Die Internationale Organisation für Normung hat 2019 eine Norm für ein allgemeines Datenschutz-Managementsystem (DSMS) veröffentlicht. ISO/IEC 27701 beschreibt ein DSMS auf der Grundlage eines Managementsystems für Informationssicherheit gemäß ISO 27001. Diese spezielle Form des DSMS wird als Personal Information Management System (PIMS) bezeichnet. Im Folgenden werden die Grundlagen für dieses PIMS beschrieben. Dabei wird herausgearbeitet, welche fünf Hauptvorteile ein PIMS für Unternehmen bietet. Die kostenfreien Whitepaper geben weitere Hilfestellung zur praktischen Umsetzung.

Loading...

Datenschutz und Informationssicherheit

Auch im Kontext von Informationssicherheit ist Datenschutz kein einmaliges Projekt, welches begonnen, durchlaufen und abgeschlossen wird. Genau das Gegenteil ist der Fall. Der betriebliche Datenschutz ist eine Anzahl an Datenschutzprozessen, die in Organisationen permanent verfügbar und umsetzbar, beziehungsweise durch einen Trigger auslösbar sein müssen. Wichtige Beispiele dafür sind die beiden Datenschutzprozesse „Betroffenenrechte gewährleisten“ und „auf Datenschutzvorfälle reagieren“.

In der Datenschutz-Fachwelt wird der Einsatz eines Datenschutz-Managementsystems (DSMS) als der große Wurf zur Lösung der Datenschutzprobleme von Organisationen angesehen. Warum ist das so? Die Antwort ist relativ einfach:
 

„Ein Datenschutzmanagementsystem ist der Rahmen und der Motor des betrieblichen Schutzes von Daten, der in Organisationen permanent eingehalten werden muss.“

Stephan Rehfeld, DSGVO-Experte und Auditor der DQS 

Die Datenschutz-Grundverordnung (DS-GVO) gibt seit dem 25. Mai 2018 lediglich die Regeln für das DSMS vor. Sie formuliert strenge gesetzliche Anforderungen, was erlaubt oder verboten ist (Business Rules). Daraus werden DSGVO-Strafen abgeleitet. Sie trifft aber keine Aussage, wie die Umsetzung der gesetzlichen Datenschutzanforderungen zu erfolgen hat.

 

Datenschutz und Informationssicherheit – was ist überhaupt ein Managementsystem?

Die Definition eines Managementsystems ist abstrakt und kann ad hoc nicht operationalisiert werden. Die Norm ISO/IEC 27000:2020 definiert ein Managementsystem als ein …

„Satz zusammenhängender und sich gegenseitig beeinflussender Elemente einer Organisation (3.50), um Politiken (3.53), Ziele (3.49) und Prozesse (3.54) zum Erreichen dieser Ziele festzulegen.“

Erst wenn die Elemente eines Managementsystems näher definiert sind, kann eine Aussage darüber getroffen werden, ob die strengen gesetzlichen und betrieblichen Datenschutzanforderungen der DSGVO mit dem konkret vorliegenden Managementsystem erfüllt werden. Die Aussage, dass ein Datenschutz-Managementsystem betrieben wird, gibt weder einen Hinweis auf die Qualität des DSMS noch auf den Umsetzungsstand.

datenschutzmanagement-dqs-whitepaper-kostenfrei
Loading...

ISO 27701 – Datenschutzmanagement

Datenschutz im Rahnen der Informationssicherheit – spannendes Thema? Mehr Expertenwissen zur Norm ISO 27701 und Hilfestellung zur praktischen Umsetzung im kostenfreien Whitepaper.

Die High Level Structure als Blaupause für Managementsysteme

Die Internationale Organisation für Normung (ISO) hat eine Blaupause für Managementsysteme erstellt, die sogenannte High Level Structure (HLS). Diese Grundstruktur enthält alle Elemente, die aus Sicht der ISO für ein Managementsystem relevant sind (Appendix 2 zum Annex SL der ISO/IEC Directives, Part 1). Aus diesem Grund ähneln sich die grundlegenden Mechanismen der Managementsystemnormen stark.

Das spezifische DSMS der ISO, das Personal Information Management System (PIMS), hat also die identische Basis wie ein Qualitätsmanagementsystem nach ISO 9001, ein Umweltmanagementsystem nach ISO 14001 oder ein Informationssicherheits-Managementsystem nach ISO 27001.

