Ist die Ruhe nach dem Sturm nur die Ruhe vor dem Sturm?

RA Dr. Jyn Schultze-Melling

 ist Executive Director Law bei Ernst & Young Law GmbH in Berlin.

  

  

 

ZD 2018, 101   Noch tickt die Uhr gnadenlos und Unternehmen in der ganzen Welt blicken mit steigender Nervosität auf den Kalender und auf die darin rot umrandete 25 im Monat Mai. Sie arbeiten fieberhaft daran, auf den letzten Metern ihre Datenschutzprogramme in eine halbwegs vorzeigbare Form zu bringen, um die Anforderungen der DS-GVO rechtzeitig umzusetzen.

 

Dabei zeigt sich unvermeidbar und oftmals ziemlich eindringlich, wie komplex die Datenhaltung in heutigen Unternehmen mittlerweile ist. Vertraute Grundkonstrukte des traditionellen Datenschutzes, wie etwa die Gestaltung der Beziehung zwischen Auftraggeber und Auftragsverarbeiter durch einen Auftragsdatenverarbeitungsvertrag, stoßen an ihre Grenzen, wenn verschiedene Verarbeiter nicht sequenziell in die Datenverarbeitung eingebunden sind, sondern gleichzeitig mit den Daten arbeiten.

 

Die hergebrachte Verarbeitungskette wird aber in modernen Unternehmen immer mehr von komplexen Verarbeitungsnetzwerken abgelöst, und hier mit Verträgen Rechtssicherheit zu schaffen, stellt Datenschützer im Moment vor schier unlösbare Aufgaben. Die ebenfalls seit Jahrzehnten hartnäckig verteidigte Konstruktion der Zweckbestimmung funktioniert ihrerseits am besten in Verarbeitungsszenarien mit niedriger Komplexität. Wenn aber Daten aus ökonomischer Vernunft (und nicht zuletzt auch aus Sicherheitsbedenken) in zentralen Data Warehouses vorgehalten werden, auf die dann eine unüberblickbare Vielzahl von großen und kleinen Prozessen aus allen Bereichen eines Konzerns zugreifen, sprengt das schnell die Grenzen dessen, was sich in Datenflussdiagrammen darlegen lässt.

 

Diese Komplexität der Dinge zeigte sich bei vielen Unternehmen erst i.R.d. durch die DS-GVO notwendig gewordenen Erstellung eines hinreichend detaillierten und damit rechtskonformen Verarbeitungsverzeichnisses nach Art. 30 DS-GVO.

 

Diese Anstrengungen werden, so wird prognostiziert, zu einer Ruhe nach dem Sturm führen - einer Phase, in der sich die geschundenen Unternehmen wieder vermehrt anderen Themen zuwenden werden und in der sich die Unternehmensdatenschützer davor fürchten, sich mit unfertigen Projekten und halbgaren Lösungen plötzlich alleine gelassen zu sehen. Hinzu kommt, dass sich viele in den letzten Monaten trotz des allgegenwärtigen hohen Stressniveaus bereits mit einer gewissen DS-GVO-Müdigkeit auf höherer Entscheidungsebene konfrontiert gesehen haben. Und obwohl sie von ihren Unternehmen oftmals zusätzliche Ressourcen genehmigt bekamen, und die Projekte intern mit großem Aufwand und mit Nachdruck vorangetrieben wurden, werden manche den Eindruck nicht los, dass sie es versäumt haben, ihren Geschäftsführungen den langwierigen und notwendigerweise nachhaltigen Grundcharakter des neuen europäischen Datenschutzes zu vermitteln.

 

Ihre Ermahnungen, dass dieses Thema nicht wie ein schlechter Traum am Morgen des 26. Mai vorbei sein wird, scheinen zu verhallen. Ihre Anstrengungen, die Datenhaltung ihrer Unternehmen strategisch anzugehen und nicht nur auf die leicht erreichbaren Ziele zu schielen, erscheinen angesichts der kurzfristig zu meisternden Herausforderungen geradezu utopisch. Und der Spagat zwischen der in Europa gesetzlich geforderten und sachlich durchaus nachvollziehbaren Datenvermeidung einerseits und der dank der Globalisierung unternehmerisch absolut notwendigen innovativen Erarbeitung neuer datenbasierter Geschäftsmodelle andererseits erfordert Mut, Visionsfähigkeit und Leidensbereitschaft - allesamt Tugenden, mit denen in heutigen Zeiten nicht gerade viele Entscheidungsträger in Unternehmen auftreten und die zugegebenermaßen auch eher selten den kurzfristigen Erfolgsprognosen dienen, an denen diese Entscheidungsträger immer mehr gemessen werden.

