Datenschutzmanagement mit Zertifikat

INHALT

• Was steckt in ISO 27701?
• ISMS und PIMS: Gemeinsamkeiten und Unterschiede
• Datenschutzziele und Informationssicherheitsziele: Ähnlichkeiten und Unterschiede
• Zertifikate nach ISO 27701 in greifbarer Nähe
• ISO 27701: ein großer Schritt in Richtung Datenschutz
• Klare Verantwortlichkeiten schaffen
• Pluspunkt Risikoorientierung
• Im Überblick: Die Vorteile von ISO 27701
• Fazit: Datenschutz systematisch und strukturiert angehen
• DQS-Zertifikate schaffen Vertrauen

Datenschutz als Ergänzung für ein Managementsystem

Datenschutzmanagement wird optimalerweise mit Hilfe einer internationalen Norm gestaltet, und zwar im Duo mit ISO 27001. Der bekannte Standard DIN EN ISO/IEC 27001 beschäftigt sich mit den Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) und ist für diesen Anwendungsbereich auch zertifizierbar. Die neue Norm ISO/IEC 27701 für Datenschutzmanagement baut auf ISO 27001 auf und ergänzt diese um Datenschutzkriterien. Durch diese Erweiterung werden die Anforderungen an ein Datenschutzinformations-Managementsystem (DSMS oder Privacy Information Management System, PIMS) in ein ISMS integriert.

Der vollständige Titel der internationalen Datenschutznorm lautet:

Gleichermaßen wie ISO 27001 berücksichtigt auch ISO 27701 den Managementsystemansatz und bezieht sich auf die Grundstruktur moderner Managementsystemnormen, die High Level Structure (HLS).

Die neue internationale Norm ist Teil von ISO 29100, die alle Datenschutzgrundsätze enthält. Sie sollte zunächst den Titel ISO 27552 tragen, wurde dann jedoch in ISO 27701 umbenannt. Hintergrund hierfür ist die Entscheidung der International Organization for Standardization (ISO), alle großen, zertifizierungsfähigen Normen auf 01 enden zu lassen.

Datenschutzmanagement: Was steckt in ISO 27701?

In der neuen Datenschutznorm ist statt von „Informationssicherheit“ die Rede von „Informationssicherheit und Datenschutz“. Darüber hinaus gibt es inhaltliche Ergänzungen. So wird beispielsweise bei der Betrachtung des Kontextes der Organisation die Einbeziehung relevanter Datenschutzgesetze und gerichtlicher Entscheidungen verlangt. Ebenso sind bei der Risikobeurteilung Kriterien der Verarbeitung von persönlichen Daten zu berücksichtigen – den Schutz betroffener Personen und eine mögliche Folgenabschätzung immer im Blick.

Zusätzlich beinhaltet ISO 27701 Ergänzungen zu ISO 27002, dem Leitfaden zur Umsetzung der Maßnahmen aus Anhang A von ISO 27001.

Die ISO-Norm gibt ferner folgende Hinweise zum Datenschutz Management:

• Erweiterung der Leitlinie und der Richtlinien um Aspekte des Datenschutzes
• Ernennung eines Verantwortlichen (Datenschutzbeauftragten) im Unternehmen für das Privacy Information Management System
• Datenschutzschulung der Mitarbeiter
• Protokollierung von Zugriffen und Veränderungen
• Verschlüsselung, zum Beispiel besonderer Kategorien personenbezogener Daten wie Gesundheitsdaten
• Berücksichtigung des „Privacy by Design“ Grundsatzes
• Überprüfung von Sicherheitsvorfällen auf Datenschutzverletzungen

Im Anhang von ISO 27701 findet sich eine ausführliche Zuordnungstabelle der Maßnahmen zu den Anforderungen der DSGVO. Hier wird deutlich, welchen Einfluss die EU-Datenschutzgrundverordnung auf die Norm als internationalen Standard für den Datenschutz hat.

ISMS und PIMS: Gemeinsamkeiten und Unterschiede

Informationssicherheits-Managementsysteme (ISMS) und Privacy Information Management System (PIMS) sind eng miteinander verwoben.

