Kriterienkatalog und Vorgehensweise für ein Zertifikat zur Auftragsdatenverarbeitung. datenschutz cert GmbH Version 1.0

Transkript

1 Kriterienkatalog und Vorgehensweise für ein Zertifikat zur Auftragsdatenverarbeitung datenschutz cert GmbH Version 1.0

2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für ein Zertifikat zur Auftragsdatenverarbeitung 1. Anforderungen an die Auftragsdatenverarbeitung 4 2. Rahmenbedingungen Gesetzliche Vorgaben für eine Auftragsdatenverarbeitung Förderung des Datenschutzes 8 3. Kriterienkatalog A.1 Zulässigkeit der Auftragsdatenverarbeitung A.2 Vertrag genügt gesetzlichen Anforderungen A.3 Zutrittskontrolle A.4 Zugangskontrolle A.5 Zugriffskontrolle A.6 Weitergabekontrolle A.7 Eingabekontrolle A.8 Auftragskontrolle A.9 Verfügbarkeitskontrolle A.10 Zwecktrennung/ Trennungsgebot A.11 Informationspflichten an den Auftraggeber A.12 Datengeheimnis und Sozialgeheimnis A.13 Betrieblicher / Behördlicher Datenschutzbeauftragte A.14 Zweckbindung und Speicherdauer Förderung des Datenschutzes insgesamt Auditierungs- und Zertifizierungsprozess Laufzeiten Erst-Zertifizierung Überwachungsaudit Re-Zertifizierung Zertifikatsliste Entzug eines Zertifikates Ablauf eines Zertifikates Kosten und Gebühren AGB 17 Seite 2

3 5. Anforderungen an einen Auditreport datenschutz cert GmbH Leitlinien Akkreditierungen Kontakt 20 Historie Version Datum geänderte Kapitel Grund der Änderung geändert durch Finalisierung nach Abnahme durch Zertifizierungsstelle IK, SM Dokumenten-Überwachungsverfahren Status: final Prozess-/Dokumentbesitzer: Dr. Karper Version: 1.0 Seite 3

4 1. Anforderungen an die Auftragsdatenverarbeitung 11 Bundesdatenschutzgesetz (BDSG) sowie zahlreiche Landes- und Spezialgesetze, wie etwa 80 des Zehnten Sozialgesetzbuches (SGB X), verpflichten Unternehmen und öffentliche Stellen zur Kontrolle von Dienstleistern, die im Auftrag personenbezogene Daten verarbeiten oder darauf zugreifen können (Auftragsdatenverarbeitung). Dabei muss sich der Auftraggeber nicht nur von der Einhaltung des Datenschutzes beim Dienstleister überzeugen, die Prüfergebnisse müssen auch nachweisbar dokumentiert werden. Immer öfter fordern Auftraggeber oder auch Aufsichtsbehörden für diesen Nachweis ein Zertifizierungs- bzw. Gütesiegelverfahren, in welchen die Fragen des Datenschutzes und der Datensicherheit von einer unabhängigen und kompetenten Prüfstelle begutachtet werden 1. Das Zertifikat soll zeigen, dass die Prüfung, die ein Auftraggeber z.b. gemäß 11 BDSG oder 80 SGB X durchführen muss, bereits durch eine unabhängige Instanz geprüft wurden. Damit kann ein Zertifikat den internen Aufwand deutlich reduzieren insbesondere dann, wenn ein Auftragnehmer für mehrere Kunden Daten im Auftrag verarbeitet. Die datenschutz cert GmbH bietet ein solches Zertifizierungsverfahren für Auftragsdatenverarbeitung an. Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO akkreditierte Zertifizierungsstelle für ISO konforme Informationssicherheits-Managementsysteme und setzt das Zertifizierungsschema auch für das Zertifikat zur Auftragsdatenverarbeitung ein. Im Nachfolgenden wird vorgestellt, wie die datenschutz cert GmbH eine Dienstleistung zur Auftragsdatenverarbeitung auditiert und zertifiziert und welche Kriterien der Prüfung zugrunde liegen. Bremen, den 27. Februar 2012 Dr. Irene Karper LLM.Eur. datenschutz cert GmbH 1 Siehe etwa hierzu die Orientierungshilfe Cloud Computing - der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder Version 1.0, Stand , abrufbar unter (Stand: 02/2012). Seite 4

5 2. Rahmenbedingungen 2.1 Gesetzliche Vorgaben für eine Auftragsdatenverarbeitung Einschlägig zur Auftragsdatenverarbeitung sind 11 Bundesdatenschutzgesetz (BDSG) und bei der Verarbeitung von Sozialdaten 80 des Zehnten Sozialgesetzbuches (SGB X) Gesetzliche Anforderungen aus 11 BDSG Die gesetzlichen Anforderungen leiten sich aus der jeweils geltenden Fassung der Norm ab. 11 BDSG lautet 2 : 11 BDSG Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. (2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. 2 Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel 1 des Gesetzes vom 14. August 2009 (BGBl. I S. 2814) geändert worden ist. Seite 5

