Erläuterungen zu den «Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem (DSMS)»



Ähnliche Dokumente
Richtlinien über die Mindestanforderungen an ein Datenschutzmanagementsystem (DSMS)

Verordnung über die Datenschutzzertifizierungen

«Zertifizierter» Datenschutz

GPP Projekte gemeinsam zum Erfolg führen

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Big Data Was ist erlaubt - wo liegen die Grenzen?

Gleichwertigkeitsanerkennung nach Art. 119b AVIV

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Nutzung dieser Internetseite

D i e n s t e D r i t t e r a u f We b s i t e s

EU-Verordnung Nr. 1907/2006 (REACH)

Verordnung über Investitionshilfe für Berggebiete

Internet- und - Überwachung am Arbeitsplatz

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

LGA InterCert GmbH Nürnberg. Exzellente Patientenschulung. (c) Fachreferent Gesundheitswesen Martin Ossenbrink

Information zum Prüfungswesen Geprüfte(r) Logistikmeister(in) Handlungsspezifische Qualifikationen

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag

Checkliste «Datenbekanntgabe»

Zulassung nach MID (Measurement Instruments Directive)

Mittagsinfo zum Thema

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Datenschutz-Politik der MS Direct AG

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Information zur Revision der ISO Sehr geehrte Damen und Herren,

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April Dr. Oliver Staffelbach, LL.M.

Patientenmobilität an der schweizerischen Grenze

Anleitung für Kunden zum Umgang mit verschlüsselten s von der LASA Brandenburg GmbH

Die Gesellschaftsformen

nach 20 SGB IX" ( 3 der Vereinbarung zum internen Qualitätsmanagement nach 20 Abs. 2a SGB IX).

Risikomanagement Gesetzlicher Rahmen SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Elektronische Signaturen in der Schweiz. The Business Designers The Technology Designers

Dieter Brunner ISO in der betrieblichen Praxis

Änderung der ISO/IEC Anpassung an ISO 9001: 2000


Ideation-Day Fit für Innovation

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

ISMS Teil 3 Der Startschuss

Lernaufgabe Industriekauffrau/Industriekaufmann Angebot und Auftrag: Arbeitsblatt I Auftragsbeschreibung

Was beinhaltet ein Qualitätsmanagementsystem (QM- System)?

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

BSV Ludwigsburg Erstellung einer neuen Internetseite

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Über den Link erreichen Sie unsere Einstiegsseite:

L e i t f a d e n / F r a g e b o g e n für das Mitarbeiter/innen- Gespräch

Projekte für reale Herausforderungen Projektarbeit: Einleitung und Gliederung. Projekte für reale Herausforderungen

Einleitende Bemerkungen

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

TÜV SÜD- geprüfte Kundenzufriedenheit

Verordnung über Medizinprodukte (Medizinprodukte-Verordnung - MPV)

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Zertifizierungsvorgaben zur ISO/TS 16949:2002 Regeln für die Anerkennung durch die IATF - 3. Ausgabe Häufig gestellte Fragen (FAQs)

Die Post hat eine Umfrage gemacht

DAS VGB REFERENCE DESIGNATION SYSTEM FOR POWER PLANTS RDS-PP

Fragebogen: Abschlussbefragung

Projektmanagement in der Spieleentwicklung

Kirchlicher Datenschutz

Reglement Mediator SAV / Mediatorin SAV

Technische Aspekte der ISO-27001

Information zum Prüfungswesen Geprüfte(r) Industriemeister(in) - Fachrichtung Metall / Elektrotechnik Handlungsspezifische Qualifikationen

Die integrierte Zeiterfassung. Das innovative Softwarekonzept

Newsletter: Februar 2016

Kathodischer Korrosionsschutz Qualifikationsgrade und Zertifizierung von für den kathodischen Korrosionsschutz geschultem Personal

Finanzierung für den Mittelstand. Leitbild. der Abbildung schankz

Mitarbeitergespräch. Gesprächsleitfaden. Mitarbeiter/Mitarbeiterin. Führungskraft: Datum: Name: Vorname: Abteilung, Bereich, Organisationseinheit:

KitaStar 2015 Kita forscht!

