Privacy Information Managementsystem (PIMS)

ISO/IEC 27701 ist eine Erweiterung um Datenschutzkriterien eines Informationssicherheits-Managementsystems nach ISO/IEC 27001 und ISO/IEC 27002 (Security Controls). Die internationale Norm ISO 27701 bietet Leitlinien für den Schutz der Privatsphäre und zum Umgang mit personenbezogenen Daten. Sie hilft beim Nachweis der Einhaltung von Datenschutzbestimmungen weltweit.

Einhaltung gesetzlicher Bestimmungen

Aufsichtsbehörden von Ihrem Datenschutzkonzept überzeugen

Durch Prozessorientierung höheres Verständnis für Gesamtzusammenhänge

Normative Basis für ein Privacy Information Management System (PIMS)

Beschreibung Standard/Regelwerk
Loading...

Was ist ein Datenschutz-Management nach ISO 27701?

Im Unterschied zu ISO 27001 spricht die Managementnorm für ein Datenschutz-Managementsystem nicht mehr nur von „Informationssicherheit“, sondern von „Informationssicherheit und Datenschutz“. Darüber hinaus gibt es weitere inhaltliche Ergänzungen zur reinen Informationssicherheit.

So müssen bei der Betrachtung des Kontextes der Organisation unter anderem relevante Datenschutzgesetze und gerichtliche Entscheidungen berücksichtigt werden. Ebenso gilt es bei der Risikobeurteilung, Kriterien der Verarbeitung von personenbezogenen Daten zu berücksichtigen.

ISO 27701 kann nur in Verbindung mit einem Informationssicherheits-Managementsystem nach ISO 27001 zertifiziert werden. Die Datenschutz-Grundverordnung (DS-GVO) stellt in den Artikeln 5 und 32 Anforderungen, deren Erfüllung sich mit der Einführung eines Datenschutz-Managementsystems nach der Norm ISO 27701 nachweisen lassen.

Datenschutz ist damit in einem gewissen Rahmen zertifizierbar, mögliche Geldbußen nach Datenschutzvorfällen können so vermieden oder verringert werden.

mehr anzeigen
weniger anzeigen
Anforderungen
Loading...

Erfüllt mein Unternehmen die Anforderungen aus der DS-GVO, wenn ich die Norm umsetze?

Nein, mit der Umsetzung der Anforderungen aus ISO 27701 sind erst einmal nur die Anforderungen an ein Managementsystem umgesetzt, nicht aber die der Datenschutz-Grundverordnung. Dies fordert der internationale Standard auch nicht. Es besteht jedoch die Möglichkeit, die DS-GVO-Anforderungen in das Anforderungsmanagement von ISO/IEC 27701 zu überführen.

So können mithilfe von ISO 27701 auch die Anforderungen aus der DS-GVO zum Schutz personenbezogener Daten in das Managementsystem integriert und erfüllt werden. Dafür leistet der Anhang von ISO 27701 wertvolle Hilfestellung, denn er enthält eine ausführliche Zuordnungstabelle von Maßnahmen zu den Anforderungen der DSGVO.

mehr anzeigen
weniger anzeigen
Wie funktioniert
Loading...

Wie kann die Umsetzung der DS-GVO im Unternehmen belegt werden?

Als Verantwortlicher für den Datenschutz im Unternehmen unterliegen Sie der Nachweispflicht. Dafür ist ein Datenschutz-Managementsystem nach ISO 27701 die sichere und stabile Grundlage. Bei einem Datenschutzvorfall können DSGVO-Strafen nach dem Bußgeldkatalog der Datenschutzkonferenz vermieden oder zumindest verringert werden. 

Gemäß Artikel 83 (Absatz 2 Buchstabe d) der DSGVO spielt bei der Bemessung von Geldbußen auch eine Rolle, inwieweit sich das Unternehmen aktiv und strukturiert mit dem Datenschutz auseinandersetzt.

Sobald Sie ein Managementsystem nach DIN EN ISO 27701 eingeführt haben, können Sie sich von der DQS auditieren lassen. Wenn Sie dies tun, verfügen Sie über den objektiven Nachweis, dass Datenschutz für Sie von hoher Bedeutung ist, und Sie ein funktionierendes Datenschutz-Managementsystem betreiben.