6 (3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. (4) Für den Auftragnehmer gelten neben den 5, 9, 43 Abs. 1 Nr. 2, 10 und 11 Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie 44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für 1. a) öffentliche Stellen, b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist, die 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder, 2. die übrigen nicht öffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen, die 4 f, 4 g und 38. (5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann Gesetzliche Anforderungen aus 80 SGB X Die Anforderungen leiten sich aus der jeweils geltenden Norm ab. 80 SGB X lautet 3 : 80 SGB X Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag (1) Werden Sozialdaten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzbuches und anderer Vorschriften über den Datenschutz verantwortlich. Die in den 82 bis 84 genannten Rechte sind ihm gegenüber geltend zu machen. (2) Eine Auftragserteilung für die Erhebung, Verarbeitung oder Nutzung von Sozialdaten ist nur zulässig, wenn der Datenschutz beim Auftragnehmer nach der Art der zu erhebenden, zu verarbeitenden oder zu nutzenden Daten den Anforderungen genügt, die für den Auftraggeber gelten. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 78a zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 3 Zehntes Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz - (Artikel 1 des Gesetzes vom 18. August 1980, BGBl. I S und Artikel 1 des Gesetzes vom 4. November 1982, BGBl. I S. 1450) in der Fassung der Bekanntmachung vom 18. Januar 2001 (BGBl. I S. 130), das zuletzt durch Artikel 3 des Gesetzes vom 22. Dezember 2011 (BGBl. I S. 2983) geändert worden ist. Seite 6

7 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz von Sozialdaten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Der Auftraggeber ist verpflichtet, erforderlichenfalls Weisungen zur Ergänzung der beim Auftragnehmer vorhandenen technischen und organisatorischen Maßnahmen zu erteilen. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. Die Auftragserteilung an eine nicht-öffentliche Stelle setzt außerdem voraus, dass der Auftragnehmer dem Auftraggeber schriftlich das Recht eingeräumt hat, 1. Auskünfte bei ihm einzuholen, 2. während der Betriebs- oder Geschäftszeiten seine Grundstücke oder Geschäftsräume zu betreten und dort Besichtigungen und Prüfungen vorzunehmen und 3. geschäftliche Unterlagen sowie die gespeicherten Sozialdaten und Datenverarbeitungsprogramme einzusehen, soweit es im Rahmen des Auftrags für die Überwachung des Datenschutzes erforderlich ist. (3) Der Auftraggeber hat seiner Aufsichtsbehörde rechtzeitig vor der Auftragserteilung 1. den Auftragnehmer, die bei diesem vorhandenen technischen und organisatorischen Maßnahmen und ergänzenden Weisungen nach Absatz 2 Satz 2 und 3, 2. die Art der Daten, die im Auftrag erhoben, verarbeitet oder genutzt werden sollen, und den Kreis der Betroffenen, 3. die Aufgabe, zu deren Erfüllung die Erhebung, Verarbeitung oder Nutzung der Daten im Auftrag erfolgen soll, sowie 4. den Abschluss von etwaigen Unterauftragsverhältnissen schriftlich anzuzeigen. Wenn der Auftragnehmer eine öffentliche Stelle ist, hat er auch schriftliche Anzeige an seine Aufsichtsbehörde zu richten. (4) Der Auftragnehmer darf die zur Datenverarbeitung überlassenen Sozialdaten nicht für andere Zwecke verarbeiten oder nutzen und nicht länger speichern, als der Auftraggeber schriftlich bestimmt. (5) Die Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag durch nicht-öffentliche Stellen ist nur zulässig, wenn 1. beim Auftraggeber sonst Störungen im Betriebsablauf auftreten können oder 2. die übertragenen Arbeiten beim Auftragnehmer erheblich kostengünstiger besorgt werden können und der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfasst. Der überwiegende Teil der Speicherung des gesamten Datenbestandes muss beim Auftraggeber oder beim Auftragnehmer, der eine öffentliche Stelle ist, und die Daten zur weiteren Datenverarbeitung im Auftrag an nicht-öffentliche Auftragnehmer weitergibt, verbleiben. (6) Ist der Auftragnehmer eine in 35 des Ersten Buches genannte Stelle, gelten neben den 85 und 85a nur 4g Abs. 2, 18 Abs. 2 und die 24 bis 26 des Bundesdatenschutzgesetzes. Bei den in 35 des Ersten Buches genannten Stellen, die nicht solche des Bundes sind, treten anstelle des Bundesbeauftragten für den Da- Seite 7

