraft getreten. Die Verordnung sieht eine Übergangszeit von zwei Jahren vor und muss bis zum 25. Mai 2018 von Unternehmen, die in Europa geschäftlich tätig sind oder mit EU-Kunden Geschäfte machen, umgesetzt werden.
Die EU-DS-GVO schreibt im Wesentlichen die bisherigen datenschutzrechtlichen Grundprinzipien fort und hat sie weiterentwickelt. So bedarf jede Verarbeitung personenbezogener Daten auch in Zukunft einer Legitimation in Form einer freiwilligen Entscheidung des Betroffenen oder einer Rechtsgrundlage. Außerdem werden die für den Grundrechtsschutz zentralen Prinzipien von Zweckbindung, Transparenz, Datensparsamkeit und Gewährleistung einer angemessenen Datensicherheit fortgeführt und weiterentwickelt. Daneben werden die Aufsichtsbehörden in Europa in ihrer Unabhängigkeit und auch im Hinblick auf ihre Befugnisse noch einmal deutlich gestärkt und wirksame Sanktionen für Datenschutzverstöße vorgesehen.
Andere neue Elemente sind die Prinzipien von Privacy by Design und Privacy by Default, die Einführung von Datenschutz-Folgenabschätzungen, die Unterrichtung von Betroffenen und Aufsichtsbehörden über Datenschutzverstöße oder eine Regelung zur Begrenzung der Profilbildung.
Zertifizierungsverfahren
Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.
Rahmenwerke für den Datenschutz
Derzeit hat das ISO/IEC JTC1 SC27 Komitee ein Rahmenwerk für den Datenschutz (ISO/IEC 29100), eine Datenschutzrichtlinie für Cloud Dienste (ISO/IEC 27018) und ein Modell zur Bewertung des Datenschutzes (ISO/IEC 29190) herausgegeben. Zukünftige Zertifizierungen werden wahrscheinlich auf den Anforderungen des ISO/IEC 29100 Modells basieren.
Informationssicherheits-Managementsystem (ISMS) nach ISO 27001:2013
Eine andere Möglichkeit, die Umsetzung der Neuerungen der EU-DS-GVO systematisch und nachhaltig anzugehen, ist die Implementierung eines Managementsystems nach ISO 27001:2013. Damit lässt sich nicht nur der Schutz ihrer Daten sondern auch Informationssicherheit ganzheitlich gewährleisten.
Die internationale Norm ISO/IEC 27001 legt die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informations-Sicherheits-Managementsystems (ISMS) fest. Dabei werden auch individuelle Risiken innerhalb der gesamten Organisation berücksichtigt.
Die neue Fassung der ISO 27001:2013 wurde bereits auf Basis der High Level Structure erstellt, auf der auch die neue ISO 9001:2015 und die neue ISO 14001:2015 basieren. Auf diese Weise lässt sich ein ISMS leicht in ein bestehendes Managementsystem integrieren, was erheblichen Aufwand bei der Erstellung einsparen kann. Darüber hinaus ist die Einführung eines Informationssicherheits-Managementsystems eine gute Basis für kontinuierliche Optimierungsprozesse.
Zertifizierung nach ISO 27001:2013
Mit einem Zertifikat nach ISO 27001:2013 belegen Sie, dass Sie die Anforderungen der ISO 27001 erfüllen. Sie weisen nach, dass Sie die Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste, mit denen personenbezogene Daten verarbeitet werden, gewährleisten. Das Zertifikat dient auch als Nachweis gegenüber dem Gesetzgeber, Kunden, Partnern, Versicherungen und Lieferanten und schafft Vertrauen.
