Viele Unternehmen sind auf der Suche nach einem Zertifikat, um sorgfältige und wirksame Datenschutzvorkehrungen zu belegen. Auch die EU-Datenschutz-Grundverordnung sieht eine Datenschutzzertifizierung vor. Mit ISO 27701 wurde im August 2019 eine neue Norm für den Nachweis der Umsetzung datenschutzrechtlicher Vorschriften veröffentlicht. Dieser neue internationale Standard ist nun auch zertifizierbar.

Loading...

Datenschutz als Ergänzung für ein Managementsystem

Datenschutzmanagement wird optimalerweise mit Hilfe einer internationalen Norm gestaltet, und zwar im Duo mit ISO 27001. Der bekannte Standard DIN EN ISO/IEC 27001 beschäftigt sich mit den Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) und ist für diesen Anwendungsbereich auch zertifizierbar. Die neue Norm ISO/IEC 27701 für Datenschutzmanagement baut auf ISO 27001 auf und ergänzt diese um Datenschutzkriterien. Durch diese Erweiterung werden die Anforderungen an ein Datenschutzinformations-Managementsystem (DSMS oder Privacy Information Management System, PIMS) in ein ISMS integriert.

Gleichermaßen wie ISO 27001 berücksichtigt auch ISO 27701 den Managementsystemansatz und bezieht sich auf die Grundstruktur moderner Managementsystemnormen, die High Level Structure (HLS).

Wer mehrere ISO-Normen implementiert oder zertifiziert hat, kann ISO 27701 aufgrund der High Level Structure erfahrungsgemäß sehr einfach integrieren. Das Standardszenario ist dabei natürlich die Einbettung von ISO 27701 in ISO 27001.

Stephan Rehfeld Datenschutzexperte und Auditor der DQS

Datenschutzmanagement: Was steckt in ISO 27701?

In der neuen Datenschutznorm ist statt von „Informationssicherheit“ die Rede von „Informationssicherheit und Datenschutz“. Darüber hinaus gibt es inhaltliche Ergänzungen. So wird beispielsweise bei der Betrachtung des Kontextes der Organisation die Einbeziehung relevanter Datenschutzgesetze und gerichtlicher Entscheidungen verlangt. Ebenso sind bei der Risikobeurteilung Kriterien der Verarbeitung von persönlichen Daten zu berücksichtigen – den Schutz betroffener Personen und eine mögliche Folgenabschätzung immer im Blick.

Zusätzlich beinhaltet ISO 27701 Ergänzungen zu ISO 27002, dem Leitfaden zur Umsetzung der Maßnahmen aus Anhang A von ISO 27001.

Die ISO-Norm gibt ferner folgende Hinweise zum Datenschutz Management:

  • Erweiterung der Leitlinie und der Richtlinien um Aspekte des Datenschutzes
  • Ernennung eines Verantwortlichen (Datenschutzbeauftragten) im Unternehmen für das Privacy Information Management System
  • Datenschutzschulung der Mitarbeiter
  • Protokollierung von Zugriffen und Veränderungen
  • Verschlüsselung, zum Beispiel besonderer Kategorien personenbezogener Daten wie Gesundheitsdaten
  • Berücksichtigung des „Privacy by Design“ Grundsatzes
  • Überprüfung von Sicherheitsvorfällen auf Datenschutzverletzungen
whitepaper-dqs-mann-liest-auf-einem-ipad
Loading...

Datenschutzmanagement mit ISO 27701

Datenschutz im Rahmen der Informationssicherheit – spannendes Thema? Mehr Expertenwissen zur Norm ISO 27701 in unserem kostenfreien Whitepaper.

Im Anhang von ISO 27701 findet sich eine ausführliche Zuordnungstabelle der Maßnahmen zu den Anforderungen der DSGVO. Hier wird deutlich, welchen Einfluss die EU-Datenschutzgrundverordnung auf die Norm als internationalen Standard für den Datenschutz hat.

Der vollständige Titel der internationalen Datenschutznorm lautet:

ISO/IEC 27701:2019-08Sicherheitstechniken – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Management von Informationen zum Datenschutz – Anforderungen und Leitlinien.
Die Norm ist beim Beuth Verlag erhältlich.

