Richtlinien des EDÖB für die Zertifizierung von Organisationen

Gemäss der Verordnung über die Datenschutzzertifizierungen hat der EDÖB Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem zu erlassen. Er stützt sich dafür auf die internationalen Normen für Managementsysteme, insbesondere ISO/IEC 27001:2005. Diese Richtlinien beinhalten die wesentlichen Elemente der Norm 27001 mit Schwerpunkt auf dem Datenschutz und gleichzeitig basierend auf einem ergänzenden Leitfaden zur Umsetzung. Diese Broschüre im Anhang, die nach neun allgemeinen Grundsätzen des DSG aufgebaut ist und derzeit rund zwanzig konkrete Massnahmen enthält, ist das auf den Datenschutz anwendbare Gegenstück zur Norm 27002 (Leitfaden für die Informationssicherheit) in Verbindung mit der Norm 27001.

Im Anschluss an die Einführung des neuen Artikels 11 DSG betreffend das Zertifizierungsverfahren ist am 1. Januar 2008 die Verordnung über die Datenschutzzertifizierungen (VDSZ) in Kraft getreten. Laut Art. 4 Abs. 3 VDSZ (Zertifizierung von Organisation und Verfahren) erlässt der oder die Beauftragte «Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem. Er oder sie berücksichtigt dabei internationale Normen und Standards für die Errichtung, den Betrieb, die Überwachung und die Verbesserung von Managementsystemen, insbesondere die Normen ISO 9001:2000 und ISO 27001:2005.»

Um dem zu entsprechen, geht es in einem ersten Schritt darum, von ISO 27001 die allgemeinen Anforderungen an Managementsysteme zu übernehmen, die ihrerseits aus den grundlegenden Vorgaben von ISO 9001 für das Qualitätsmanagement stammen, wie dem informativen Anhang C von ISO 27001 zu entnehmen ist. Die Hauptschwierigkeit bestand darin, den Akzent mehr auf den Datenschutz als auf die Informationssicherheit zu setzen. Über Art. 7, der die vom DSG vorgeschriebenen Voraussetzungen für die Datensicherheit umschreibt, kann glücklicherweise der Datenschutz im weiteren Sinne als Gesamtziel an Stelle des mit ISO 27001 angestrebten Ziels der Informationssicherheit betrachtet werden. Auf diesem Wege soll ein Datenschutz-Managementsystem (DSMS) aufgebaut werden, das unter anderem eine Politik des Datenschutz-Managementsystems, eine Auswahl von Massnahmen für die Behandlung von Nichtkonformitäten, eine Erklärung zur Anwendbarkeit der umgesetzten Massnahmen mit einer Begründung der gegebenenfalls ausgeschlossenen Massnahmen, einen Plan für die Behandlung der Nichtkonformitäten, eine Überprüfung der Datenschutzverletzungen oder -zwischenfälle und Korrektur- oder Vorbeugungsmassnahmen zur Verbesserung des DSMS vorschreibt.

Ein zweiter Schritt bestand in der Übernahme des normativen Anhangs A von ISO 27001, der eigentlich aus dem Inhaltsverzeichnis der Norm ISO/IEC 27002:2005, auch bekannt unter der Bezeichnung «Leitfaden zum Management der Informationssicherheit», besteht. Dieser umfasst 15 Kapitel, von denen die letzten 11 «Kontrollgruppen» bilden, die ihrerseits in 39 «Kontrollziele» unterteilt sind und zu insgesamt 133 «Kontrollmassnahmen» führen. Die Betonung auf dem Datenschutz ist hier offenkundig aufgrund der Massnahme 15.1.4, welche den «Datenschutz und [die] Vertraulichkeit von personenbezogenen Informationen» betrifft und im Wesentlichen vorschreibt, dass «diese gemäss den Rechtsnormen, Reglementen und allfällig anwendbaren Vertragsbestimmungen gewahrt» werden müssen.