 

Es ist also absehbar: Der nächste Sturm wird kommen, und er wird sich eher schneller als erwartet in den Gerichtssälen austoben. Barbara Thiel wies in ihrem Jahresanfangseditorial nachdrücklich darauf hin, dass eine Vereinfachung der Rechtsanwendung durch die DS-GVO nicht zu erwarten sei und dass es eine der Aufgaben der Aufsichtsbehörden sein wird, das neue europäische Recht auf nationaler Ebene anzuwenden und durchzusetzen. Und sie geht völlig zu Recht davon aus, dass eine Vielzahl der ungeklärten Rechtsfragen die nationalen Gerichte und den EuGH beschäftigen werden.

 

Dafür werden schon alleine die ersten größeren, medial wirksameren Bußgeldverfahren sorgen. Immerhin könnten diese i.E. dazu beitragen, den gegenwärtigen Aktionismus nochmals aufflammen zu lassen - aber mit etwas Abstand betrachtet würde auch dieser Effekt eher einem Strohfeuer gleichen und die Anstrengungen nach einem aufrichtigen, tiefgründigen Umdenken beim Umgang mit Daten wiederum erschweren.In dieser Situation scheint die einzig sinnvolle Handlungsoption zu sein, die operative Handhabung einer rechtskonformen Datenverarbeitung drastisch zu vereinfachen. So drastisch, dass diejenigen, die sich heute mit komplexen Datenflüssen herumschlagen müssen, parallel dazu und quasi in Echtzeit Datenschutz-Folgeabschätzungen für Projekte durchführen, die hochagil entwickelt werden und sich dementsprechend fortwährend verändern, und die dann noch versuchen herauszufinden, wie man das typischerweise dichte Netzwerk von externen Datenverarbeitern eines modernen Unternehmens halbwegs effektiv und effizient steuern kann, morgen wieder Zeit finden, sich Gedanken über Daten- und Informationsethik zu machen und strategische Visionen entwickeln und den nötigen Wandel vorantreiben können. Doch wie kann das aussehen?

 

Es gibt eine ganze Reihe von neuen Technologien, die hierzu erste Ansätze bieten könnten. Datenschützer neigen traditionellerweise dazu, neue Entwicklungen wie Künstliche Intelligenz, Internet of Things oder die Blockchain kritisch zu sehen. Sie versprechen vieles, was aus ihrer Sichtweise nicht erstrebenswert scheint - eine unkontrollierbare, selbstständige und vor allem ständige Verarbeitung und sogar Generierung von Daten. Aber dieser Blick ist zu einseitig. Wir sollten uns mehr Gedanken darüber machen, wie man zum Beispiel Künstliche Intelligenz im operativen Datenschutz zum Einsatz bringen könnte, um Schwachstellen zu bekämpfen und gleichzeitig die wenigen menschlichen Ressourcen zu schonen.

 

Zugegeben, einige dieser Schwachstellen lassen sich nicht durch Technologie lösen: Fehlendes Verantwortungsgefühl derjenigen, die die Verarbeitung von personenbezogenen Daten verantworten oder diese jeden Tag durchführen, lässt sich nur durch die Einführung von Information Ownership als Strukturprinzip beseitigen, und das erfordert wiederum ein durchaus aufwändiges Change Management-Programm und damit eine gehörige Portion Zeit. Genau die hatte aber in den letzten Monaten bestimmt keiner im Überfluss.

 

Mangelnde Transparenz bei der Datenhaltung und der unternehmensübergreifenden Verarbeitung von Informationen ist aber ein Thema, bei dem Technologie hilfreich sein kann. Neben einer Reihe von anderen Anbietern bietet die US-amerikanische Fa. Prifender (deren Chief Data Solutions Officer Sagi Leizerov war vor seinem Wechsel dorthin bis 2017 Global Privacy Leader bei EY) eine Lösung an, die eine vergleichsweise hohe Automatisierung anbietet und dabei auch technologisch neue Wege geht. Insbesondere bei der Sichtung unstrukturierter Daten - einem der problematischsten Themenfelder im Zusammenhang mit der Implementierung der DS-GVO - und bei der Verknüpfung von identifizierten Daten mit Benutzeridentitäten wird nach Unternehmensangaben Künstliche Intelligenz zum Einsatz gebracht.