8 tenschutz insoweit die Landesbeauftragten für den Datenschutz. Ihre Aufgaben und Befugnisse richten sich nach dem jeweiligen Landesrecht. Ist der Auftragnehmer eine nicht-öffentliche Stelle, kontrolliert die Einhaltung der Absätze 1 bis 5 die nach Landesrecht zuständige Aufsichtsbehörde. Bei öffentlichen Stellen der Länder, die nicht Sozialversicherungsträger oder deren Verbände sind, gelten die landesrechtlichen Vorschriften über Verzeichnisse der eingesetzten Datenverarbeitungsanlagen und Dateien. (7) Die Absätze 1, 2, 4 und 6 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf Sozialdaten nicht ausgeschlossen werden kann. Verträge über Wartungsarbeiten sind in diesem Falle rechtzeitig vor der Auftragserteilung der Aufsichtsbehörde mitzuteilen; sind Störungen im Betriebsablauf zu erwarten oder bereits eingetreten, ist der Vertrag unverzüglich mitzuteilen. 2.2 Förderung des Datenschutzes Mit dem Zertifikat für Auftragsdatenverarbeitung wird nicht nur die Rechtskonformität bescheinigt; es soll darüber hinaus auch insbesondere Kunden und den von der Verarbeitung der Daten Betroffenen zeigen, dass sie sich bei dem zertifizierten Dienstleister sicher fühlen können. Neben den genannten gesetzlichen Vorgaben muss die Auftragsdatenverarbeitung daher den Datenschutz auch insgesamt fördern können. Für eine Auditierung und Zertifizierung stehen damit auch Maßnahmen im Vordergrund, die zur Förderung des Datenschutzes beitragen (zu den Prüfkriterien vgl. Abschnitt 3. 15). Seite 8

9 3. Kriterienkatalog Die in Kapitel 2 aufgeführten Rahmenbedingungen lassen sich zu konkreten Anforderungen zusammenfassen, die den Kriterienkatalog für eine Zertifizierung der Auftragsdatenverarbeitung bilden. Die nachfolgenden Anforderungen stellen keine abschließende Checkliste dar. Vielmehr sind im Rahmen der Auditierung die getroffenen Maßnahmen zur Umsetzung der jeweiligen Anforderungen in einer Gesamtschau zu bewerten. Soweit möglich, soll auf anerkannte Standards der Informationssicherheit verwiesen werden. 3.1 A.1 Zulässigkeit der Auftragsdatenverarbeitung Ziel: Prüfung, ob eine Auftragsdatenverarbeitung, die Gegenstand dieses Audits ist, vorliegt und wenn ja ob diese Auftragsdatenverarbeitung datenschutz-rechtlich zulässig ist. Hierzu sind ggf. zwei Richtungen zu beachten: --- Einerseits die Auftragsdatenverarbeitung, die Gegenstand des Audits ist und die der Antragsteller als Auftragnehmer erbringt. --- Andererseits ist darüber hinaus auch eine kaskadierende Auftragsdatenverarbeitung zu berücksichtigen, wenn ein Auftragsdatenverarbeiter selber wiederum Auftragsdatenverarbeitung als Auftraggeber weitergibt, z.b. an Subunternehmer. 3.2 A.2 Vertrag genügt gesetzlichen Anforderungen Ziel: Prüfung, ob die Anforderungen an 11 BDSG Abs. 2 bzw. 80 SGB X Abs. 2 oder an andere einschlägige Gesetze inhaltlich in einem Vertragswerk umgesetzt sind. Hierzu sind im Nachfolgenden zwei Richtungen zu beachten: --- Die Auftragsdatenverarbeitung, die Gegenstand des vorliegenden Audits ist, die der Antragsteller als Auftragnehmer erbringt. --- Darüber hinaus ist auch eine kaskadierende Auftragsdatenverarbeitung zu berücksichtigen, wenn ein Auftragsdatenverarbeiter selber wiederum Auftragsdatenverarbeitung als Auftraggeber weitergibt. 3.3 A.3 Zutrittskontrolle Ziel: Prüfung, ob die Zutrittskontrolle umgesetzt wurde, die Gebäude und Räume fokussiert, in denen Systeme stehen, die für die Auftragsdatenverarbeitung verwendet werden. Für alle relevanten Gebäude und Räume sind Zutrittskontrollmaßnahmen wirksam umzusetzen, um den unbefugten Zutritt zu den physischen Räumlichkeiten der Datenverarbeitungsvorgänge zu verhindern. Die Norm ISO enthält in Abs. A.9 Anforderungen an physische und umgebungsbezogene Sicherheit, die sofern anwendbar zu berücksichtigen sind. 3.4 A.4 Zugangskontrolle Ziel: Prüfung, ob die Zugangskontrolle umgesetzt wurde. Sie fokussiert Systeme, die für die Auftragsdatenverarbeitung verwendet werden. Für alle Systeme sind Zugangskontrollmaßnahmen umzusetzen, die den unbefugten Zugang zu den Daten- Seite 9