Mit Blick auf eine Datenschutzzertifizierung von Organisationen oder Verfahren muss diese sehr generelle Massnahme natürlich genauer ausgeführt und in Zielsetzungen unterteilt werden, die ihrerseits durch konkrete Schutzmassnahmen erreicht werden können. Dies ist nun im Rahmen eines «Umsetzungsleitfadens» bzw. «Leitfadens zum Datenschutz-Management» im Anhang zu den «Richtlinien über die Mindestanforderungen an das DSMS» vorgesehen. Entsprechend dem Beispiel der OECD und anderer Länder wie Australien, Grossbritannien und Kanada haben wir «9 Datenschutzgrundsätze» als Hauptziele dieses «Leitfadens für die Umsetzung der DSMS-Richtlinien» definiert. Diese Ziele sind bisher in 20 konkrete Datenschutzmassnahmen umgesetzt worden, die in nicht abschliessender Form die wichtigsten Anforderungen aus dem Gesetz oder seiner Vollzugsverordnung aufgreifen. Für eine bessere Lesbarkeit und zum leichteren Verständnis dieses Anhangs ist jede Massnahme gemäss dem Standard ISO 27002 strukturiert, da sie dessen spezifische Ausweitung auf den Datenschutz bildet. Ebenso wie die Massnahme 15.1.4 die ISMS auf die DSMS überträgt, ist die 7. Zielsetzung «Datensicherheit» mit den damit verbundenen Massnahmen nichts anderes als der Verweis der DSMS auf die ISMS. Unter den nach ISO 27002 vorgeschlagenen 133 Sicherheitsmassnahmen wurde eine Vorauswahl der datenschutzrelevantesten Massnahmen getroffen.

Obgleich es natürlich nicht darum geht, für die Erlangung einer DSMS-Zertifizierung eine ISMS-Zertifizierung vorauszusetzen, muss der Zertifizierer dennoch den Umfang der Anerkennung einer bereits vorhandenen ISMS-Zertifizierung, namentlich betreffend die Anforderungen an die «Datensicherheit», von Fall zu Fall beurteilen und darüber entscheiden. Was dagegen die Akkreditierung durch die Schweizerische Akkreditierungsstelle (SAS) anbelangt, so wird die DSMS-Akkreditierung wahrscheinlich als eine Erweiterung der ISMS-Zertifizierung (ISO 27001) vorgesehen, da ein enger und ausdrücklicher Bezug zu den Anforderungen dieser Norm gegeben ist.

Für alle betroffenen Akteure (Akkreditierungsstellen, Zertifizierungsstellen, Zertifizierte, Prüfer, Kontrolleure, usw.) ist hervorzuheben, dass der derzeitige enge Zusammenhang mit den internationalen Normen ISO 27001 und 27002, und nicht zu vergessen den künftigen Normen 27003, 27004, 27005, 27006 und 27007, sinnvoll und vorteilhaft ist in Anbetracht ihrer weit reichenden Anerkennung und Verbreitung im Weltmarkt wie auch ihres wertvollen terminologischen, strukturellen und systematischen Beitrags.

Um die Meinungen der betroffenen Kreise einzuholen, haben wir Ende 2007 eine Vernehmlassung bei den Bundesämtern und eine externe Anhörung eröffnet. Im Allgemeinen wurden die vorgeschlagenen Richtlinien sowie der Umsetzungsanhang eher positiv aufgenommen. Im Lichte der eingegangenen Stellungnahmen arbeiten wir derzeit an einer redaktionellen Neugestaltung der Richtlinien, um ihre Transparenz und Lesbarkeit durch die Einfügung der wesentlichen Elemente aus der ISO-Norm 27001 unter gleichzeitiger Beachtung der urheberrechtlichen Einschränkungen zu verbessern. Auf diese Weise sollte der EDÖB in der Lage sein, diese Richtlinien im Laufe des Frühjahrs 2008 herauszugeben.

Letzte Änderung 30.06.2008

Zum Seitenanfang

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/15--taetigkeitsbericht-2007-2008/richtlinien-des-edoeb-fuer-die-zertifizierung-von-organisationen.html