Verantwortliche, die Daten durch einen Dienstleister im Auftrag verarbeiten lassen, stehen in der Prüfpflicht. Diese erstreckt sich vor allem auf die Einhaltung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. In der Praxis begegnen uns oft Zertifizierungen nach ISO/IEC 27001 und wir fragen uns, ob dies als hinreichende Garantie des Auftragsverarbeiters im Sinne von Art. 28 Abs. 1 DSGVO herangezogen werden kann? Die Antwort ist wie so oft ein klares “Jein”.
Um die Frage abschließend für sich beantworten zu können, muss der Verantwortliche die ISO/IEC 27001 verstehen.
In einer Beitragsreihe für die Fach-Zeitschrift “Datenschutz-Berater” hat Andreas Bethke gemeinsam mit der Rechtanwältin Anna Carrillo das Thema unter die Lupe genommen.
Die Kanzlei von Anna war so freundlich und stellt den Artikel zum freien Download zur Verfügung:

https://www.spiritlegal.com/files/userdata_spiritlegal-com/downloads/20-11-10-DSB-Anna-Cardillo.pdf

Haben wir Ihr Interesse für die Implementierung eines ISMS nach ISO/IEC 27001 geweckt? Dann informieren Sie sich bitte über die Möglichkeiten, die wir Ihnen bieten: ISMS – Beratung