Mit einem Zertifikat nach ISO 27701, das eine Zertifizierung nach ISO 27001 (Information Security Management) voraussetzt, haben Sie eine solide Basis für die Integration der DSGVO-Anforderungen geschaffen. An einigen Stellen fordert die DSGVO Maßnahmen, die ein Managementsystem de facto voraussetzen.

mehr anzeigen
weniger anzeigen
Business28.png
Loading...

Wie läuft eine ISO 27701 Zertifizierung ab?

Im ersten Schritt tauschen Sie sich mit uns über Ihr Unternehmen, Ihr Managementsystem und die Ziele einer ISO/IEC 27701 Zertifizierung aus. Auf dieser Basis erhalten Sie zeitnah ein detailliertes und transparentes Angebot, zugeschnitten auf Ihre individuellen Bedürfnisse.

Gerade bei größeren Zertifizierungsprojekten ist ein Planungsmeeting eine wertvolle Gelegenheit, um Ihren Auditor kennenzulernen, sowie ein individuelles Auditprogramm für alle involvierten Bereiche und Standorte zu entwickeln. Ein Voraudit bietet zudem die Möglichkeit, bereits im Vorfeld Verbesserungspotenzial, aber auch Stärken Ihres Managementsystems zu ermitteln. Beide Dienstleistungen sind optional.

Das Zertifizierungsaudit startet mit einer Systemanalyse (Audit Stufe 1) und der Bewertung Ihrer Dokumentation, der Ziele, der Ergebnisse Ihrer Managementbewertung und der internen Audits. Dabei stellen wir fest, ob Ihr Managementsystem ausreichend entwickelt und zertifizierungsreif ist.

Im nächsten Schritt (Systemaudit Stufe 2) begutachtet Ihr Auditor vor Ort die Wirksamkeit aller Managementprozesse. In einem Abschlussgespräch erhalten Sie von Ihrem Auditor eine detaillierte Ergebnisdarstellung und Hinweise auf Verbesserungspotenzial für Ihr Unternehmen. Bei Bedarf werden Maßnahmenpläne vereinbart.

Auf der Basis des Systemaudits findet eine Bewertung Ihres Managementsystems statt, die in einen Bericht mündet. Hat Ihr Unternehmen alle Normanforderungen erfüllt, erhalten Sie das ISO 27701 Zertifikat.

Um sicherzustellen, dass Ihr Unternehmen alle wichtigen Anforderungen von DIN EN ISO 27701 auch nach dem Zertifizierungsaudit erfüllt, führen wir in einem jährlichen Turnus Überwachungsaudits durch. So wird die kontinuierliche Verbesserung Ihres Datenschutz-Managementsystems und Ihrer Geschäftsprozesse kompetent begleitet.

Das Zertifikat ist für maximal drei Jahre gültig. Rechtzeitig vor Ablauf des Zertifikats wird eine Rezertifizierung durchgeführt, um die fortlaufende Erfüllung der anwendbaren Normanforderungen zu gewährleisten. Bei Erfüllung wird ein neues Zertifikat ausgestellt.

Banking13.png
Loading...

Was kostet eine ISO 27701 Zertifizierung?

Da jedes Unternehmen andere Voraussetzungen mitbringt und individuelle Anforderungen an ein Managementsystem stellt, lassen sich die Kosten für das Audit und die Zertifizierung nach ISO 27701 nicht pauschal angeben. Nehmen Sie Kontakt mit uns auf: Wir machen Ihnen auf der Basis einer objektiven Einschätzung und Ihrer Anforderungen ein maßgeschneidertes Angebot.

Business2.png
Loading...

Das können Sie von uns erwarten

  • Mehr als 35 Jahre Erfahrung in der Zertifizierung von Managementsystemen und Prozessen
  • Branchenerfahrene Auditoren aus dem weltweiten DQS-Netzwerk
  • Wertschöpfende Einblicke zum Datenschutz in Ihr Unternehmen
  • Zertifikate mit internationaler Akzeptanz
  • Persönliche, reibungslose Betreuung durch unsere Spezialisten – regional, national und international
  • Individuelle Angebote mit flexiblen Vertragslaufzeiten ohne versteckte Kosten
  • Aussagekräftige Auditberichte einschließlich Handlungsempfehlungen
mehr anzeigen
weniger anzeigen
Loading...

Angebotsanfrage

Ihre Ansprechpartnerin Regine Bullon

"Gerne erstellen wir ihnen ein maßgeschneidertes Angebot für die ISO 27701 Zertifizierung."