10 verarbeitungssystemen verhindern, wenn die Zutrittskontrollsicherungsmaßnahmen überwunden wurden. Die Norm ISO enthält in Abs. A.10, A.11 und A.12 Anforderungen an Betriebsund Kommunikationsmanagement, Zugangskontrolle sowie kryptographische Maßnahmen, die sofern anwendbar zu berücksichtigen sind. 3.5 A.5 Zugriffskontrolle Ziel: Prüfung, ob die Zugriffskontrolle umgesetzt wurde. Sie fokussiert Anwendungen (z.b. Tools, IT-Verfahren), die für die Auftragsdatenverarbeitung verwendet werden. Für alle Anwendungen sind Zugriffskontrollmaßnahmen umzusetzen, die berechtigten Nutzern den Zugriff auf bestimmte, fest definierte Daten oder Datenbereiche erlauben. Die Norm ISO enthält in Abs. A.10 und A.11 Anforderungen an Zugriffskontrolle und Rollen-/Berechtigungskonzepte, die sofern anwendbar zu berücksichtigen sind. 3.6 A.6 Weitergabekontrolle Ziel: Prüfung der Weitergabekontrolle. Sie fokussiert personenbezogene Daten, die im Kontext der Auftragsdatenverarbeitung übermittelt/transportiert werden. Für alle relevanten Daten der Anwendungen sind Weitergabekontrollmaßnahmen zum Schutz vor unbefugtem Lesen, Kopieren, Ändern oder Entfernen sowie beim Transfer von Daten an interne wie an externe Empfänger umzusetzen. Die Norm ISO enthält in Abs. A.10, A.11 und A.12 Anforderungen an Betriebsund Kommunikationsmanagement, Zugangskontrolle sowie kryptographische Maßnahmen, die sofern anwendbar zu berücksichtigen sind. 3.7 A.7 Eingabekontrolle Ziel: Prüfung der Eingabekontrolle. Sie fokussiert personenbezogene Daten, die im Kontext der Auftragsdatenverarbeitung verarbeitet werden. Für alle relevanten Anwendungen sind Eingabekontrollmaßnahmen umzusetzen, die eine nachträgliche Überprüfung ermöglichen, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben oder verändert wurden. Die Norm ISO enthält in Abs. A Anforderungen an das Monitoring, die sofern anwendbar zu berücksichtigen sind. 3.8 A.8 Auftragskontrolle Ziel: Prüfung der Auftragskontrolle. Sie fokussiert personenbezogene Daten, die im Auftrag entsprechend den Weisungen des Auftraggebers verarbeitet werden dürfen. Die Auftragskontrolle wirkt in zwei Richtungen: --- Die Auftragsdatenverarbeitung, die Gegenstand des Audits ist, muss diese Anforderung umsetzen. --- Darüber hinaus ist auch eine kaskadierende Auftragsdatenverarbeitung möglich, wenn ein Auftragsdatenverarbeiter selber wiederum Auftragsdatenverarbeitung als Auftraggeber weitergibt. Seite 10

11 Die rechtlichen Implikationen wurden dazu bereits beleuchtet: --- zur Weisungsbefugnis wurden die rechtlichen Anforderungen aus 11 Abs. 2 Nr. 9 BDSG in A.2 thematisiert; --- zur kaskadierenden Auftragsdatenverarbeitung wurden die rechtlichen Anforderungen aus 11 Abs. 2 Nr. 6 BDSG in A.2 thematisiert. 3.9 A.9 Verfügbarkeitskontrolle Ziel: Prüfung der Verfügbarkeitskontrolle. Sie fokussiert personenbezogene Daten, die im Kontext der Auftragsdatenverarbeitung verarbeitet werden sowie die Verfahren/Dienstleistungen als solches. Für alle relevanten Verfahren/Dienstleistungen sind Verfügbarkeitskontrollmaßnahmen umzusetzen, um einem Verlust der Daten entgegenzuwirken. Die Norm ISO enthält in Abs. A.9 und A.10 Anforderungen an Notfallszenarien und Backups, die sofern anwendbar zu berücksichtigen sind A.10 Zwecktrennung/ Trennungsgebot Ziel: Prüfung der Maßnahmen zur Zwecktrennung/zur Umsetzung des Trennungsgebotes. Sie fokussiert darauf, dass die ggf. zu unterschiedlichen Zwecken erhobenen personenbezogenen Daten auch getrennt verarbeitet werden. Für alle relevanten Verfahren/Dienstleistungen ist sicherzustellen, dass Benutzer nur auf die für sie benötigten Daten zugreifen können. Die Norm ISO enthält in Abs. A.10.1 Anforderungen an Separation of Duties, die sofern anwendbar zu berücksichtigen sind A.11 Informationspflichten an den Auftraggeber Ziel: Prüfung der Informationspflichten an den Auftraggeber. Dies fokussiert sich darauf, den Auftraggeber zu informieren über --- Verstöße des Auftragnehmers durch die bei ihm beschäftigten Personen --- gegen Vorschriften zum Schutz personenbezogener Daten --- oder gegen die im Auftrag getroffenen Festlegungen. Darüber hinaus ist der Auftragnehmer verpflichtet, den Auftraggeber unverzüglich darauf hinzuweisen, sofern er der Ansicht ist, dass eine Weisung des Auftraggebers gegen das BDSG oder andere Vorschriften über den Datenschutz verstößt. Der Auftraggeber ist über Verstöße zu informieren A.12 Datengeheimnis und Sozialgeheimnis Ziel: Prüfung, ob die mit der Datenverarbeitung beschäftigte Personen auf das Datengeheimnis oder sonstige einschlägige Geheimhaltungspflichten (z.b. Sozialgeheimnis) verpflichtet wurden. Die Norm ISO enthält in Abs. A.8 Anforderungen an Verpflichtung von Mitarbeitern sowie Schulung und Sensibilisierung, die sofern anwendbar zu berücksichtigen sind. Seite 11