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

Kanton St.Gallen Amt für Soziales Adoptiv- und Pflegekinder

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

Gedanken zu: Wildbäche und Murgänge eine Herausforderung für Praxis und Forschung

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Es gilt das gesprochene Wort. Anrede

Juni 2012 Richtlinien betreffend Mindestanforderungen bei Hypothekarfinanzierungen

Richtlinien bezüglich des Verfahrens bei Einstellung der Geschäftstätigkeit einer anerkannten CSP

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Dieses erste Kreisdiagramm, bezieht sich auf das gesamte Testergebnis der kompletten 182 getesteten Personen. Ergebnis

(beschlossen in der Sitzung des Fachsenats für Unternehmensrecht und Revision am 1. Dezember 2010 als Fachgutachten KFS/VU 2) Inhaltsverzeichnis

Professionelle Seminare im Bereich MS-Office

Bundesanstalt für Straßenwesen V4z - lf (ANERK)

Informationssicherheit als Outsourcing Kandidat

ECCCO Contact Centre Certification

Datenschutz bei kleinräumigen Auswertungen Anforderungen und Grenzwerte 6. Dresdner Flächennutzungssymposium. Sven Hermerschmidt, BfDI

Der Schutz von Patientendaten

Was bedeutet Inklusion für Geschwisterkinder? Ein Meinungsbild. Irene von Drigalski Geschäftsführerin Novartis Stiftung FamilienBande.

Benutzerhandbuch MedHQ-App

Mitarbeiterbefragung zur Führungsqualität und Mitarbeitermotivation in Ihrem Betrieb

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

das usa team Ziegenberger Weg Ober-Mörlen Tel Fax: mail: lohoff@dasusateam.de web:

Erstellen einer in OWA (Outlook Web App)

Fragen und Antworten

Anlage 1 zur Arbeitshilfe zur Hilfe zur Pflege nach 61 SGB XII in Tagespflegeeinrichtungen. Berechnungsbeispiele zu Ziffer Stand

Das Konzept der 360 Grad Echos

Personalentwicklung im Berliner Mittelstand. Darstellung der Studienergebnisse Berlin,

Transkript:

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB Erläuterungen zu den «Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem (DSMS)» Die «Richtlinien betreffend die Mindestanforderungen an das Datenschutzmanagementsystem» führen Art. 4 Abs. 3 der Verordnung über die Datenschutzzertifizierungen (VDSZ; SR 235.13) aus. Die erwähnte Delegationsnorm von Art. 4 Abs. 3 VDSZ hält fest, dass beim Erlass der Richtlinien internationale Normen und Standards für die Errichtung, den Betrieb, die Überwachung und die Verbesserung von Managementsystemen insbesondere die Normen ISO 9001:2000 und 27001:2005 zu berücksichtigen sind. Mit diesen Vorgaben, und um ein von den Spezialisten bereits bekanntes und benutztes Instrument zur Verfügung zu stellen, hat sich der EDÖB bei der Erstellung seiner Richtlinien an die Anforderungen an Managementsysteme im Allgemeinen angelehnt. Gleichzeitig wurde sichergestellt, dass das Schwergewicht auf die Datenschutz-Aspekte gelegt wurde. Nachfolgende Darstellung dient dazu, die DSMS-Richtlinien im Kontext der schweizerischen Rechtsordnung mit Hinweisen auf die europäische Datenschutzgesetzgebung dazustellen, sowie die Parallelen zu den entsprechenden ISO-Normen aufzuzeigen. Der Einfachheit halber wurden darin die «Richtlinien darüber, welche datenschutzspezifischen Kriterien im Rahmen der Zertifizierung eines Produkts mindestens zu prüfen sind», die der EDÖB bis spätestens am 1. Januar 2010 zu erlassen hat, weggelassen: Feldeggweg 1, 3003 Bern Tel. 031 322 43 95, Fax 031 325 99 96 www.edoeb.admin.ch

BV: SR 101 (Art. 13 Abs. 2: Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.) DSG: SR 235.1 (Art. 7: Datensicherheit) AEMR/EMRK (Art. 12/8) : 1948/1950 Übereink. STE 108/EG: 28.01.1981 Richtlinie 95/46/EG (Art. 6) : 24.10.1995 Zusatzprot. STE 181/EG: 08.11.2001 Richtlinie 2002/58/EG: 12.07.2002 OECD: 8 privacy principles (23.09.1980) UK/DPA: 8 data prot. principles (1988) Canada: 10 PIPEDA principles (2001) GPS: 10 privacy principles (2005) CH/DSG: 9 allg. Prinzipien (2008) VDSG: SR 235.11 (Art. 8-12, 20-23: tech. & org. Massn.) BJ VDSZ: SR 235.13 (Art. 4: Zert von Org.; Art. 5: Zert. von Prod.) DS Anh. 1: Anforderungen an die Qualifikation des Personals ISO/IEC-Guides 62/66 -> ISO/DIS 17021 ISO/IEC-Guide 65 (Produkte / Systeme!) EDÖB Richtlinien über die Mindestanforderungen an das DSMS (Zertifizierung von Organisationen) MS ISO/IEC 27001:2005 «ISMS»: Zertifizierungsanforderungen (4.2.1g: Auswahl der Kontrollen!) SAS Konformitätsanalyse Leitfaden DS-Management 9 Ziele, 20 Massnahmen (7.x: Datensicherheit) Ext. Risikoanalyse ISO/IEC 27002:2007 «CoP» : 11 GS, 39 Ziele, 133 Massn. (15.1.4: DS und Vertraulichkeit!) ISO Richtilinien über die Mindestanforderungen an die Zertifizierung von Produkten (bis spätestens am 01.01.2010) ISO/IEC 15408-x:2005 «CC» : Common Criteria for ITsec evaluation (V3.1=> CEM)? http://www.european-privacy-seal.eu/ EuroPriSe Criteria Catalogue V0.3 (for IT products or IT-based services) 2/5