ISMS und PIMS: Gemeinsamkeiten und Unterschiede

Informationssicherheits-Managementsysteme (ISMS) und Privacy Information Management System (PIMS) sind eng miteinander verwoben.

Beim Datenschutz und der Datensicherheit geht es um personenbezogene Daten. In der ISO-Normenreihe 27000 ff. geht es vor allem um den Schutz von Informationen, wobei persönliche Daten eine Untergruppe darstellen. Der Blickwinkel entscheidet also: „Handelt es sich um eine Datenschutzverletzung oder einen Informationssicherheitsvorfall oder sogar beides?“

 

Der Vorteil von ISO 27701? Den Blick schärfen für Datenschutzaspekte im Informationssicherheits-Managementsystem!

Stephan Rehfeld Datenschutzexperte und Auditor der DQS

Wo der Begriff „Informationssicherheit“ in ISO 27001 oder ISO 27002 verwendet wird, heißt es in ISO 27701 „Informationssicherheit und Datenschutz“. Durch diese Ergänzung wird ein Teil des Managementsystems für Informationssicherheit um den Datenschutz erweitert.

Es gibt jedoch auch Abweichungen, bei denen ein PIMS anders funktioniert als ein ISMS. Ein Beispiel: Das unterschiedliche Verständnis des Kontextes der Organisation. In ISO 27701 gibt es im Kapitel 4.1 eine zusätzliche Anforderung zu ISO 27001, dass „die Organisation ihre Rolle als Verantwortliche bzw. als Joint-Controller für gemeinsame Verantwortlichkeiten und/oder als Auftragsverarbeiterin definieren“ solle.

Diese Anforderung ist im Informationssicherheits-Managementsystem nicht vorhanden, denn das ISMS kennt die Unterscheidung zwischen „Controller“ und „Processor“ nicht. Folgerichtig findet sich in ISO 27701 eine Ergänzung um zwei zusätzliche Anhänge mit datenschutzspezifischen Maßnahmen für „Verantwortliche“ und „Auftragsverarbeiter“.

 

Datenschutzziele und Informationssicherheitsziele: Ähnlichkeiten und Unterschiede

Im Jahr 1980 verabschiedete die OECD eine Definition wegweisender Datenschutzprinzipien. Die darin beschriebenen Prinzipien und Schutzziele wurden sowohl in der Datenschutz-Grundverordnung (DSGVO) durch operationale Artikel als auch in ISO 29100 durch konkrete Maßnahmen aufgegriffen.

Die Maßnahmen der später veröffentlichten Datenschutznorm ISO 27701 werden in Anhang C mit den Maßnahmen von ISO 29100 und in Anhang D mit der DS-GVO verknüpft. Daran wird erkennbar, dass die Prinzipien und Schutzziele von ISO 27701 und DS-GVO größtenteils als deckungsgleich angesehen werden können.

DIN EN ISO/IEC 29100:2020-09Informationstechnik – Sicherheitsverfahren – Rahmenwerk für Datenschutz.
Die Norm ist bei Beuth erhältlich.

Im Informationssicherheits-Managementsystem (ISMS) finden sich die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit. Dies findet sich auch im Artikel 5 bzw. im Artikel 32 DS-GVO wieder.

Ein großer Unterschied ist jedoch die Definition der „interessierten Parteien“ eines Unternehmens. Im ISMS fallen zum Beispiel die eigenen Mitarbeiter, Kunden, Lieferanten, Kapitalgeber oder Behörden darunter. Im Datenschutz hingegen ist die interessierte Partei nur der Betroffene.

Somit unterscheidet sich auch das Datenschutz-Risikomanagement vom Informationssicherheits-Risikomanagement. Im Ergebnis kann ein bestehendes ISMS nicht eins zu eins als PIMS mit dessen datenschutzspezifischen Prozessen genutzt werden. Dennoch gibt es Möglichkeiten zur Integration, sodass zum Beispiel gemeinsame interne Audits stattfinden können.

 

Datenschutzmanagement: Zertifikate nach ISO 27701 in greifbarer Nähe

In Sachen Zertifizierung ergänzt die neue Norm ISO 27701 die bekannte ISO 27001 – und sie wird die erste Norm sein, die den Datenschutz per Zertifikat bestätigt. Dafür befindet sich die DQS aktuell im Akkreditierungsverfahren bei der Deutsche Akkreditierungsstelle GmbH (DAkkS) und rechnet mit einer Zulassung im 1. Quartal 2022.