12 3.13 A.13 Betrieblicher / Behördlicher Datenschutzbeauftragte Ziel: Prüfung, ob ein Beauftragter für den Datenschutz (betrieblicher/behördlicher Datenschutzbeauftragter bdsb) gemäß den gesetzlichen Bestimmungen ( 4f und 4g BDSG i.v.m. 11 Abs. 4 BDSG) bestellt wurde und dieser die gesetzlichen Aufgaben erfüllen kann. Hierbei sind nicht nur die gesetzlichen Anforderungen an den bdsb zu prüfen, sondern auch beispielhaft dessen Prüfungsergebnisse (z.b. Dokumentation über Vorabkontrollen). Ferner ist zu prüfen, ob der bdsb ein Verfahrensregister führt, das den gesetzlichen Anforderungen genügt A.14 Zweckbindung und Speicherdauer Ziel: Prüfung, ob der Auftragnehmer bei Verarbeitung von Sozialdaten gemäß 80 Abs. 4 SGB X die Zweckgebundenheit der Sozialdatenverarbeitung und die jeweils geltende Speicherdauer einhalten kann Förderung des Datenschutzes insgesamt Ziel: Der im Audit untersuchte Gegenstand der Auftragsdatenverarbeitung muss insgesamt auch geeignet sein, den Datenschutz zu fördern. Dies kann auf vielfältige Weise bewerkstelligt werden, z.b. durch --- Einsatz besonderer Tools oder Systeme --- ein nachhaltiges Beschwerdemanagement --- ein nachhaltiges Datenschutzmanagement, das über den Untersuchungsgegenstand hinaus vorbildlich ist --- die Umsetzung von Maßnahmen, die über die gesetzlich geforderten Inhalte hinausgehen und vorbildlich in Sachen Datenschutz oder IT-Sicherheit sind --- anderweitige, anerkannte Auditierungen oder Zertifizierungen, die den Untersuchungsgegenstand betreffen. Seite 12

13 4. Auditierungs- und Zertifizierungsprozess In diesem Abschnitt wird vorgestellt, wie die datenschutz cert GmbH eine Dienstleistung zur Auftragsdatenverarbeitung auditiert und zertifiziert. Dabei wird ein zwei-stufiges Zertifizierungsverfahren eingesetzt: --- Der bei der datenschutz cert GmbH lizenzierte Auditor prüft die Konformität gegen 11 BDSG und erstellt einen Auditreport. --- Die Zertifizierungsstelle prüft den Auditreport, insbesondere um eine Vergleichbarkeit zwischen den Audits sicherstellen zu können. 4.1 Laufzeiten Jedes Zertifizierungsverfahren besteht aus folgenden Phasen: --- Erst-Zertifizierung; Überwachungsaudit (1 Jahr nach Erst-Zertifizierung); Überwachungsaudit (2 Jahre nach Erst-Zertifizierung); --- Re-Zertifizierung (3 Jahre nach Erst-Zertifizierung). Nachfolgend ist in Abbildung 1 der Lebenszyklus eines Zertifikates dargestellt. Lebenszyklus eines Zertifikates zur AuftragsDV Erst-Zertifizierung Auditierung --- Vorbereitung --- Preaudit --- Audit --- ausführlicher Report Zertifizierung --- Zertifizierungstätigkeit --- Ausstellung Zertifikat --- Übergabe des Zertifikats --- Listung im Internet --- über gesamte Laufzeit Laufzeit des Zertifikates: i.d.r. 3 Jahre 1. Überwachungsaudit 2. Überwachungsaudit nach 1 Jahr nach 2 Jahren Re-Zertifizierung Auditierung Zertifizierung Abbildung 1: Lebenszyklus eines Zertifikates zur Auftragsdatenverarbeitung Seite 13