 

Eine aktuelle Dateninventur per Knopfdruck, eine automatische Anwendung von einschlägigen Regularien auf Datenverarbeitungsprozesse oder eine vollautomatisierte Erkennung und ggf. Eskalation von grenzüberschreitenden Datenübermittlungen wären bereits wichtige Funktionalitäten, die vielen Datenschützern das Leben erheblich vereinfachen könnten.

Es sollte dennoch klar sein, dass es sich hierbei um erste Schritte handelt. Es wird noch eine Menge Nachdenken erfordern, um im operativen Datenschutzalltag diese und andere Technologien vermehrt zum Einsatz zu bringen. Aber auf der anderen Seite erfordert es eigentlich nicht überragenden Aufwand, z.B. Datenströme in Unternehmen nachzuvollziehen und etwa bei Grenzüberschreitungen automatische Prozesse ablaufen zu lassen. Hierbei könnten Blockchain-basierte Technologien und darauf aufgebaute Smart Contracts helfen.

 

Ein Gedankenspiel: Wenn beispielsweise standardmäßig die Metainformationen aus den Transportprotokollen zu sämtlichen Datentransfers in einem Unternehmensnetzwerk in ein dank Blockchain-Technologie manipulationssicheres Logbuch notiert würden, könnten damit nicht nur Datensicherheitsvorfälle besser zurückverfolgt werden. Auch die Einhaltung entsprechender Zugriffsberechtigungen könnte durch so ein zentrales Ledger leichter durchgesetzt werden. Schließlich könnten Gateways so aufgesetzt werden, dass sie Datentransfers proaktiv stoppen, bei denen vorher im Logbuch nicht hinterlegt wurde, dass diese das Unternehmensnetzwerk verlassen dürfen. In diesen Fällen könnten dann Smart Contracts zum Einsatz kommen.

 

Entgegen der anhand des Namens schnell assoziierten Vermutung sind diese zwar nur gerade so smart wie diejenigen, die sie programmieren. Aber zumindest in der Theorie scheint es mit Hilfe dieser Technologie möglich zu sein, extrem flexible und geografisch unbeschränkte Datennetzwerke zu errichten, bei denen neue Datenempfänger jederzeit vollautomatisch hinzugefügt oder - etwa bei Problemen - blitzschnell entfernt werden können. Selbst hochgradig komplexe Auftragsverarbeitungsvereinbarungen könnten - solange die relevanten Parameter eindeutig identifizierbar und messbar sind - zwischen der verantwortlichen Stelle und allen an der Datenverarbeitung beteiligten Auftragsverarbeitern ohne langwierige bürokratische Prozesse und vielleicht sogar ganz ohne menschliches Zutun abgeschlossen werden.

 

Zugegeben, in der heutigen Realität scheinen wir von dieser Situation noch weit entfernt zu sein, und der Blick hinter die unternehmerischen Kulissen lässt selbst hartgesottene Profis oft genug erschauern. Und die Situation ist im Zusammenhang mit der Datenverarbeitung der öffentlichen Hand eher noch desillusionierender. Aber zumindest ein Teil der Probleme wurde durch das rasante Wachstum der Technologie verursacht - man sollte meinen, dass sie hoffentlich ebenso rasant zur Lösung der durch sie verursachten Probleme beitragen können sollte. Voraussetzung dafür wäre, dass sich technologieaffine Unternehmensdatenschützer, aufgeschlossene Aufsichtsbehörden, versierte Informationssicherheitsexperten und innovative Technologieentwickler an einen Tisch setzen und beginnen zu versuchen, mit der Technologie von morgen die Probleme von heute zu lösen.


Zertifizierung und der Mittelstand - Quo Vadis?

Dr. Alexander Duisberg

ist Rechtsanwalt und Partner der Kanzlei Bird & Bird LLP in München.

