Beim ISO 27001 Audit wird die Informationssicherheit geprüft bzw. die Wirksamkeit des Informationssicherheitsmangementsystems. Dazu sollte man wissen, dass bei vielen Videokonferenzsystem-Anbietern die DSGVO-Konformität nicht gegeben ist. Was bedeutet das? Es kann bedeuten, dass bereits mit der Auswahl des Videokonferenzsystems Daten oder Meta-Daten während der Konferenz abfließen. Bei der Orientierungshilfe des Berliner Datenschutzbeauftragten heißt es in der Bewertung bei einer roten Ampel unter anderem:
Ebenfalls mit „Rot“ bewertet haben wir Dienste, bei denen wir im Vertrag selbst zwar keine Mängel festgestellt haben, die aber nach dem Ergebnis unserer technischen Prüfungen Dienstleister einschalten, die nicht vertraglich als Unterauftragsverarbeiter genehmigt sind, und/oder bei denen Datenexporte erfolgen, die nach dem Vertrag nicht gestattet sind.
Quelle: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2021-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf
Wenn also eingesetzte Videokonferenzsysteme entweder grundsätzlich nicht DSGVO-konform sind, oder, weil Datenexporte an nicht vertragliche Unterauftragnehmer erfolgen, wie sollte dies im ISO 27001-Audit behandelt werden? Nur wenn Kunde (auditiertes Unternehmen) und Auditor Kenntnis über diese Nichtkonformität haben, kann es Auswirkungen im Audit haben.
Es könnte z.B. der Informationssicherheitsbeauftragte des Kunden mit dem Datenschutzbeauftragten klären, inwieweit neue Videokonferenzsysteme eingesetzt werden können und sollten, die wiederum DSGVO-konform sind. Hier sind Beispiele aus der Orientierungshilfe, die eine grüne Ampel erhalten haben: Alstermedia, Alfaview, Cloud1x, Mailbox.org, meetzi, NETWAYS , Web Services Jitsi, OSC BigBlueButton, sicherevideokonferez.de, TixeoCloud, Werk21 BigBlueButton, Wire Pro
Und hier sind die Videokonferenzsysteme, die eine rote Ampel vom Berliner Datenschutzbeauftragten erhalten haben: Webex, Telekom Cisco, Google Workspace, GoToMeeting, Microsoft Teams, Skype, TeamViewer Meeting (ehemals Blizz), Zoom. Falls nun nur die Videokonferenzsysteme bekannt sein sollten, die eine rote Ampel erhalten haben, wird es Zeit, den Datenschutzbeauftragten zu kontaktieren. 😁
#27k1 #27001 #audit