Seit dem 25. Mai 2018 sind Un­ter­neh­men auch in Deutsch­land zur Um­set­zung der Da­ten­schutz-Grund­ver­ord­nung (DS-GVO) ver­pflich­tet. Wie die Nach­wei­se erbracht werden können, ist aber bis heute nicht de­fi­niert. Wie können Un­ter­neh­men also si­cher­ge­hen, dass sie die ge­setz­li­chen An­for­de­run­gen konform um­set­zen?

DS-GVO: Zertifizierungen in greifbarer Nähe

Die Unternehmen sind gut beraten, den datenschutzrechtlichen Aufsichtsbehörden gegenüber – auf Anfrage – einen Nachweis über die Umsetzung der gesetzlichen Anforderungen zu erbringen. Organisationen, die nicht alle Anforderungen erfüllen, riskieren empfindliche DSGVO-Strafen.

Mit ISO 27701 wurde im August 2019 eine neue Norm veröffentlicht, die Anforderungen an den Datenschutz im Informationssicherheits-Management formuliert. Sie spezifiziert damit ein Datenschutz-Managementsystem auf der Grundlage von ISO 27001, ISO 27002 (Leitfaden für Informationssicherheitsmaßnahmen) und ISO 29100 (Rahmenwerk für Datenschutz). ISO 27701 stellt aber nur eine Ergänzung zu ISO 27001 dar.

ISO/IEC 27701:2019-08 – In­for­ma­ti­ons­tech­nik – Si­cher­heits­ver­fah­ren – Er­wei­te­rung zu ISO/IEC 27001 und ISO/IEC 27002 für das Da­ten­schutz­ma­nage­ment – An­for­de­run­gen und Leit­fa­den. Die Norm ist bei Beuth erhältlich.

In Sachen Zertifizierung ergänzt die neue Norm ISO 27701 künftig ISO 27001 – und sie wird die erste Norm sein, die den Datenschutz per Zertifikat bestätigt. Dafür befindet sich die DQS aktuell im Akkreditierungsverfahren bei der Deutschen Akkreditierungsstelle (DAkkS) und rechnet demnächst mit einer Zulassung. Eine Zertifizierung allein nach der neuen Datenschutz-Norm ist nicht möglich.

iso-27001-trifft-ds-gvo-dqs-whitepaper-kostenfrei
Loading...

ISO 27701: ISO 27001 trifft DS-GVO

Ge­ball­tes Ex­per­ten­wis­sen in unserem kos­ten­frei­en White­pa­per. Erfahren Sie mehr über die

  • An­for­de­run­gen an ein Ma­nage­ment­sys­tem
  • ISO 27001, ISO 27701 und DS-GVO – ein Ver­gleich
  • 7 Schritte zum Da­ten­schutz­ma­nage­ment­sys­tem

DS-GVO: Datenschutzanforderungen im Managementsystem abbilden

Die DSGVO sieht eine Reihe von Abläufen vor, die seit Mai 2018 umgesetzt werden müssen. Dabei ist es sowohl von der Organisation, dem Zweck und der Art der Verarbeitung personenbezogener Daten als auch von den Risiken für Rechte und Freiheiten natürlicher Personen abhängig, welche Prozesse in welcher Ausprägung etabliert werden müssen. Dies können u.a. Prozesse zum Risikomanagement (Datenschutz-Folgenabschätzung), zum Umgang mit Auskunftsersuchen von Personen oder Prozesse zu Reaktionsmechanismen bei Datenschutzverletzungen sein.

Eine sinnvolle Lösung für Unternehmen, die vielfältigen Anforderungen abzubilden, bietet ein modernes Managementsystem – beispielsweise für die regelmäßige Überprüfung und Anpassungen von Datenschutzmaßnahmen oder das Festlegen der entsprechenden Verantwortlichkeiten. Genau diese Aspekte werden durch den fortlaufenden Verbesserungsprozess (Plan-Do-Check-Act-Modell) gesteuert. So können Unternehmen bereits heute erste Schritte gehen und auf bestehende Managementsysteme zurückgreifen

Ein Managementsystem, aber welches?

Als Lösung bietet sich also die Ausrichtung an den internationalen Normen ISO 27001 und ISO 27701 an.

Ein wirksames Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 wahrt unter Anwendung eines Risikomanagementprozesses die

  • Vertraulichkeit
  • Integrität und
  • Verfügbarkeit von Daten und Information.