 

 

 

ZD 2018, 53    Die gesetzlich anerkannte Zertifizierung war bislang ein weißer Fleck auf der datenschutzrechtlichen Landkarte. Mit Einführung der Datenschutzgrundverordnung (DS-GVO) wird das Instrumentarium entscheidend erweitert. Schon jetzt zeichnen sich aber besorgniserregende Verzögerungen ab, unter denen insbesondere die kleinen und mittleren Unternehmen (KMU) erheblich leiden werden. Denn je länger die Abhilfe ausbleibt, als Verantwortliche auf Zertifikate von Diensteanbietern vertrauen zu können, desto mehr erhöhen sich auf der Zeitachse die Transaktionskosten und der eigene Aufwand der Compliance. Wenn dann noch bei den Datentransfers die Standardvertragsklauseln vor dem EuGH ins Wanken geraten, baut sich gerade der "perfect storm" am Datenschutzhimmel auf.

 

Zertifizierung nach der DS-GVO

Waren Zertifizierungen zum Nachweis der Compliance bisher ungeregelt bzw. der rein privatrechtlichen Gestaltung mit Zertifizierungsstellen überlassen (durch TÜV, WP-Gesellschaften etc.), setzt die DS-GVO nun starke Anreize zur Regelung und Durchführung von Zertifizierungen (s. Art. 42, 43 DS-GVO).

Die Zertifizierung umfasst als Obergriff Zertifizierungsverfahren, Datenschutzsiegel und -prüfzeichen. Sie dient insbesondere dazu, die Einhaltung der DS-GVO-Vorgaben zu verbessern und Verantwortlichen bzw. Kunden zertifizierter Angebote einen schnellen Überblick über das vorliegende Datenschutzniveau zu ermöglichen (vgl. Erwägungsgrund 100 DS-GVO).

  • Nachweis für Compliance des Verantwortlichen und des Auftragsverarbeiters (Art. 24 und 28 DS-GVO)

Eine Zertifizierung kann als Nachweis dienen, dass der Verantwortliche seine datenschutzrechtlichen Pflichten erfüllt (Art. 24 Abs. 3 DS-GVO) und der Auftragsverarbeiter seine Garantien als Auftragsverarbeiter erbringt (Art. 28 Abs. 5 DS-GVO), insbesondere mit Blick auf technische und organisatorische Maßnahmen. Die Indizwirkung für datenschutzkonformes Verhalten bietet entscheidende Vorteile sowohl für Verantwortliche als auch Auftragsverarbeiter im Umgang mit personenbezogenen Daten.

  • Nachweis der technischen Datensicherheit (Art. 32 Abs. 3 DS-GVO)

Darüber hinaus dient die Zertifizierung der Beurteilung der technischen Datensicherheit beim Verantwortlichen oder Auftragsverarbeiter (Art. 32 Abs. 3 DS-GVO). Zertifizierungsverfahren bieten dem Verantwortlichen Hilfestellung bei der Frage, welche Sicherheitsmaßnahmen für eine datenschutzkonforme Datenverarbeitung und entsprechend für den Nachweis der Einhaltung des Stands der Technik geeignet sind (Art. 32 Abs. 1 DS-GVO).

  • Wesentlicher Bestandteil des Risikomanagements

Für den Verantwortlichen und Auftragsverarbeiter unterstützt der zertifizierte Nachweis der Einhaltung datenschutzrechtlicher Vorgaben ganz wesentlich das interne Risikomanagement. Zertifizierungen bieten damit zugleich die interne Absicherung mit Blick auf mögliche Schadensersatzhaftung, Geldbußen und andere Sanktionen für Verstöße gegen die DS-GVO (s. Art. 82 ff. DS-GVO).

  • Gleichwertige Rechtsgrundlage zur Datenübermittlung (Art. 46 Abs. 2 lit. f DS-GVO)

Eine Zertifizierung kann für die Datenübermittlung in Drittstaaten als Schutzgarantie Verantwortlichen und Auftragsverarbeitern das angemessene Datenschutzniveau absichern, wenn sie mit entsprechenden Verpflichtungserklärungen und der Absicherung der Betroffenenrechte verbunden ist (Klug, in: Gola, DS-GVO, 2017, Art. 46 Rdnr. 12). Damit wird die Zertifizierung zum "Game Changer" für Datentransfers und gleichwertige Rechtsgrundlage auf einer Ebene mit Binding Corporate Rules (BCRs), Standardvertragsklauseln und dem EU-US-Privacy-Shield.

  • Markttransparenz durch akkreditierte Zertifizierungen

Im Markt zeigt zertifizierte Datenschutzkonformität Qualität und verantwortliches Handeln des Verantwortlichen und Auftragsverarbeiters an. Der zertifizierte Compliance-Nachweis unterstreicht Kundenorientierung, Leistungsfähigkeit und Qualität für Geschäftspartner und andere Betroffene, um damit Kunden zu gewinnen und/oder neue Märkte zu erschließen. Zertifizierungen werden entsprechend positive Markteffekte zugeschrieben (s.a. Bergt, in: Kühling/Buchner, DS-GVO, 2017, Art. 42 Rdnr. 4).