14 4.2 Erst-Zertifizierung Auditierung Die von der datenschutz cert GmbH lizenzierten Auditoren prüfen den gesamten Prozess der Auftragsdatenverarbeitung von der Vertragsgestaltung, über die Dokumentenprüfung bis hin zur Kontrolle der technisch-organisatorischen Sicherheitsmaßnahmen vor Ort. In der Regel werden dazu zunächst in einer Vorab-Prüfung (Preaudit) erste Ergebnisse auf dem Weg zu einem Zertifikat und ggf. notwendige Verbesserungen vom Auditor identifiziert, bevor das finale Audit erfolgt. Sodann stellt der Auditor einen Anforderungskatalog zusammen. Neben den hier genannten Anforderungen A1-A14 sind dabei grundsätzlich auch anerkannte Kriterienwerke zu nutzen (z.b. die Datenschutzauditverordnung Schleswig-Holstein oder ISO 27001). Der Auditor prüft und bewertet anschließend den Untersuchungsgegenstand sowie die Datenschutz-fördernden Maßnahmen anhand der Anforderungen an die Auftragsdatenverarbeitung. Das Audit besteht immer aus einer Informations-/Dokumentenprüfung sowie einem Site Visit vor Ort am Standort der Auftragsdatenverarbeitung. Die Ergebnisse werden in einem aussagekräftigen Audit-Report dokumentiert und der Zertifizierungsstelle vorgelegt. Der Report dient zugleich als Nachweis der gesetzlich geforderten Kontrolle. Kommt der Auditor zu dem Ergebnis, dass alle Anforderungen eingehalten werden, empfiehlt er die Zertifizierung. Der Auditor kann dem Antragsteller im Zuge der Auditierung Gelegenheit zur Nachbesserung bzw. Anpassung geben. Für die Behebung von Mängeln oder Erfüllung von Auflagen sowie für die Vorlage notwendiger Informationen vereinbaren Auditor und Antragsteller grundsätzlich eine angemessene, verbindliche Frist Zertifizierung Die Zertifizierungsstelle prüft den Auditreport auf Schlüssigkeit. Dabei ist sie nicht an die Empfehlung des Auditors gebunden. Auf Grundlage des Auditreports sowie der hier genannten Zertifizierungsanforderungen trifft die Zertifizierungsstelle die Entscheidung, ob Ihre Dienstleistung konform zu den gesetzlichen Anforderungen betrieben wird und den Datenschutz fördert. Ist dem so, erteilt sie ein Zertifikat in Form einer Urkunde. Liegt der Zertifizierungsstelle bereits ein Auditbericht vor und erfüllt dieser nicht die hier aufgeführten Anforderungen oder ergeben sich Rückfragen bzgl. des Untersuchungsgegenstandes oder der Auditierung oder Bewertung, setzt die Zertifizierungsstelle dem Auditor oder dem Antragsteller eine angemessene Frist zur Behebung bzw. vollständigen Beantwortung. Sind innerhalb eines Zeitraumes von maximal 4 Wochen die erforderlichen Anpassungen nicht vorgenommen worden oder werden die für die Zertifizierung erforderlichen Informationen nicht zur Verfügung gestellt, wird der Zertifizierungsvorgang ohne die Vergabe des Zertifikats mit einem Ablehnungsbescheid unter Angabe von Gründen abgeschlossen. In begründeten Ausnahmefällen kann mit Zustimmung des Auditors und der Zertifizierungsstelle ein längerer Zeitraum vereinbart werden. Seite 14

15 Das Zertifikat gilt für einen Zeitraum von 3 Jahren ab Zertifizierungsentscheidung, es sei denn, es liegen die weiter unten genannten Gründe für einen Entzug des Zertifikates vor. 4.3 Überwachungsaudit Nach Erteilung des Zertifikats ist jährlich durch einen lizenzierten Auditor ein Überwachungsaudit durchzuführen, das die Konformität der Auftragsdatenverarbeitung und Gültigkeit des Zertifikates bestätigt. Ein Überwachungsaudit ist darüber hinaus auch in einem kürzeren Zeitraum erforderlich, wenn --- der zertifizierte Untersuchungsgegenstand derart umgestaltet wird, dass die Anforderungen offensichtlich nicht (mehr) erfüllt werden oder der Untersuchungsgegenstand offensichtlich nicht mehr rechtskonform ist, --- in den zertifizierten Untersuchungsgegenstand Funktionen, Verfahren, Systeme oder sonstige Veränderungen aufgenommen oder ergänzt werden, die eine bislang unberücksichtigte Verarbeitung personenbezogener Daten beinhalten, --- datenschutzrelevante Prüfinhalte aus dem zertifizierten Untersuchungsgegenstand entfernt werden, --- der Antragsteller umfirmiert ist oder den Standort gewechselt hat. Dadurch wird sichergestellt, dass relevante zwischenzeitliche Veränderungen Berücksichtigung finden. Der Antragsteller ist verpflichtet, dem Auditor Änderungen im o.g. Sinne mitzuteilen. Gelangt der Auditor im Rahmen der Überwachungsaudits zum Ergebnis, dass die für eine erfolgreiche Auditierung und Zertifizierung erforderlichen Voraussetzungen fehlen, teilt er dies dem Antragsteller und der Zertifizierungsstelle mit. Die Zertifizierungsstelle entzieht dann das Zertifikat vor Ablauf der Gültigkeit vorläufig, so dass der Antragsteller das Logo und alle Verweise auf eine Zertifizierung bis zur Beseitigung der aufgefunden Mängel nicht führen darf. Der Auditor setzt für die Behebung der Mängel eine angemessene Frist, die in der Regel nicht mehr als 3 Monate beträgt und informiert die Zertifizierungsstelle. Stellt er nach Ablauf der Frist fest, dass die Mängel nicht behoben wurden, wird das Zertifikat durch die Zertifizierungsstelle entzogen. Das Ergebnis des Überwachungsaudits wird dokumentiert und der Zertifizierungsstelle vorgelegt, die über die Gültigkeit der Zertifizierung entscheidet. Die Entscheidung wird dem Antragsteller oder Auditor mitgeteilt. 4.4 Re-Zertifizierung Nach Ablauf des (i.d.r.) drei Jahre gültigen Zertifikats kann ein Re- Zertifizierungsaudit durchgeführt werden, dass sich im Wesentlichen an der Erst- Zertifizierung orientiert und die kontinuierliche Wirksamkeit feststellen soll. Hierbei kann sich die Auditierung auf die veränderten Bereiche konzentrieren. Seite 15