Es gibt damit interessierten Parteien das Vertrauen in eine angemessene Steuerung von Risiken.

Eine Zertifizierung nach ISO 27001, vor allem in Verbindung mit ISO 27701, ist aber auch ein wesentlicher Beitrag zur Umsetzung der DS-GVO und Sicherstellung datenschutzrechtlicher Anforderungen im Unternehmen. Sie kann dazu beitragen, im Falle eines Datenschutzverstoßes das Bußgeld zu mindern (Art. 83 lit. c und Erwägungsgrund 150 DSGVO). Im Wesentlichen unterstützt die Norm ISO 27001 bei der Umsetzung der Anforderungen des Art. 32 DS-GVO – Sicherheit der Verarbeitung.

DS-GVO Umsetzung in Deutschland: wächst der Druck auf Unternehmen?

Die Mehrzahl der Unternehmen und Organisationen hat noch keine fertige Lösung für einen Umsetzungsnachweis der DS-GVO.

Die DS-GVO und das BDSG (Bundesdatenschutzgesetz) verpflichtet die Mitgliedstaaten, eine oder mehrere öffentliche Stellen zu beauftragen, die die Anwendung nationaler Datenschutzregelungen in völliger Unabhängigkeit überwachen. Weiterer Druck auf die Unternehmen entsteht dadurch, dass jeder Einzelne das Recht hat, sich an die zuständige Kontrollstelle zu wenden.

Die Aufsichtsbehörden hatten nach Mai 2018 noch einige Monate Karenz eingeräumt, bevor die Kontrollen der unabhängigen Datenschutzbeauftragten einsetzten. Doch die Liste der Verstöße ist mittlerweile lang und stellt das Sicherheitsgefühl auf eine harte Probe.

 

Bei der DQS in guten Händen

Wer ein Datenschutzmanagementsystem (DSMS) nach der neuen Norm ISO 27701 entwickelt und umgesetzt hat – sprich: wer seine personenbezogenen Daten systematisch schützt und managt – tut sich leicht, die Einhaltung gesetzlicher Bestimmungen sicherzustellen und zu belegen. In Sachen Zertifizierung ergänzt ISO 27701 die bekannte Norm ISO 27001 – und sie wird die erste Norm sein, die den Datenschutz per Zertifikat bestätigt. Die DQS befindet sich aktuell im Akkreditierungsverfahren bei der Deutschen Akkreditierungsstelle (DAkkS) und rechnet mit einer Zulassung im Sommer 2021.

ISO 27701 stellt aber nur eine Ergänzung zu ISO 27001 dar. Eine Zertifizierung allein nach der neuen Norm ist nicht möglich.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Sie haben Fragen zum Vor­ge­hen?

Kon­tak­tie­ren Sie uns.Ganz un­ver­bind­lich und kos­ten­frei. Wir zeigen Ihnen gerne mögliche Wege zu mehr Da­ten­schutz auf. 

Expertise und Vertrauen

Unsere Texte und Broschüren werden ausschließlich von internen Normexperten und langjährigen Auditoren für Managementsysteme verfasst. Sollten Sie Fragen zum Inhalt und unseren Audits haben, senden Sie uns gerne eine E-Mail an willkommen@dqs.de.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor
Gert Krüger

Langjähriger Experte und Pro­jekt­ma­na­ger für In­for­ma­ti­ons­si­cher­heit, BSI-Kri­tisV und Da­ten­schutz und Auditor für Qualitäts- und Um­welt­ma­nage­ment.

Loading...

Re­le­van­te Artikel und Ver­an­stal­tun­gen

Das könnte Sie auch in­ter­es­sie­ren.
Blog
trade secret law-germany-dqs-analytics data on office computer
Loading...

Das Ge­schäfts­ge­heim­nis-Ge­setz (GeschGehG) – Was ist zu tun?

Blog
patientendatenschutzgesetz-dqs-arzt bedient digitale anzeige mit symbolen aus der medizin
Loading...

Pa­ti­en­ten­da­ten-Schutz-Ge­setz – In­for­ma­ti­ons­si­cher­heit im Kran­ken­haus

Blog
digital-health-applications-dqs-stethoscope health symbols
Loading...

Digitale Ge­sund­heits­an­wen­dun­gen – Spe­zi­al­fall Da­ten­schutz