Da ISO 27701 als Erweiterung von ISO 27001 angelegt ist, kann das Datenschutz-Managementsystem nach ISO 27701 nicht ohne ein Informationssicherheits-Managementsystem nach ISO 27001 zertifiziert werden.

iso-27001-trifft-ds-gvo-dqs-whitepaper-sichtbarer laptop-bildschirm mit persönlichen daten
Loading...

ISO 27701: ISO 27001 trifft DS-GVO

Kostenfreies Whitepaper

Sichern Sie sich diese Informationen:

  • Anforderungen an ein Managementsystem
  • ISO 27001 und DS-GVO – ein Vergleich
  • ISO 27701 vs. ISO 27001
  • 7 Schritte zum Datenschutzmanagementsystem

ISO 27701: Ein großer Schritt in Richtung Datenschutzmanagement

Wer ein systematisches Datenschutzmanagement (PIMS) nach ISO 27701 entwickelt und umgesetzt hat – sprich: wer seine personenbezogenen Daten systematisch schützt und managt – tut sich leicht, die Einhaltung gesetzlicher Bestimmungen sicherzustellen und zu belegen. Unternehmen können mit dem neuen Standard eine weitgehend datenschutzkonforme Informationssicherheit und entsprechenden Datenschutz etablieren.

Unterm Strich profitiert wirklich jedes Unternehmen davon, seinen Datenschutz zu systematisieren – über alle Branchen und Unternehmensgrößen hinweg.

Stephan Rehfeld Datenschutzexperte und Auditor der DQS

Die neue ISO-Norm stützt sich dabei keineswegs nur auf die Grundsätze der Datenschutz-Grundverordnung, sondern soll Unternehmen auch bei der Einhaltung weltweiter Datenschutzstandards unterstützen. Ziel dabei ist es, ein PIMS einzurichten, umzusetzen, aufrechtzuerhalten und kontinuierlich zu verbessern.

Wichtig zu wissen: Ein Zertifikat nach ISO 27701 ist nicht gleichzusetzen mit einer Bestätigung der vollständigen Konformität des zertifizierten Unternehmens zum DSGVO-Gesetz. Das liegt schon darin begründet, dass ISO 27701 eine internationale, weltweit geltende Norm ist und damit kein Spiegelbild der Anforderungen der DS-GVO sein kann. Fest steht gleichwohl, dass mit ISO 27701 Schutzziele verfolgt werden, die sich auch in der DS-GVO wiederfinden.

Klare Verantwortlichkeiten im Datenschutzmanagement schaffen

Unternehmen kommen bei der Umsetzung der neuen ISO-Norm gar nicht umhin, klare Verantwortlichkeiten im Bereich Datenschutz zu definieren. Diesen Vorteil darf man nicht unterschätzen. Denn in den meisten Betrieben ohne ein systematisches Datenschutzmanagement formuliert man Zuständigkeiten aus falsch verstandener Höflichkeit viel zu oft weich: „Könntest Du das künftig übernehmen?“.

Oder aber man teilt Verantwortlichkeiten, nach dem Motto „Das machen wir zusammen!“. Beides führt unweigerlich dazu, dass am Ende niemand die Verantwortung übernimmt. Mit einem gut strukturierten Datenschutzmanagementsystem gibt es klare Vorgaben, und das ist unbezahlbar.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop
Loading...

ISO 27701 ergänzt ISO 27001

Spannendes Thema? Mehr dazu in unserer kostenfreien Webinaraufzeichnung:

✓  Vorteile von ISO 27001 und ISO 27701
✓  Nachweis durch ISO 27701
✓  Ihr Aufwand für die Einführung
✓  Wann kommt die Akkreditierung?

Pluspunkt Risikoorientierung

Es gibt einen weiteren Pluspunkt, der für die Integration von ISO 27701 in ISO 27001 spricht. Unternehmen sind mit der Einführung von ISO 27701 quasi „gezwungen“, sich risikoorientiert mit dem Schutz personenbezogener Daten auseinanderzusetzen. Dazu gehört es beispielsweise, Risiken vollumfänglich zu definieren und zu bewerten und die Wahrscheinlichkeit abzuschätzen, mit der diese eintreten werden.

Diese Risikobewertung bildet dann den Ausgangspunkt, um das konkrete Schadenspotenzial auf ein tragbares Maß zu reduzieren. Diese wunderbar pragmatische Herangehensweise finden wir in ähnlicher Form übrigens auch bei der DSGVO, so dass sich der Kreis auch in puncto Praxisnähe schließt.

Wichtig zu wissen: Herz eines PIMS nach ISO 27701 ist das Datenschutz-Risikomanagement. Dies ist aber nur umsetz­bar, wenn zuvor erfasst wurde, was geschützt werden soll. In ISO 29134, dem Leitfaden zur Datenschutz-Folgenabschätzung, wird zwischen primären Werten und unter­stützenden Werten unterschieden. Primäre Werte sind die personenbezogenen Daten und Verarbeitungstätigkeiten. Als unterstützende Werte werden in der Norm zum Bei­spiel Hardware und Software genannt.

Im Überblick: die Vorteile von ISO 27701

 

  • ISO 27701 formuliert Anforderungen an ein Privacy Information Management System.
  • Mit ISO 27701 erkennen, bewerten und minimieren Sie Sicherheitsrisiken im Datenschutz im Gesamtzusammenhang Ihres Informationssicherheitsmanagements.
  • In Ergänzung zu ISO 27001 ist ISO 27701 die erste zertifizierbare internationale Norm, die den Datenschutz per Zertifikat bestätigt (in Kürze: DAkkS-akkreditiertes Zertifikat der DQS).
  • ISO 27701 ist eine wichtige Entwicklung für den Datenschutz in Deutschland und international.

 

Fazit: Datenschutzmanagement systematisch und strukturiert angehen

Wer sicher durch die Untiefen der nationalen und internationalen Datenschutzvorgaben navigieren will, kommt nicht umhin, das Thema strukturiert und systematisch anzugehen. In diesem Kontext bietet ISO 27701 einen hohen Mehrwert. Die neue ISO-Norm beschreibt die allgemeinen Anforderungen an ein Datenschutz-Managementsystem und gibt Hilfestellung zur praktischen Umsetzung von Datenschutzanforderungen.

Datenschutz und Datensicherheit ist damit auch von mittelständischen Unternehmen zu stemmen und liefert eine hervorragende Blaupause für einen Compliance-konformen Datenschutz. Hierzu gehört auch eine umfassende Sammlung von Best Practices, mit denen Unternehmen sicher dokumentieren können, dass sie beim Umgang mit kritischen Daten die gebührende Sorgfalt walten lassen. ISO 27701 gilt weltweit und kann den Normanwender dabei unterstützen, verschiedensten Datenschutzanforderungen und nationalen Datenschutzgesetzen gerecht zu werden.

dqs-fragen-antwort-fragezeichen auf würfeln aus holz auf tisch
Loading...

Gerne beantworten wir Ihre Fragen

Welche Voraussetzungen bestehen für eine Zertifizierung nach ISO 27701 und mit welchem Aufwand müssen Sie rechen? Informieren Sie sich. Unverbindlich und kostenfrei.

DQS-Zertifikate schaffen Vertrauen

Im Kräftespiel von Dynamik und Stabilität gewinnen zertifizierte Managementsysteme immer mehr an Bedeutung – eine Entwicklung, die die DQS auf positive Weise spürt. Denn erfolgreiche Unternehmen und Organisationen nutzen die Erkenntnisse aus unseren Audits, um ihre Ergebnisse fortlaufend zu verbessern. Außerdem nutzen sie unsere weltweit anerkannten Zertifikate als objektiven Nachweis ihrer Qualitätsfähigkeit. Das schafft Vertrauen ­– sowohl nach innen wie auch außerhalb Ihres Unternehmens.

Expertise und Vertrauen

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, kontaktieren Sie uns.

Autor
Holger Schmeken

Produktmanager und Experte für Informationssicherheit und Softwareentwicklung. Seine Expertise bringt Diplom-Wirtschaftsinformatiker Holger Schmeken zudem als Auditor für ISO 27001 mit KRITIS-Prüfverfahrenskompetenz und Chief Information Security Officer der DQS BIT GmbH ein.

Loading...