Bewertung der Sinnhaftigkeit einer Zertifizierung nach ISO27001 vor dem Hintergrund des Kapitels IV Abschnitt 5 DSGVO am Beispiel eines Payment-Anbieters

Studienarbeit aus dem Jahr 2019 im Fachbereich Jura - Datenschutz, Note: 2.7, Carl von Ossietzky Universität Oldenburg, Sprache: Deutsch, Abstract: Am 25.05.2016 trat die EU-DSGVO in Kraft. In dem Kapitel IV Abschnitt 5 EU-DSGVO wird auf die Möglichkeit hingewiesen, mittels genehmigter Verhaltensregeln, beziehungsweise über Zertifizierungen die Einhaltung der datenschutzrechtlichen Vorgaben aus der EU-DSGVO nachzuweisen. Für Unternehmen, welche ihre Konformität gerne unter anderem als Wettbewerbsvorteil zertifizieren lassen möchten, stellt sich die Frage, welche Zertifikate aktuell sinnvoll sind. Insbesondere die Zertifizierung nach ISO 27001 wird in diesem Zusammenhang stark beworben, und es ist zu klären, ob dies tatsächlich eine sinnvolle Vorbereitung für eine Zertifizierung nach Art. 42 DSGVO darstellen kann. Dies wird im Rahmen dieser Arbeit beispielhaft an einem Payment-Anbieter betrachtet. Die Arbeit gliedert sich in die Betrachtung der Vorgaben aus der EU-DSGVO für eine Zertifizierung, anschließend in die Betrachtung der ISO 27001 und darauffolgend die Betrachtung der spezifischen zusätzlichen Vorgaben für Payment-Anbieter. Zu guter Letzt rundet eine Handlungsempfehlung für den heutigen Stand die Arbeit ab. Zunächst ist für die Arbeit vorab grob zu klären, was die ISO 27001 darstellt. Die ISO 27001 ist eine Norm, welche Part der Normen-Familie ISO/IEC 2700x ist. Veröffentlicht werden die Normen von der Internationalen Organisation für Standardisierung (ISO). Die Normen sind international anerkannt. Speziell die ISO 27001 ist eine Norm, welche die Einhaltung geltender Standards der Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen zertifiziert. Allerdings wird lediglich die Einrichtung, Realisierung und Optimierung sowie der Betrieb eines dokumentierten Informationssicherheitsmanagementsystems beschrieben. Es werden Maßnahmen zur Implementierung und zum Betrieb eines Informationssicherheits-Managementsystems beschrieben, aber es werden keine Vorgaben hinsichtlich der Tiefe der Umsetzung gemacht.