In einem ersten Schritt wurden somit die allgemeinen Anforderungen an Managementsysteme aus ISO 27001 übernommen. Diese stammen ihrerseits von den Hauptanforderungen von ISO 9001, wie dies aus dem informativen Anhang C von ISO 27001 hervorgeht. Um in den Richtlinien den Schwerpunkt Datenschutz zu erreichen, wurde allgemein die Risikoanalyse gemäss ISO durch die Einführung einer (Nicht-)Konformitätsanalyse ergänzt und spezifisch bestimmte ISO-27001-Klauseln, die den Aufbau und die Dokumentation des DSMS betreffen, speziell auslegt. Die Hauptschwierigkeit bestand wie erwähnt darin, den Akzent mehr auf den Datenschutz als allein auf die Informationssicherheit zu setzen. Im Bundesgesetz über den Datenschutz (DSG; SR 235.1) regelt Art. 7 die Datensicherheit. Gestützt auf diesen Artikel kann man den Datenschutz als globales Ziel betrachten, das durch Ausdehnung das Ziel der in ISO 27001 verfolgten Datensicherheit abdeckt. Die Richtlinien sollen dazu dienen, ein Datenschutzmanagementsystem zu erstellen, das unter anderem folgende Elemente enthält: eine Politik des DSMS, eine Auswahl von Massnahmen für die Behandlung von Nichtkonformitäten, eine Anwendbarkeitserklärung der umgesetzten Massnahmen mit einer Begründung derjenigen, die ausgeschlossen wurden, ein Behandlungsplan der Nichtkonformitäten, eine Überprüfung/Nachprüfung der Datenschutz-Verletzungen oder Zwischenfälle, und die Korrektur- oder Vorbeugungsmassnahmen zur Verbesserung des DSMS. Eine weitere Schwierigkeit bestand in der Tatsache, dass beim ISMS das Risikomanagement den Ausgangspunkt bildet. Ein solches Risikomanagement mag sich gut für die beim ISMS vorgesehenen freiwilligen Informationssicherheitsziele eignen, allerdings trifft dies gar nicht auf die gesetzlichen Datenschutzvoraussetzungen zu. Denn entweder ist etwas datenschutzkonform oder nicht. Aus diesem Grund drängte es sich auf, neben dem Risikomanagement ein Konformitätsmanagement aufzunehmen, wobei ersteres im Zusammenhang mit der Datensicherheit bestehen bleibt (vgl. Prinzip/Ziel/Artikel 7). Konkret gestaltet sich die Methode für eine Beurteilung der Nichtkonformität wie folgt: Zunächst erfolgt eine Analyse der Nichtkonformität (Identifizierung der Ursachen und Einschätzung der Nichtkonformität), die in eine Bewertung der Nichtkonformität mündet. Letztere basiert in der Regel auf einer Skala mit folgenden zwei Werten: leichte oder erhebliche Nichtkonformität. Wir kommen dann zur Behandlung der Nichtkonformitäten, zwar zu ihrer Beseitigung durch angemessene Massnahmen oder zu ihrer Vermeidung beispielsweise durch Verzicht auf die entsprechende Bearbeitung. Im Gegensatz zur Risikoanalyse kann eine Nichtkonformität weder übertragen noch akzeptiert (keinerlei restliche Nicht-Konformität) werden. 3/5