16 4.5 Zertifikatsliste Eine Liste unserer erteilten Zertifizierungen kann abgerufen werden unter: Aus der Liste sind der Antragsteller, der Geltungsbereich, die Zertifikats-ID sowie die Gültigkeit der Zertifizierung ersichtlich. 4.6 Entzug eines Zertifikates Das Zertifikat wird entzogen, wenn der Antragsteller nachhaltig gegen die Zertifizierungsvoraussetzungen verstößt. Ein solcher Verstoß liegt insbesondere vor, wenn --- der zertifizierte Untersuchungsgegenstand in der beschriebenen Weise verändert wurde und der Anbieter keine Prüfung ermöglicht --- im Rahmen der Prüfung nicht die für die Vergabe des Zertifikats erforderlichen Voraussetzungen erfüllt werden, --- der Antragsteller aufgrund drohender oder eingetretener Insolvenz einen zuverlässigen Geschäftsbetrieb nicht mehr aufrechterhalten kann --- die Zertifizierungskosten nicht spätestens innerhalb von 4 Wochen nach Abschluss der Zertifizierung gegenüber der Zertifizierungsstelle beglichen werden. Die Zertifizierungsstelle teilt dem Antragsteller die Gründe des Zertifikatsentzugs mit. Im Falle des Entzuges wird das über die Zertifikatsliste online unter veröffentlichte Zertifikat auf den Status als entzogen gesetzt und spätestens nach 4 Wochen aus der Liste entfernt. Der Entzug des Zertifikates kann auch anderweitig veröffentlicht werden. 4.7 Ablauf eines Zertifikates Soweit das Zertifikat nach Ablauf der Gültigkeit entfällt, hat der Anbieter dafür zu sorgen, dass das Logo und sämtliche Hinweise auf eine gültige Zertifizierung aus den genutzten Medien unverzüglich entfernt werden. 4.8 Kosten und Gebühren Kosten fallen einerseits für die Auditierung, andererseits für die Zertifizierung an. Das Honorar für die Durchführung des Audits und des Überwachungsaudits ist i.d.r. abhängig von der Komplexität des Auditgegenstands und wird zwischen dem Auditor und dem Antragsteller individuell vereinbart und abgerechnet. Die datenschutz cert GmbH kann ein Gesamtangebot für eine Auditierung und Zertifizierung abgeben, sofern ein eingesetzter Auditor bei ihr angestellt ist. Die für die Zertifizierung anfallenden Kosten begleichen den gesamten Zertifizierungsvorgang (Prüfung des Audit-Reports, Korrespondenz, Zertifikatsverwaltung sowie bei Zertifikatsvergabe - die Nutzungsrechte). Die Kosten fallen an, sobald ein Antrag auf Zertifizierung oder der Audit-Report bei der Zertifizierungsstelle eingegangen ist. Erteilt die Zertifizierungsstelle einen Ablehnungsbescheid, werden die Kosten anteilig berechnet. Die Höhe der Zertifizierungskosten richtet sich nach der Komplexität des Prüfaufwands. Dieser bestimmt sich u.a. nach den Funktionen des Untersuchungsgegen- Seite 16

17 stands, dem Umfang der Datenverarbeitung, der Umgebung für das Datenschutzmanagement, den vorgelegten Informationen und dem Umfang der Korrespondenz aller Beteiligten. Auf Wunsch kann die Zertifizierungsstelle vor Antragstellung eine kostenlose Einschätzung der Zertifizierungskosten erstellen. 4.9 AGB Im Übrigen sind die Allgemeinen Geschäftsbedingungen der datenschutz cert GmbH zu beachten, die unter abgerufen werden können. Seite 17

18 5. Anforderungen an einen Auditreport Ein Auditreport zur Vorlage bei der Zertifizierungsstelle muss inhaltlich mindestens zu folgenden Aspekten Stellung beziehen: --- Organisatorische und formale Angaben zum Audit: --- das mit der Auditierung angestrebte Zertifikat (z.b. Zertifizierung der Auftragsdatenverarbeitung nach 11 BDSG ); --- Untersuchte Organisation, Name, Anschrift, Standort; --- genaue Bezeichnung des Untersuchungsgegenstands, Abgrenzung zu den nicht auditierten Bereichen; --- Auditoren (Recht/Technik), Name, Anschrift; --- Zeitraum der Auditierung; --- Angewandte Methodik: --- z.b. Prüfung von Dokumenten des Auftraggebers, Führung von Mitarbeitergesprächen, Durchführung von Stichproben vor Ort (Site Visit) oder Plausibilitätstests; --- Grundlagen der Auditierung: --- eingesehene Dokumente; --- befragte Abteilungen/Arbeitsbereiche/Unternehmensorgane; --- Gegenstand der Stichproben; --- Ortsbesichtigung, Standort, Adresse, Dauer, Teilnehmer; --- Erklärung der Auditoren zur Unabhängigkeit und Unparteilichkeit; --- Kurzdarstellung des Untersuchungsgegenstands; --- Zusammenstellung des für den konkreten Auditgegenstand anwendbaren Prüfkriterien/Anforderungen; --- Auditergebnisse: --- Prüfung und Bewertung aller Prüfpunkte des Kriterienkatalogs; --- Votum des Auditors mit: --- Zusammenfassung der Auditergebnisse / Management Summary; --- Vorschlag an die Zertifizierungsstelle. Seite 18

