Rechtsanwalt und Avocat Dr. Moritz Votteler hat während seiner langjährige Tätigkeit in den Bereichen Datenschutz und Informationssicherheit bereits zahlreichen Unternehmen hilfreich zur Seite gestanden. Er ist als freiberuflicher Auditor für die DQS tätig. Dort führt er Zertifizierungsaudits für die Regelwerke ISO / IEC 27001:2022 und ISO / IEC 27701:2019 durch. 
 

ISO / IEC 27001:2022

ISO/IEC 27001 ist die weltweit bekannteste Norm für Informationssicherheitsmanagementsysteme (ISMS). 

Zweck eines solchen IS-Managementssystem ist es, Sorge zu tragen, dass die Vertraulichkeit, die Verfügbarkeit und die Integrität von Informationen eines Unternehmens gewahrt bleibt.

In der Praxis sieht es so aus, dass die Geschäftsleitung die Entscheidung trifft, die Informationssicherheit in ein helleres Licht zu rücken. Gemeinsam mit dem CISO (chief information security officer) oder dem ISB (Informationssicherheitsbeauftragten) werden die Sicherheitsanforderungen identifiziert. Diese ergeben sich aus einer Zusammenschau von Unternehmensstrategie/Geschäftszielen, den rechtlichen und/oder vertraglichen Anforderungen sowie den eigenen Geschäftsanforderungen des Unternehmens an den Umgang mit Informationen.

Die ISO/IEC 27005 bietet eine Anleitung zum Management von Risiken für die Informationssicherheit sowie Empfehlungen zu Bewertung, Behandlung und Akzeptanz, Kommunikation, Überwachung und Prüfung von Risiken.

Sodann kann das Unternehmen sich mittels des Leitfadens für Informationssicherheitsmaßnahmen (ISO/IEC27002) wertvolle Anregungen holen, wie konkrete Ausnahmen ausgestaltet werden können.

Rechtsanwalt und Avocat Dr. Moritz Votteler unterstützt Organisationen bei der Planung, Implementierung und dem Alltagsbetriebe eines solchen Informationssicherheitsmanagementsystems - sei es als Berater oder als externer Informationssicherheitsbeauftragter. 
 

ISO/IEC 27701:2019 - Privacy information management system

Aufgrund eines elegant gelösten Baukastenansatzes, ermöglicht es diese Norm, ein ISMS um eine datenschutzrechtliche Komponente zu erweitern. Am Ende verfügt das Unternehmen somit über ein ISMS und PIMS (Privacy Information Management System) Vorhandene Richtlinien, Verfahrensanweisungen und Prozesse eines Unternehmens bzw. einer Organisation können mittels der Norm ISO/IEC 27701:2019 (vollständiger Titel: Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines) nunmehr auch datenschutzrechtliche Belange berücksichtigen.

Zwar ist der Nachweis der Einhaltung dieser Norm aktuell noch kein taugliches Mittel, um als genehmigtes Zertifizierungsverfahren im Sinne von Art. 32 Absatz 3 DSGVO zu gelten. Gleichwohl ist die Implementierung dieser Norm uneingeschränkt empfehlenswert. Denn dadurch kann eine verantwortliche Stelle im Sinne der DSGVO ihrer Rechenschaftspflicht im Sinne des Art. 5 Absatz 2 DSGVO nachkommen. Auch ein taugliches Verzeichnis der Verarbeitungstätigkeiten im Sinne von Art. 30 DSGVO kann durch die Einführung eines PII processing inventory abgebildet werden.

Nicht unerwähnt darf bleiben, dass diese ISO Norm auch dezidierte Vorgaben macht, wie ein Auftraggeber (PII Controller) bzw. ein Auftragsverarbeiter (PII processor) die datenschutzrechtlichen Belange im Rahmen des jeweiligen Geschäftsbetriebes zu berücksichtigen haben.

Zusammengefasst lässt sich festhalten, dass durch den zusätzlichen Einsatz eines PIMS Synergieeffekte genutzt werden können. Rechtsanwalt und Avocat Dr. Moritz Votteler hilft Unternehmen ein solches System einzurichten und zu betreiben entweder als Berater oder als externer DPO (Data Protection Officer).

Datenschutz Grundverordnung oder DSGVO

Rechtsanwalt und Avocat Dr. Moritz Votteler berät Unternehmen bei der datenschutzrechtskonformen Gestaltung des Tagesgeschäftes. Ein besonderer Schwerpunkt seiner Tätigkeit liegt in der Beratung und Planungsunterstützung von Datenverarbeitungsprozessen, welche in Drittländern, also außerhalb des europäischen Wirtschaftsraumes (der aus der europäischen Union und Norwegen, Island, Liechtenstein besteht) stattfinden. 

Die DSGVO knüpft ein solches Vorhaben an besonders strenge Vorgaben, die ein Datenexporteur einhalten muss. So verlangt Art. 44 DSGVO, dass sich der Auftragsverarbeiter in einem Drittland befinden muss, welches über ein Datenschutzniveau verfügt, welches mit dem Datenschutzregime der DSGVO vergleichbar ist (Angemessenheitsbeschluss). Sollte dies nicht zutreffen, so gestattet die DSGVO mit Art. 46 Absatz 2 c), dass sich der Verantwortliche und der Auftragsverarbeiter durch den Abschluss eines Vertrages (Standard Contractual Clauses) darauf einigen, dass die Vorgaben der DSGV auch für diesen Verarbeitungsvorgang gelten sollen.

Aufgrund ständiger Rechtsprechung des Europäischen Gerichtshofes (EuGH) muss zusätzlich vor jedem geplanten Datentransfer in einem Drittland auch ein sogenanntes Transfer Impact Assessment (TIA) erfolgen. Hier wird geprüft, wie das Abgreifen personenbezogener Daten durch Sicherheitsbehörden des Drittlandes verhindert werden kann, um die Auswirkungen einer solchen Datenübertragung auf die Sicherheit personenbezogener Daten möglichst gering zu halten.

Es bietet sich in diesem Zusammenhang an, durch Ergreifung von entsprechenden technischen und organisatorischen Maßnahmen (TOM) den Datenverarbeitungsvorgang so sicher wie möglich zu gestalten.

Rechtsanwalt und Avocat Dr. Moritz Votteler unterstützt Verantwortliche auf dem Gebiet des Datenschutzrechtes, sei es als Berater oder externer Datenschutzbeauftragter. Aufgrund seiner Ausbildung als französischer Rechtsanwalt ist er auch Délégué à la protection des données. 

Darüberhinaus ist er Lehrbeauftragter für Datenschutzrecht und Internet-Recht an der Universität Stuttgart.

Desweiteren kommentiert er als Autor des Beck’schen Online-Kommentar Migrations- und Integrationsrecht (Hrsg. Bader/Decker/Kothe) die gesamten datenschutzrechtlich relevanten Bestimmungen für öffentliche Stellen.