 

Datenschutz und Informationssicherheit – Integration der DSGVO in ein Managementsystem

Ein PIMS nach der internationalen Norm ISO/IEC 27701 ist universell und nicht nur auf die europäische Datenschutz-Grundverordnung zugeschnitten. Die Norm beschreibt ein Datenschutz-Managementsystem auf der Grundlage eines Managementsystems für Informationssicherheit gemäß ISO 27001. Damit ist die Norm ISO 27701 geeignet, jeglichen betrieblichen Schutz personenbezogener Daten umzusetzen, also auch das kalifornische oder japanische Datenschutzrecht.

DIN EN ISO/IEC 27701:2021-07 – Sicherheitstechniken – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Management von Informationen zum Datenschutz – Anforderungen und Leitlinien (ISO/IEC 27701:2019); Deutsche Fassung
Die Norm ist beim Beuth Verlag erhältlich.

whitepaper-dqs-iso-27001-trifft-ds-gvo
Loading...

ISO 27001 trifft Datenschutz

Kostenfreies Whitepaper

Erfahren Sie mehr über

  • den Zusammenhang zwischen der DS-GVO und der Norm
  • die 7 Schritte zum Datenschutz-Managementsystem

ABER: Wer ein PIMS nach der Datenschutznorm entwickelt und umgesetzt hat – sprich: wer seine personenbezogenen Daten systematisch schützt und managt –, tut sich leicht, die Einhaltung gesetzlicher Datenschutzanforderungen sicherzustellen und zu belegen. Dies geschieht durch den Managementsystem-Mechanismus des Anforderungsmanagements. Als Anforderungsmanagement wird die Erkennung und Bewertung von internen und externen Anforderungen und Umsetzung von Maßnahmen zur Risikobehandlung bezeichnet.

 

Was ist der Unterschied zwischen Datenschutz und Informationssicherheit?

Der grundsätzliche Unterschied zwischen den beiden Themen ist einfach: Informationssicherheit umfasst alle zu bewahrenden Unternehmenswerte und dient dem Schutz vertraulicher Geschäftsinformationen vor Missbrauch durch Dritte. Dabei geht es um weit mehr als nur IT-Systeme. Beim Thema Datenschutz zielen die Maßnahmen auf den Schutz von personenbezogenen Daten. Seit Mai 2018 muss die EU-Datenschutz-Grundverordnung europaweit verbindlich umgesetzt werden – von allen Unternehmen und öffentlichen Stellen, die personenbezogene Daten verarbeiten.
 

Fünf Vorteile eines Datenschutzmanagements

Im Wechselspiel von Informationssicherheit und Datensicherheit ist eine Norm immer als ein Best-Practice zu verstehen. Die konkrete Umsetzung der Anforderungen und Maßnahmen für Datensicherheit ist durch den Anwender vorzunehmen.

Allgemeiner Vorteil des PIMS ist die weltweite Vereinheitlichung durch die Datenschutznorm und die umfangreiche Literatur zur Normumsetzung. Zugegebenermaßen ist die Normensprache „gewöhnungsbedürftig“.

 

Vorteil 1: Zuweisung von Verantwortlichkeiten

Es scheint bei kleinen und mittelständischen Unternehmen (KMU) schon fast Unternehmenskultur, Verantwortung unklar oder gar nicht zuzuordnen. Es ist zu beobachten, dass in vielen Unternehmensrichtlinien die Verantwortung für gewisse Tätigkeiten oder Assets nicht klar definiert und adressiert sind. Dies ist ein großes Manko und führt im Betrieb zu Lücken und Fehlern.

ABER: Der Schutz von Daten ist ein „Teamsport“. Nur wenn alle Aufgaben identifiziert und den Verantwortlichen zugewiesen sind, und nur, wenn diese Personen ihre Aufgaben auch erfüllen, kann Ihr Unternehmen datenschutz-compliant agieren.

Der Schutz von Daten ist ein „Teamsport“: Verantwortung verteilen ist gut. Verantwortung wahrnehmen ist besser.

Durch die Einführung eines PIMS muss für den Anwendungsbereich der Norm das Eigentümerprinzip in die Organisation eingeführt werden. Der Begriff Eigentümer ist hier aber nicht in seiner zivilrechtlichen Bedeutung zu begreifen. Vielmehr wird im Normendeutsch mit Eigentümer die Verantwortung einer Person für ein Asset oder die Umsetzung einer Anforderung oder Maßnahme bezeichnet.