 

Stand der Entwicklung der Zertifizierung nach Art. 42, 43 DS-GVO

Sowohl in Deutschland als auch auf EU-Ebene laufen die Vorbereitungen zur Entwicklung von Zertifizierungsstandards. Aber das Thema ist komplex und die Zeit läuft den Beteiligten nach allem Eindruck davon. So steht derzeit in Frage, ob bzw. ab wann nach dem 25.5.2018 gesetzlich anerkannte Zertifizierungsangebote im Markt zur Verfügung stehen.

  • Trusted Cloud als Ursprung der europäischen Datenschutz-Zertifizierung

In Deutschland hat das von Prof. Dr. Georg Borges erfolgreich durchgeführte Pilotprojekt "Datenschutz-Zertifizierung für Cloud-Dienste" 2015 mit dem "Trusted Cloud Datenschutz-Profil für Cloud-Dienste" den Weg maßgeblich vorbereitet (TCDP). Es ermöglicht Anbietern von IT-Diensten, ihre Cloud-Dienste (auf vertraglicher Grundlage) nach dem BDSG zu zertifizieren. Auf Betreiben der Bundesregierung hat der Rat der EU die Datenschutz-Zertifizierung in die Verhandlungen zur DS-GVO eingebracht. Das Konzept der Datenschutz-Zertifizierung und das Rahmenwerk haben in Art. 42, 43 DS-GVO nahezu 1:1 ihren Niederschlag gefunden.

Die TCDP-Version vom September 2016 wurde bereits mit Blick auf die DS-GVO angelegt. Sie sieht sich "eingebettet in das Ziel einer europäischen Datenschutz-Zertifizierung auf gesetzlicher Grundlage" und will die Grundlagen für die Ausgestaltung einer DS-GVO-Zertifizierung ausarbeiten (TCDP, Version 1.0, Kap. I.4.). Die Verfahrensordnung des TCDP ist ebenfalls darauf angelegt, dass bestehende TCDP-Zertifikate durch eine Überleitungszertifizierung möglichst lückenlos durch eine Zertifizierung nach DS-GVO-basiertem Standard abgelöst werden (§ 6.1).

Weitere Anpassungen an die DS-GVO sind nun erforderlich, die das im November 2017 gestartete Projekt "European Cloud Service Data Protection Certification" unter der Leitung von Prof. Dr. Alexander Roßnagel aufgreift. Das Projekt wird bis Mai 2018 einen Kriterienkatalog für die EU-weite Zertifizierung von Cloud-Diensten nach der DS-GVO entwickeln. Der grundlegende Ansatz der modularen Zertifizierung und Auditierung wird weiter spezifiziert und ausgebaut (s. ausf. Roßnagel/Sunyaev et al., ZD-Aktuell 2017, 05900).

  • Entwicklungen in der EU

Nach einem Beschluss der Art. 29-Datenschutzgruppe hält die französische Datenschutz-Aufsichtsbehörde Commission Nationale de l'Informatique et des Libertés (CNIL) die Federführung bei der Entwicklung EU-weiter Zertifizierungsstandards nach Art. 42, 43 DS-GVO. Bislang wurde allerdings noch kein Standard oder Zertifizierungsverfahren verabschiedet.

 

Akkreditierungsstandards der DAkkS

Die Deutsche Akkreditierungsstelle (DAkkS) besitzt in Deutschland die alleinige Zuständigkeit im Bereich der Akkreditierung. Bislang existiert kein von der DAkkS akkreditierter datenschutzspezifischer Zertifizierungsstandard.

  • Zertifizierung von Informationssicherheits-Managementsystemen

Die Datenschutzkonformität kann ansatzweise allenfalls i.R.d. ISO/IEC 27001 zertifiziert werden. Dieser Standard adressiert im Kern Informationssicherheits-Managementsysteme und damit gerade nicht die Datenschutzkonformität als solche. Immerhin hat die DAkkS in ihrer jüngsten "Regel zur Prüfung der Feststellung der Akkreditierungsfähigkeit neuer privater Konformitätsbewertungsprogramme" vom 14.12.2017 erklärt, dass sie in Zukunft alternative Standards zur Zertifizierung von Bereichen anerkennt, die dem ersten Anschein nach als IT-Managementsysteme gelten (Ziff. 4.2.1). Die Nichtanwendung der ISO/IEC 27001 ist dann lediglich gesondert zu begründen.