In einem zweiten Schritt ging es darum, den normativen Anhang A von ISO 27001 zu übernehmen, der im Grunde genommen aus dem Inhaltsverzeichnis der Norm ISO/IEC 27002:2005 besteht (bekannter unter dem Namen «Leitfaden zum Management von Informationssicherheit»). Letztere setzt sich aus 15 Kapiteln zusammen, wovon die 11 letzten die «Kontrollgruppen» bilden, die ihrerseits in 39 «Kontrollziele» unterteilt sind und zu insgesamt 133 «Kontrollmassnahmen» führen. Der Schwerpunkt Datenschutz in ISO ergibt sich einzig aus der Massnahme 15.1.4, die den «Datenschutz und Vertraulichkeit von personenbezogenen Informationen» betrifft, und die in der Substanz vorschreibt, dass diese gemäss den Rechtsnormen, Reglementen und allfällig anwendbaren Vertragsbestimmungen gewahrt sein müssen.» Um daraus eine Datenschutzzertifizierung von Organisationen oder Verfahren erreichen zu können, muss diese sehr allgemeine Massnahme 15.1.4 offensichtlich verstärkt, detailliert und in Ziele unterteilt werden, die ihrerseits durch konkrete Datenschutzmassnahmen erreicht werden können. Dies wurde mit dem «Leitfaden für das Datenschutz-Management» verwirklicht, dessen Ziele und Massnahmen in Ziffer 5 der «Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem» zusammengefasst und im Anhang zu den DSMS- Richtlinien ausführlicher aufgeführt wurden. Mit anderen Worten entspricht das Verhältnis «Leitfaden für das Datenschutz-Management» zu den DSMS-Richtlinien dem Verhältnis ISO 27002 zu ISO 27001. Analog der OECD und gewissen Ländern wie Australien, Kanada und Grossbritannien, haben wir «9 allgemeine Grundsätze aus dem Datenschutzgesetz» als Hauptzweck dieses «Leitfadens für das Datenschutz-Management» definiert. Diese Grundsätze bestehen aus 20 konkreten Datenschutzmassnahmen, die in nicht abschliessender Art die wichtigsten Voraussetzungen enthalten, die dem Gesetz oder seiner Vollzugsverordnung entspringen. Zum besseren Verständnis dieses Anhangs wurde jede Massnahme gemäss dem Standard ISO 27002 strukturiert (Massnahme, Umsetzung und andere Informationen). Gleich wie die ISMS-Mass- 4/5

nahme 15.1.4 auf ein DSMS verweist, muss hier noch hervorgehoben werden, dass das 7. Ziel «Datensicherheit» mit seinen assoziierten Massnahmen nichts anderes als ein Verweis des DSMS auf ein ISMS ist. Somit wurde von den 133 bestehenden Sicherheitsmassnahmen aus ISO 27002 eine Vorselektion der für die Datensicherheit nach DSG relevantesten Massnahmen gemacht. Konformitätsanalyse 1. Rechtmässigkeit (Bearbeitung) 2. Transparenz 3. Verhältnismässigkeit 4. Zweckbindung 5. Richtigkeit (Daten) 6. Grenzüberschreitende Bekanngabe 7. Datensicherheit 8. Registrierung der Datensammlungen 9. Auskunftsrecht 5. Sicherheitspolitik 6. Organisatorische Sicherheit 7. Einstufung/Kontrolle der Werte 8. Personnelle Sicherheit 9. Physische & umgeb. Sicherheit 10. Mgmt des Betriebs/der Telekom 11. Zugangskontrolle 12. Systementwicklung/-wartung 13. Mgmt der Störungen 14. Plan z. kont. Geschäftsbetriebs 15. Einhaltung der Verpflichtungen 15.1.4. Datenschutz & Geheimhaltung Risikoanalyse Auch wenn es natürlich nicht darum geht, für den Erhalt einer DSMS-Zertifizierung eine ISMS-Zertifizierung vorauszusetzen, wird die Zertifizierungsstelle von Fall zu Fall entscheiden müssen, inwieweit eine bereits bestehende ISMS-Zertifizierung, insbesondere was die Anforderungen an die «Datensicherheit» betrifft, anerkannt werden kann. Betreffend die Akkreditierung durch die SAS ist angesichts des engen und ausdrücklichen Bezugs zu den Anforderungen dieser Norm davon auszugehen, dass die DSMS-Akkreditierung als Erweiterung der ISMS-Akkreditierung (ISO 27001) vorgesehen sein wird. Es ist zu betonen, dass der zurzeit bestehende enge Bezug zu den internationalen Normen ISO 27001 und 27002 für alle betroffenen Akteure (Akkreditierer, Zertifizierungsstellen, zertifizierte Stellen, Auditoren, Kontrolleure) vernünftig und vorteilhaft ist. Die erwähnten Normen kennen eine grosse Anerkennung und Durchdringung des Weltmarktes und leisten vorliegend einen wertvollen terminologischen, strukturellen und systematischen Beitrag. Dieser normative Kontext wird übrigens bald ausgewietet werden durch zusätzliche Leitfäden wie ISO 27003 «Umsetzung des ISMS», ISO 27004 «Metrik und Effizienz der Massnahmen», ISO 27005 «Risikomanagement», ISO 27006 «Akkreditierungsvoraussetzungen» oder noch ISO 27007 «ISMS-Audits» wovon das DSMS profitieren können wird. 5/5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback