Da­ten­schutz und In­for­ma­ti­ons­si­cher­heit – mit ISO 27001 und ISO 27701

Datenschutz und Informationssicherheit

Die In­ter­na­tio­na­le Or­ga­ni­sa­ti­on für Normung (ISO) hat 2019 eine Norm für ein all­ge­mei­nes Da­ten­schutz-Ma­nage­ment­sys­tem (DSMS) veröffentlicht: ISO/IEC 27701. Sie be­schreibt ein DSMS auf der Grund­la­ge eines Ma­nage­ment­sys­tems für In­for­ma­ti­ons­si­cher­heit gemäß ISO/IEC 27001. Diese spe­zi­el­le Form des DSMS wird als Personal In­for­ma­ti­on Ma­nage­ment System (PIMS) be­zeich­net. Im Fol­gen­den werden die Grund­la­gen für dieses PIMS be­schrie­ben. 

Im Kontext von Informationssicherheit ist Datenschutz kein einmaliges Projekt, welches begonnen, durchlaufen und abgeschlossen wird. Genau das Gegenteil ist der Fall. Der betriebliche Datenschutz ist eine Anzahl an Datenschutzprozessen, die in Organisationen permanent verfügbar und umsetzbar, beziehungsweise durch einen Trigger auslösbar sein müssen. Wichtige Beispiele dafür sind die beiden Datenschutzprozesse „Betroffenenrechte gewährleisten“ und „auf Datenschutzvorfälle reagieren“.

Seit Mai 2016 in Kraft, seit 25. Mai 2018 in Umsetzung – die Datenschutz-Grundverordnung (DS-GVO). Sie gibt seither lediglich die Regeln für das DSMS vor und formuliert strenge gesetzliche Anforderungen, was erlaubt oder verboten ist (Business Rules). Die DSGVO trifft aber keine Aussage, wie die Umsetzung der gesetzlichen Datenschutzanforderungen zu erfolgen hat.

Was ist der Unterschied zwischen Informationssicherheit und Datenschutz?

Datenschutz und Informationssicherheit sind eng miteinander verknüpft, doch sie verfolgen unterschiedliche Ziele.

Datenschutz konzentriert sich auf den Schutz personenbezogener Daten und die Wahrung der Privatsphäre von Individuen. Er stellt sicher, dass persönliche Informationen rechtmäßig verarbeitet und vor Missbrauch geschützt werden, insbesondere im Einklang mit gesetzlichen Vorgaben wie der Datenschutz-Grundverordnung (DS-GVO).

Informationssicherheit hingegen bezieht sich auf den Schutz aller Arten von Informationen, unabhängig davon, ob sie personenbezogen sind oder nicht. Sie umfasst Maßnahmen zur Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten, um diese vor unbefugtem Zugriff, Manipulation und Missbrauch durch Dritte oder vor Verlust zu schützen. Während Datenschutz spezifisch auf personenbezogene Daten abzielt, deckt Informationssicherheit alle zu bewahrenden Unternehmenswerte ab – und dabei geht es um weit mehr als nur IT-Systeme.

Was ist ein Managementsystem?

Die Definition eines Managementsystems ist abstrakt und kann ad hoc nicht operationalisiert werden. Die Norm ISO/IEC 27000:2020 definiert ein Managementsystem als ein …

Erst wenn die Elemente eines Managementsystems näher definiert sind, kann eine Aussage darüber getroffen werden, ob die strengen gesetzlichen und betrieblichen Datenschutzanforderungen der DSGVO mit dem vorliegenden Managementsystem erfüllt werden. Die bloße Aussage, dass ein Datenschutz-Managementsystem betrieben wird, liefert weder einen Hinweis auf die Qualität des DSMS noch auf den Umsetzungsstand.

Moderne Managementsystemnormen basieren auf einer einheitlichen Grundstruktur, der sogenannten Harmonized Structure bzw. High Level Structure (HLS). Sie enthält alle Elemente, die aus Sicht der ISO für ein Managementsystem relevant sind (Appendix 2 zum Annex SL der ISO/IEC Directives, Part 1). Aus diesem Grund ähneln sich die grundlegenden Mechanismen einzelner Managementsystemnormen stark.

Das spezifische Personal Information Management System (PIMS) gemäß ISO/IEC 27701, hat also die identische Basis wie ein Qualitätsmanagementsystem nach ISO 9001, ein Umweltmanagementsystem nach ISO 14001 oder ein Informationssicherheits-Managementsystem nach ISO 27001.

Datenschutz und Informationssicherheit – Integration der DSGVO in ein Managementsystem

Ein PIMS nach der internationalen Norm ISO/IEC 27701 ist universell und nicht nur auf die europäische Datenschutz-Grundverordnung zugeschnitten. Die Norm beschreibt ein Datenschutz-Managementsystem auf der Grundlage eines Managementsystems für Informationssicherheit gemäß ISO 27001. Damit ist die Norm ISO 27701 geeignet, jeglichen betrieblichen Schutz personenbezogener Daten umzusetzen, also auch das kalifornische oder japanische Datenschutzrecht.

ABER: Wer ein PIMS nach der Datenschutznorm entwickelt und umgesetzt hat – sprich: Wer seine personenbezogenen Daten systematisch schützt und managt –, tut sich leicht, die Einhaltung gesetzlicher Datenschutzanforderungen sicherzustellen und zu belegen. Dies geschieht durch den Managementsystem-Mechanismus des Anforderungsmanagements. Als Anforderungsmanagement wird die Erkennung und Bewertung von internen und externen Anforderungen und Umsetzung von Maßnahmen zur Risikobehandlung bezeichnet.

Fünf Vorteile eines Datenschutzmanagements

Im Wechselspiel von Informationssicherheit und Datensicherheit ist eine Norm immer als ein Best-Practice zu verstehen. Die konkrete Umsetzung der Anforderungen und Maßnahmen für Datensicherheit ist durch den Anwender vorzunehmen.

Allgemeiner Vorteil des PIMS ist die weltweite Vereinheitlichung durch die Datenschutznorm und die umfangreiche Literatur zur Normumsetzung. Zugegebenermaßen ist die Normensprache „gewöhnungsbedürftig“.

Vorteil 1: Zuweisung von Verantwortlichkeiten

Es scheint bei kleinen und mittelständischen Unternehmen (KMU) schon fast Unternehmenskultur, Verantwortung unklar oder gar nicht zuzuordnen. Es ist zu beobachten, dass in vielen Unternehmensrichtlinien die Verantwortung für gewisse Tätigkeiten oder Assets nicht klar definiert und adressiert sind. Dies ist ein großes Manko und führt im Betrieb zu Lücken und Fehlern.

ABER: Der Schutz von Daten ist ein „Teamsport“. Nur wenn alle Aufgaben identifiziert und den Verantwortlichen zugewiesen sind, und nur, wenn diese Personen ihre Aufgaben auch erfüllen, kann Ihr Unternehmen datenschutz-compliant agieren.

Durch die Einführung eines PIMS muss für den Anwendungsbereich der Norm das Eigentümerprinzip in die Organisation eingeführt werden. Der Begriff Eigentümer ist hier aber nicht in seiner zivilrechtlichen Bedeutung zu begreifen. Vielmehr wird im Normendeutsch mit Eigentümer die Verantwortung einer Person für ein Asset oder die Umsetzung einer Anforderung oder Maßnahme bezeichnet.

Beispiel: Das Führen des „Verzeichnisses der Verarbeitungstätigkeiten (VVT)“ wird häufig an den Datenschutzbeauftragten (DSB) delegiert. Dies ist natürlich kompletter Unsinn und kann auch nicht funktionieren, da der DSB häufig in vielen Verarbeitungstätigkeiten gar nicht involviert ist. Im Qualitätsmanagement führen die Prozessverantwortlichen die Prozessdokumentationen durch. Die oberste Leitung sollte dies analog auch im Datenschutz entsprechend delegieren.

Vorteil 2: der betriebliche Datenschutz ist risikoorientiert

Der europäische Gesetzgeber fordert in der DS-GVO eine risikoorientierte Umsetzung der Datensicherheit, zum Beispiel in Artikel 32 Abs. 1 DSGVO. Diese Risikoorientierung funktioniert häufig nicht in Unternehmen, in denen offiziell kein Managementsystem installiert ist. Durch die Anwendung der Datenschutznorm ISO 27701 wird zwangsläufig auch die Risikoorientierung eingeführt. Dabei ist die Methode zur Risikobewertung von Datensicherheit nicht vorgeschrieben und kann – in Grenzen – durch den Anwender festgelegt werden.

Vorteil 3: Änderungsmanagement als Erfolgskomponente

Auslöser von Datenschutzprozessen kann eine Änderung in der Organisation sein. Zum Beispiel die Implementierung oder Anpassung eines Geschäftsprozesses, einer Dienstleistung oder eines Produktes. Unternehmen ohne Änderungsmanagement (Change Management) haben große Probleme, die datenschutzrechtlichen Anforderungen einzuhalten, da der Umgang mit Änderungen regelmäßig zufällig und ungesteuert geschieht. Es entsteht eine sogenannte Regelungslücke.

Ein PIMS erfasst und steuert diese Änderungen mit Hilfe eines Änderungsmanagements und setzt sie um. Die Änderung eines Geschäftsprozesses bedingt zum Beispiel die Prüfung der Zulässigkeit (Rechtmäßigkeit, Datensparsamkeit, Betroffenenrechte, Dokumentation im VVT, etc.).

Beispiel: Die Anforderung der frühzeitigen Einbindung des Datenschutzbeauftragten bei der Gestaltung von Änderungen lässt sich ganz einfach erreichen, indem er in das Change-Team berufen wird.

Vorteil 4: Optimierung durch kontinuierlichen Verbesserungsprozess

Unternehmen verändern sich permanent. Ein Personal Information Management System wird initial geplant, umgesetzt und betrieben. Sehr wahrscheinlich verläuft der erste Versuch der Einführung, Umsetzung und des Betriebes suboptimal, da die Erfahrungen fehlen. Auch wenn bei der Implementierung ein erfahrener Berater konsultiert wird, ist mit Stolpersteinen zu rechnen.

Zwar verfügen alle PIMS prinzipiell über die identischen Mechanismen, die aber unterschiedlich ausgestaltet sind. Einfluss auf die Umsetzung der Mechanismen können die Größe der Organisation, die Organisationskultur oder auch der Branchenschwerpunkt sein.

Ein guter Teilmechanismus, um das PIMS permanent an die wechselnden Bedürfnisse der Organisation und interessierten Parteien anzupassen, ist der fortlaufende Verbesserungsprozess (KVP).

Beispiel: Die Datenschutz-Grundverordnung verlangt ein Informationsblatt, in dem Kunden oder etwa Bürger zum Zeitpunkt der Erhebung von Daten über die Art und den Umfang der Verarbeitung von personenbezogenen Daten und damit zusammenhängenden Rechten informiert werden. Diese Informationsblätter nach Artikel 13 und 14 DS-GVO werden zwar rechtskonform veröffentlicht, allerdings gibt es von den Betroffenen viele Nachfragen zu diesen Informationen. Das Unternehmen erkennt durch die Aufnahme dieser Verbesserungsvorschläge, dass es durch die Optimierung der Veröffentlichung der Informationen Ressourcen einsparen und die Kundenzufriedenheit erhöhen kann.

Vorteil 5: ausführlicher Maßnahmenkatalog

Wie schon beschrieben, ist ISO 27701 nicht auf die deutsche DS-GVO zugeschnitten. Für die Ergänzung des PIMS um die spezifischen Anforderungen der DS-GVO ist der Normanwender verantwortlich.

Die internationale Norm bringt aber drei umfangreiche Maßnahmenkataloge zur allgemeinen Umsetzung des betrieblichen Datenschutzes mit:

• technische und organisatorische Maßnahmen,
• Datenschutzorganisation beim Verantwortlichen und
• Datenschutzorganisation beim Auftragsverarbeiter.

Die gute Nachricht für den europäischen Anwender ist, dass sich die Autoren der Datenschutz-Norm bei der Gestaltung der Maßnahmenkataloge stark nach der DS-GVO gerichtet haben. Das bedeutet: Die Anwendung der generischen Maßnahmenkataloge bildet bereits viele gesetzliche Anforderungen ab. Fehlende Anforderungen werden dann durch das Anforderungsmanagement nachgeführt.

Die Maßnahmen sind Best-Practices zur Umsetzung und im Stil einer Anleitung verfasst. Im Gegensatz zu den Business Rules der DS-GVO wird dem Anwender der Norm bei den Maßnahmen erläutert, wie eine Umsetzung zu erfolgen hat. Aus Sicht des Autors bedeutet dies einen sehr großen Vorteil.

Fazit: Datenschutz und Informationssicherheit

Die Einführung eines Datenschutz-Managementsystems nach DIN EN ISO/IEC 27701 bietet Unternehmen eine fundierte Grundlage, um die Anforderungen der DS-GVO sowie anderer internationaler Datenschutzgesetze zu erfüllen. Diese Norm erweitert das bestehende Informationssicherheits-Managementsystem nach ISO 27001 um spezifische Datenschutzaspekte und ermöglicht eine nahtlose Integration in bestehende Sicherheitsstrukturen.

Zu den wesentlichen Vorteilen der Norm zählen die klare Zuweisung von Verantwortlichkeiten und die Einführung eines risikoorientierten Ansatzes, der Unternehmen hilft, Datenschutzrisiken proaktiv zu managen. Durch die Integration von Datenschutz- und Informationssicherheitsmaßnahmen wird ein ganzheitlicher Schutz sensibler Daten gewährleistet. 

Die DQS – der richtige Partner an Ihrer Seite

Managementsystemnormen bieten einen systematischen und strukturierten Rahmen, gesetzliche Verpflichtungen zu berücksichtigen und in die Geschäftsprozesse zu integrieren. Unternehmen, die auf Nummer sicher gehen wollen, nutzen für Datenschutz und Informationssicherheit international anerkannte Standards.

Als Spezialist für die Zertifizierung von Managementsystemen und Prozessen verbinden wir unser Expertenwissen mit dem Engagement für die Weiterentwicklung Ihres Unternehmens. Zugleich ist ein zertifiziertes Managementsystem für Informationssicherheit und Datenschutz der Nachweis für die Sorgfalt und Weitsicht Ihres Unternehmens für den Fall von externen Datenangriffen.

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zum Inhalt oder unseren Dienstleistungen an unseren Autor haben, nehmen Sie Kontakt mit uns auf. Wir freuen uns auf das Gespräch mit Ihnen.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.