19 6. datenschutz cert GmbH Die datenschutz cert GmbH bietet Konformitätsbewertungen auf dem Gebiet des Datenschutzes und der Informationssicherheit an. Diese Konformitätsbewertungen schließen sowohl Prüfaktivitäten als auch Zertifizierungstätigkeiten ein einerseits für IT-Systeme und -Produkte und andererseits für Verfahren und Managementprozesse. Die datenschutz cert GmbH ist ein Unternehmen der datenschutz nord-gruppe. Sitz der Gesellschaft ist Bremen. Geschäftsführer ist Dr. Sönke Maseberg. 6.1 Leitlinien Die datenschutz cert GmbH bietet Konformitätsbewertungen unter folgenden grundsätzlichen Leitlinien an: Unabhängigkeit und Unparteilichkeit Wir sind unabhängig und unparteilich. Es gilt das übergeordnete Interesse und die vorrangige Pflicht, Auditierungen, Evaluierungen, Zertifizierungen und Bestätigungen entsprechend den Vorgaben frei von internen und externen kommerziellen, finanziellen und sonstigen Zwängen durchzuführen. Maßstab ist das jeweilige Kriterienwerk. Zudem führen wir keinerlei Beratung durch. Wir haben einen "Ausschuss zur Sicherstellung der Unparteilichkeit der datenschutz cert GmbH" (Ausschuss) etabliert, mit dem die grundsätzlichen Regelungen zur Unabhängigkeit und Unparteilichkeit der Zertifizierungstätigkeiten diskutiert und durchgeführte Zertifizierungsprozesse auf ihre Unabhängigkeit hin überprüft werden. Zur Gewährleistung der Unabhängigkeit und Unparteilichkeit unserer erteilten Zertifikate setzen wir für den Auditierungs- und Zertifizierungsprozess darüber hinaus regelmäßig externe Fachbegutachter ein Vertraulichkeit Wir sichern Ihnen Vertraulichkeit zu Offenheit und Transparenz Wir sind offen und transparent hinsichtlich unser Tätigkeiten, d.h. --- wir kommunizieren klar und unmissverständlich, was und nach welchen Regeln geprüft und zertifizieren wird; --- unsere Zertifikate und Auditreports sind klar und verständlich formuliert; --- wir veröffentlichen die zugrundeliegenden Regelwerke - sofern nicht durch Copyright geschützt -; --- wir benennen klar, wofür wir akkreditiert sind; --- wir lassen uns selber regelmäßig auditieren; --- wir sind offen für alle Anfragen und Beschwerden: Wenn Sie Fragen zu einem von uns erteilten Zertifikat haben oder potentiell den Missbrauch eines Zertifikats vermuten: Bitte sprechen Sie uns an. Wir sichern Ihnen Ver- Seite 19

20 traulichkeit zu und gehen der Sache nach. Wir informieren Sie über den Stand der Untersuchung sowie den Abschluss Datenschutz Wir kommen aus dem Datenschutz. Jede Art von Konformitätsprüfung wird - im Rahmen des jeweiligen Untersuchungsgegenstands - unter den besonderen Aspekten des Datenschutzes beleuchtet. Dadurch stellen wir sicher, dass die von uns geprüften und bewerteten IT-Produkte und -Systeme den Anforderungen des Datenschutzes genügen. Unser Anspruch ist, dass sich "datenschutz certifizierte" Produkte und Prozesse etablieren und für unsere Kunden einen Mehrwert zu einem besseren Datenschutz darstellen und dass unser Zertifikat eine entsprechende Anerkennung genießt. 6.2 Akkreditierungen Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO akkreditierte Zertifizierungsstelle für ISO konforme Informationssicherheits-Managementsysteme und setzt das Zertifizierungsschema auch für das Zertifikat zur Auftragsdatenverarbeitung ein. Die datenschutz cert GmbH ist als Prüfstelle für IT-Sicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) akkreditiert und ist danach berechtigt, Evaluierungen gemäß Common Criteria (CC) durchzuführen. Die datenschutz cert GmbH ist darüber hinaus als Gutachter des Unabhängigen Landeszentrums für Datenschutz (ULD) Schleswig-Holstein akkreditiert. Die Akkreditierung gilt sowohl für den Bereich Technik als auch für den Bereich Recht. Die datenschutz cert GmbH ist bei der Bundesnetzagentur anerkannte Prüf- und Bestätigungsstelle gemäß Signaturgesetz. Die datenschutz cert GmbH beschäftigt beim BSI lizenzierte IT-Grundschutz-/ ISO Auditoren. 6.3 Kontakt datenschutz cert GmbH Konsul-Smidt-Str. 88a Bremen Tel.: Fax: office@datenschutz-cert.de Internet: Seite 20