Beim Datenschutz und der Datensicherheit geht es um personenbezogene Daten. In der ISO-Normenreihe 27000 ff. geht es vor allem um den Schutz von Informationen, wobei persönliche Daten eine Untergruppe darstellen. Der Blickwinkel entscheidet also: „Handelt es sich um eine Datenschutzverletzung oder einen Informationssicherheitsvorfall oder sogar beides?“

„Der Vorteil von ISO 27701? Den Blick schärfen für Datenschutzaspekte im Informationssicherheits-Managementsystem!“

Stephan Rehfeld, Datenschutzexperte und Auditor der DQS

Wo der Begriff „Informationssicherheit“ in ISO 27001 oder ISO 27002 verwendet wird, heißt es in ISO 27701 „Informationssicherheit und Datenschutz“. Durch diese Ergänzung wird ein Teil des Managementsystems für Informationssicherheit um den Datenschutz erweitert.

Es gibt jedoch auch Abweichungen, bei denen ein PIMS anders funktioniert als ein ISMS. Ein Beispiel: Das unterschiedliche Verständnis des Kontextes der Organisation. In ISO 27701 gibt es im Kapitel 4.1 eine zusätzliche Anforderung zu ISO 27001, dass „die Organisation ihre Rolle als Verantwortliche bzw. als Joint-Controller für gemeinsame Verantwortlichkeiten und/oder als Auftragsverarbeiterin definieren“ solle.

Diese Anforderung ist im Informationssicherheits-Managementsystem nicht vorhanden, denn das ISMS kennt die Unterscheidung zwischen „Controller“ und „Processor“ nicht. Folgerichtig findet sich in ISO 27701 eine Ergänzung um zwei zusätzliche Anhänge mit datenschutzspezifischen Maßnahmen für „Verantwortliche“ und „Auftragsverarbeiter“.

Datenschutzziele und Informationssicherheitsziele: Ähnlichkeiten und Unterschiede

In ISO 29100 sind die Datenschutzprinzipien definiert, die das eigene Managementsystem erfüllen soll. Artikel 5 der DatenschutzGrundverordnung (DS-GVO) zeigt auf, welche Datenschutzziele mit den operationalen Artikeln der DS-GVO erreicht werden sollen. Die Prinzipien und Ziele sind größtenteils deckungsgleich. Das liegt daran, dass die OECD im Jahr 1980 Datenschutzziele definierte. Diese dienten als Grundlage sowohl für ISO 29100 als auch für die DS-GVO.

Im Informationssicherheits-Managementsystem (ISMS) finden sich die Informationssicherheitsziele Vertraulichkeit, Integrität, Verfügbarkeit. Dies findet sich auch im Artikel 5 bzw. im Artikel 32 DS-GVO wieder. Ein großer Unterschied ist jedoch die Definition der „interessierten Parteien“ im ISMS. Hierunter fallen zum Beispiel die eigenen Mitarbeiter, Kunden, Lieferanten, Kapitalgeber oder Behörden. Im Datenschutz hingegen ist die interessierte Partei nur der Betroffene.

Somit unterscheidet sich auch das Datenschutz-Risikomanagement vom Informationssicherheits-Risikomanagement. Im Ergebnis kann das ISMS nicht eins zu eins als PIMS mit dessen datenschutzspezifischen Prozessen genutzt werden. Dennoch gibt es Möglichkeiten zur Integration, sodass zum Beispiel gemeinsame interne Audits stattfinden können.

Datenschutzmanagement: Zertifikate nach ISO 27701 in greifbarer Nähe

In Sachen Zertifizierung ergänzt die Norm ISO 27701 nun ISO 27001 – und sie wird die erste Norm sein, die den Datenschutz per Zertifikat bestätigt. Dafür befindet sich die DQS aktuell im Akkreditierungsverfahren bei der Deutschen Akkreditierungsstelle (DAkkS) und rechnet bald mit einer Zulassung. Da ISO 27701 als Erweiterung von ISO 27001 angelegt ist, kann das Datenschutzmanagementsystem nach ISO 27701 allerdings nicht ohne ein Informationssicherheits-Managementsystem nach ISO 27001 zertifiziert werden.

ISO 27701: Ein großer Schritt in Richtung Datenschutzmanagement

Wer ein systematisches Datenschutzmanagement (PIMS) nach ISO 27701 entwickelt und umgesetzt hat – sprich: wer seine personenbezogenen Daten systematisch schützt und managt – tut sich leicht, die Einhaltung gesetzlicher Bestimmungen sicherzustellen und zu belegen. Unternehmen können mit dem neuen Standard eine weitgehend datenschutzkonforme Informationssicherheit und entsprechenden Datenschutz etablieren.