Inhaltlich bestimmt die ISO/IEC 27001 die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung von Informationssicherheits-Managementsystemen in Unternehmen. Sie legt darüber hinaus die Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken nach den konkreten Bedürfnissen des Unternehmens fest (Kap. 1, S. 6). Der Zweck von Informationssicherheits-Managementsystemen ist es, Daten und Informationen im Unternehmen zu schützen und so einen kontinuierlichen Geschäftsbetrieb zu gewährleisten.

  • Zertifizierung von Datenschutzprodukten

Die ISO/IEC 17067 regelt einerseits die Zertifizierung von Produkten und beschreibt andererseits die Leitlinien für die Entwicklung und Durchführung von Programmen zur Produktzertifizierung. Das Produkt als Bewertungsgegenstand wird in der Norm sehr weit gefasst und umfasst insbesondere auch Dienstleistungen und Prozesse (Einleitung, S. 6). Die ISO/IEC 17067 ist auf Grund ihres weiten Anwendungsbereichs somit zur Zertifizierung datenschutzrechtlicher Prozesse in Unternehmen geeignet.

Auf Grundlage der ISO/IEC 17067 kann ein Unternehmen datenschutzspezifische Strukturen unmittelbar adressieren und anhand der festgelegten Anforderungen der DS-GVO überprüfen. Die Prüfung schließt dabei informationssicherheitsrechtliche Themen nicht aus (vgl. Art. 32 Abs. 3 DS-GVO). Im Unterschied zur ISO/IEC 27001 (i.V.m. ISO/IEC CD 27552, s.u.) kann ein nach der ISO/IEC 17067 akkreditiertes Zertifizierungsprogramm einen auf den Datenschutz fokussierten und damit kostengünstigeren Ansatz verfolgen.

 

Werden die KMU vergessen?

Die ISO/IEC 27001 beansprucht, auf alle Unternehmen anwendbar zu sein, ungeachtet ihrer Art und Größe (Einleitung, S. 6). Mit Blick auf die Kosten einer Zertifizierung nach ISO/IEC 27001 - sie liegen typischerweise im Bereich von  25.000,- bis 40.000,- - wird den KMU aber eine Zertifizierung erheblich erschwert und könnte für kleinere Unternehmen an den Kosten scheitern. Die datenschutzrechtliche Zertifizierung darf aber nicht an den KMU vorbeigehen bzw. i.E. nur den großen bzw. finanziell leistungsstarken Unternehmen offenstehen.

In der internationalen Diskussion (etwa i.R.d. IAPP-Konferenz im November 2017) zeichnet sich ab, dass dieser Zustand einstweilen bestehen bleibt. So soll die ISO/IEC 27001 zwar durch die ISO/IEC CD 27552 um Datenschutzthemen erweitert werden. Die ISO/IEC CD 27552 ist aber kein isoliert zertifizierbarer Standard. Es ist zu befürchten, dass die KMU von Aufträgen der Großindustrie ausgeschlossen werden könnten, wenn diese in Zukunft den Nachweis datenschutzrechtlicher Zertifizierungen in ihren Ausschreibungen verlangen.

Für KMU ist es mithin von herausragender Bedeutung, die Datenschutzkonformität ihrer Produkte und Dienstleistungen auch außerhalb der ISO/IEC 27001, z.B. auch über einen produktbasierten Ansatz, zertifizieren zu können. Nicht umsonst hat die DS-GVO das ausdrückliche Ziel formuliert, "die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen" (vgl. etwa Erwägungsgrund 13 DS-GVO). So bietet etwa die ISO/IEC 17067 den KMU angesichts ihres weiten Anwendungsbereichs ("Dienstleistungen oder Prozesse") die Möglichkeit einer datenschutzrechtlichen Zertifizierung. Aus wirtschaftlicher Sicht ist eine solche Zertifizierung dringend zu wünschen, damit die KMU ab dem 25.5.2018 nicht abgehängt werden. Mit entsprechend sorgfältiger Begründung (vgl. oben) sollte es möglich sein, dass neue Datenschutzstandards auf Grundlage der ISO/IEC 17067 entstehen.