Beispiel: Das Führen des „Verzeichnisses der Verarbeitungstätigkeiten (VVT)“ wird häufig an den Datenschutzbeauftragten (DSB) delegiert. Dies ist natürlich kompletter Unsinn und kann auch nicht funktionieren, da der DSB häufig in vielen Verarbeitungstätigkeiten gar nicht involviert ist. Im Qualitätsmanagement führen die Prozessverantwortlichen die Prozessdokumentationen durch. Die oberste Leitung sollte dies analog auch im Datenschutz entsprechend delegieren.

Zertifikat nach ISO 27701

In Sachen Zertifizierung ergänzt ISO 27701 die bekannte Norm ISO 27001 – sie wird die erste Norm sein, die den Datenschutz per Zertifikat bestätigt. Die DQS befindet sich aktuell im Akkreditierungsverfahren bei der Deutschen Akkreditierungsstelle (DAkkS).

Kontakt aufnehmen und mehr erfahren

Vorteil 2: der betriebliche Datenschutz ist risikoorientiert

Der europäische Gesetzgeber fordert in der DSGVO eine risikoorientierte Umsetzung der Datensicherheit, zum Beispiel in Artikel 32 Abs. 1 DSGVO. Diese Risikoorientierung funktioniert häufig nicht in Unternehmen, in denen offiziell kein Managementsystem installiert ist. Durch die Anwendung der Datenschutznorm ISO 27701 wird zwangsläufig auch die Risikoorientierung eingeführt. Dabei ist die Methode zur Risikobewertung von Datensicherheit nicht vorgeschrieben und kann – in Grenzen – durch den Anwender festgelegt werden.

 

Vorteil 3: Änderungsmanagement als Erfolgskomponente

Auslöser von Datenschutzprozessen kann eine Änderung in der Organisation sein. Zum Beispiel die Implementierung oder Anpassung eines Geschäftsprozesses, einer Dienstleistung oder eines Produktes. Unternehmen ohne Änderungsmanagement (Change Management) haben große Probleme, die datenschutzrechtlichen Anforderungen einzuhalten, da der Umgang mit Änderungen regelmäßig zufällig und ungesteuert geschieht. Es entsteht eine sogenannte Regelungslücke.

ISO 27001 Quality standards assurance business technology concept.; Shutterstock ID 1348453067; purc
Loading...

ISO 27001 - Einführung eines Informationssicherheitsmanagementsystems

Nach diesem Workshop verstehen Sie die Anforderungen und Besonderheiten der neuen ISO 27001:2022 und können Informationssicherheit im Kontext eines integrierten Managementsystems einordnen. Aus dem Inhalt: 

  • Grundlagen eines ISMS
  • Anforderungen der Norm und des Annex
  • Mögliche Vorgehensweisen 

Unternehmen und Organisationen verändern sich ständig. Change Management spielt auch beim Datenschutz und Informationssicherheit eine wichtige Rolle.

Ein PIMS erfasst und steuert diese Änderungen mit Hilfe eines Änderungsmanagements und setzt sie um. Die Änderung eines Geschäftsprozesses bedingt zum Beispiel die Prüfung der Zulässigkeit (Rechtmäßigkeit, Datensparsamkeit, Betroffenenrechte, Dokumentation im VVT, etc.).

Beispiel: Die Anforderung der frühzeitigen Einbindung des Datenschutzbeauftragten bei der Gestaltung von Änderungen lässt sich ganz einfach erreichen, indem er in das Change-Team berufen wird.

 

Vorteil 4: Optimierung durch kontinuierlichen Verbesserungsprozess

Unternehmen verändern sich permanent. Ein Personal Information Management System wird initial geplant, umgesetzt und betrieben. Sehr wahrscheinlich verläuft der erste Versuch der Einführung, Umsetzung und des Betriebes suboptimal, da die Erfahrungen fehlen. Auch wenn bei der Implementierung ein erfahrener Berater konsultiert wird, ist mit Stolpersteinen zu rechnen.

Prämisse: Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten.

Zwar verfügen alle PIMS prinzipiell über die identischen Mechanismen, die aber unterschiedlich ausgestaltet sind. Einfluss auf die Umsetzung der Mechanismen können die Größe der Organisation, die Organisationskultur oder auch der Branchenschwerpunkt sein.

Ein guter Teilmechanismus, um das PIMS permanent an die wechselnden Bedürfnisse der Organisation und interessierten Parteien anzupassen, ist der fortlaufende Verbesserungsprozess (KVP).