Mit ISO 27701 klare Verantwortlichkeiten schaffen

Unternehmen kommen bei der Umsetzung der neuen ISO-Norm gar nicht umhin, klare Verantwortlichkeiten im Bereich Datenschutz zu definieren. Diesen Vorteil darf man nicht unterschätzen. Denn in den meisten Betrieben ohne ein systematisches Datenschutzmanagement formuliert man Zuständigkeiten aus falsch verstandener Höflichkeit viel zu oft weich („Könntest Du das künftig übernehmen?“). Oder aber man teilt Verantwortlichkeiten, nach dem Motto „Das machen wir zusammen!“. Beides führt unweigerlich dazu, dass am Ende niemand die Verantwortung übernimmt. Mit einem gut strukturierten Datenschutzmanagementsystem gibt es klare Vorgaben, und das ist unbezahlbar.

„Unterm Strich profitiert wirklich jedes Unternehmen davon, seinen Datenschutz zu systematisieren – über alle Branchen und Unternehmensgrößen hinweg.“

Stephan Rehfeld, Datenschutzexperte und Auditor der DQS

Die neue ISO-Norm stützt sich dabei keineswegs nur auf die Grundsätze der Datenschutz-Grundverordnung, sondern soll Unternehmen auch bei der Einhaltung weltweiter Datenschutzstandards unterstützen. Ziel dabei ist es, ein PIMS einzurichten, umzusetzen, aufrechtzuerhalten und kontinuierlich zu verbessern.

Pluspunkt Risikoorientierung

Es gibt einen weiteren Pluspunkt, der für die Integration von ISO 27701 in ISO 27001 spricht. Unternehmen sind mit der Einführung von ISO 27701 quasi „gezwungen“, sich risikoorientiert mit dem Schutz personenbezogener Daten auseinanderzusetzen. Dazu gehört es beispielsweise, Risiken vollumfänglich zu definieren und zu bewerten und die Wahrscheinlichkeit abzuschätzen, mit der diese eintreten werden.

Diese Risikobewertung bildet dann den Ausgangspunkt, um das konkrete Schadenspotenzial auf ein tragbares Maß zu reduzieren. Diese wunderbar pragmatische Herangehensweise finden wir in ähnlicher Form übrigens auch bei der DSGVO, sodass sich der Kreis auch in puncto Praxisnähe schließt.

Im Überblick: die Vorteile von ISO 27701

• ISO 27701 formuliert Anforderungen an ein Privacy Information Management System.
• Mit ISO 27701 erkennen, bewerten und minimieren Sie Sicherheitsrisiken im Datenschutz im Gesamtzusammenhang Ihres Informationssicherheitsmanagements.
• In Ergänzung zu ISO 27001 ist ISO 27701 die erste zertifizierbare internationale Norm, die den Datenschutz per Zertifikat bestätigt (in Kürze: DAkkS-akkreditiertes Zertifikat der DQS).
• ISO 27701 ist eine wichtige Entwicklung für den Datenschutz in Deutschland und international.

Fazit: Datenschutzmanagement systematisch und strukturiert angehen

Wer sicher durch die Untiefen der nationalen und internationalen Datenschutzvorgaben navigieren will, kommt nicht umhin, das Thema strukturiert und systematisch anzugehen. In diesem Kontext bietet ISO 27701 einen hohen Mehrwert. 

Datenschutz und Datensicherheit ist damit auch von mittelständischen Unternehmen zu stemmen und liefert eine hervorragende Blaupause für einen Compliance-konformen Datenschutz. Hierzu gehört auch eine umfassende Sammlung von Best Practices, mit denen Unternehmen sicher dokumentieren können, dass sie beim Umgang mit kritischen Daten die gebührende Sorgfalt walten lassen. 

DQS-Zertifikate schaffen Vertrauen

Im Kräftespiel von Dynamik und Stabilität gewinnen zertifizierte Managementsysteme immer mehr an Bedeutung – eine Entwicklung, die die DQS auf positive Weise spürt. Denn erfolgreiche Unternehmen und Organisationen nutzen die Erkenntnisse aus unseren Audits, um ihre Ergebnisse fortlaufend zu verbessern. Außerdem nutzen sie unsere weltweit anerkannten Zertifikate als objektiven Nachweis ihrer Qualitätsfähigkeit. Das schafft Vertrauen ­– sowohl nach innen als auch außerhalb Ihres Unternehmens.

Expertise und Vertrauen

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, kontaktieren Sie uns.