Beispiel: Die Datenschutz-Grundverordnung verlangt ein Informationsblatt, in dem Kunden oder etwa Bürger zum Zeitpunkt der Erhebung von Daten über die Art und den Umfang der Verarbeitung von personenbezogenen Daten und damit zusammenhängenden Rechten informiert werden. Diese Informationsblätter nach Artikel 13 und 14 DS-GVO werden zwar rechtskonform veröffentlicht, allerdings gibt es von den Betroffenen viele Nachfragen zu diesen Informationen. Das Unternehmen erkennt durch die Aufnahme dieser Verbesserungsvorschläge, dass es durch die Optimierung der Veröffentlichung der Informationen Ressourcen einsparen und die Kundenzufriedenheit erhöhen kann.

 

Vorteil 5: ausführlicher Maßnahmenkatalog

Wie schon beschrieben, ist ISO 27701 nicht auf die DSGVO zugeschnitten. Für die Ergänzung des PIMS um die spezifischen Anforderungen der DS-GVO ist der Normanwender verantwortlich.

Die internationale Norm bringt aber drei umfangreiche Maßnahmenkataloge zur allgemeinen Umsetzung des betrieblichen Datenschutzes mit:

  • technische und organisatorische Maßnahmen,
  • Datenschutzorganisation beim Verantwortlichen und
  • Datenschutzorganisation beim Auftragsverarbeiter.

Die gute Nachricht für den europäischen Anwender ist, dass sich die Autoren der neuen Norm bei der Gestaltung der Maßnahmenkataloge stark nach der Datenschutz-Grundverordnung gerichtet haben. Das bedeutet: Die Anwendung der generischen Maßnahmenkataloge bildet bereits viele Anforderungen der DSGVO ab. Fehlende Anforderungen werden dann durch das Anforderungsmanagement nachgeführt.

Die Maßnahmen sind Best-Practices zur Umsetzung und im Stil einer Anleitung verfasst. Im Gegensatz zur DS-GVO (Business Rules) wird dem Anwender der Norm bei den Maßnahmen erläutert, wie eine Umsetzung zu erfolgen hat. Aus Sicht des Autors bedeutet dies einen sehr großen Vorteil.

 

Fazit: Datenschutz und Informationssicherheit

Wer ein Datenschutz-Managementsystem (DSMS) nach  ISO 27701 entwickelt und umgesetzt hat – sprich: wer seine personenbezogenen Daten systematisch schützt und managt – tut sich leicht, die Einhaltung gesetzlicher Bestimmungen sicherzustellen und zu belegen. Richtig angewendet, können durch die Norm viele Fehler bei der Einführung und dem Betrieb eines DSMS vermieden werden.

Mit Blick auf Datenschutz und Informationssicherheit ist ISO 27701 das lang ersehnte Handbuch zur Umsetzung der DS-GVO.

Eine Zertifizierung des PIMS wird aber nur möglich sein, wenn vom Unternehmen auch ein zertifiziertes Informationssicherheits-Managementsystem nach ISO 27001 betrieben wird.

 

Die DQS – der richtige Partner an Ihrer Seite

Managementsystemnormen bieten einen systematischen und strukturierten Rahmen, gesetzliche Verpflichtungen zu berücksichtigen und in die Geschäftsprozesse zu integrieren. Unternehmen, die auf Nummer Sicher gehen wollen, können den Status ihrer Informationssicherheit oder der DS-GVO-konformen Umsetzung von einer unabhängigen Stelle wie der DQS auditieren lassen.

Als Spezialist für die Zertifizierung von Managementsystemen und Prozessen verbinden wir unser Expertenwissen mit dem Engagement für die Weiterentwicklung Ihres Unternehmens. Zugleich ist ein zertifiziertes Managementsystem für Informationssicherheit und Datenschutz der Nachweis für die Sorgfalt und Weitsicht Ihres Unternehmens für den Fall von externen Datenangriffen.

 

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zum Inhalt oder unseren Dienstleistungen an unseren Autor haben, nehmen Sie Kontakt mit uns auf. Wir freuen uns auf das Gespräch mit Ihnen.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor
Stephan Rehfeld

Geschäftsführer der scope & focus Service-Gesellschaft mbH. Externer Datenschutzbeauftragter und langjähriger Datenschutz-Auditor der DQS. Stimmberechtigtes Vollmitglied des Arbeitskreises „Identitätsmanagement und Datenschutz-Technologien“ des DIN e.V., stellvertretender Leiter des GDD Erfa-Kreises Hannover.

Loading...