DQS im Dialog
DQS Website Abonnieren

ISO 27701 – Ist Datenschutz jetzt zertifizierbar?

Viele Unternehmen sind auf der Suche nach einem Zertifikat, um zu belegen, dass sie die Anforderungen der DS-GVO einhalten. Auch die EU-Datenschutz-Grundverordnung sieht eine Datenschutzzertifizierung vor. Im August 2019 wurde mit ISO 27701 eine neue Norm für den Nachweis der Umsetzung datenschutzrechtlicher Vorschriften veröffentlicht. Ist dieser neue internationale Standard nun zertifizierbar?
© iStock ISO 27701 Datenschutz ist zertifizierbar

ISO 27001 – Datenschutz als Ergänzung für das Managementsystem

Der bekannte Standard DIN EN ISO/IEC 27001 beschäftigt sich mit den Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) und ist für diesen Anwendungsbereich auch zertifizierbar. Die neue Norm ISO/IEC 27701 wurde im August 2019 veröffentlicht. Sie baut auf ISO 27001 auf und ergänzt diese um Datenschutzkriterien. Durch diese Erweiterung werden die Anforderungen an ein Datenschutzinformations-Managementsystem (Privacy Information Management System, PIMS) in ein ISMS integriert.

Der vollständige Titel der internationalen Norm lautet:

ISO/IEC 27701:2019-08 – Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden

Gleichermaßen wie ISO 27001 berücksichtigt auch ISO 27701 den Managementsystemansatz und bezieht sich auf die Grundstruktur moderner Managementsystemnormen, die High Level Structure (HLS).

Wer mehrere ISO-Normen implementiert oder zertifiziert hat, kann ISO 27701 aufgrund der High Level Structure erfahrungsgemäß sehr einfach integrieren. Das Standardszenario ist dabei natürlich die Einbettung von ISO 27701 in die ISO 27001.

Stephan Rehfeld, Datenschutzexperte und Auditor der DQS GmbH
Digitales Bewusstsein

Digitales Bewusstsein

DQS-ONLINE-KONGRESS

  • Einblicke gewinnen: Wie sich Audits mit der Digitalisierung verändern
  • Perspektiven erkennen: Wie Qualität in Zukunft aussehen kann
  • Zusammenhänge erstellen: Beim Zusammenspiel zwischen Wissen und Information und Wissen der Organisation

Wann? Am 12.Oktober 2021 von 9:30 Uhr bis 15:30 Uhr

Am Kongress teilnehmen

Was steckt in ISO 27701?

In der neuen Norm ist statt von „Informationssicherheit“ die Rede von „Informationssicherheit und Datenschutz“. Darüber hinaus gibt es inhaltliche Ergänzungen. So wird beispielsweise bei der Betrachtung des Kontextes der Organisation die Einbeziehung relevanter Datenschutzgesetze und gerichtlicher Entscheidungen verlangt. Ebenso sind bei der Risikobeurteilung Kriterien der Verarbeitung von personenbezogenen Daten zu berücksichtigen. 

Zusätzlich beinhaltet ISO 27701 Ergänzungen zu ISO 27002, dem Leitfaden zur Umsetzung der Maßnahmen aus Anhang A von ISO 27001.

Whitepaper ISO 27701: ISO 27001 trifft DS-GVO der DQS

ISO 27701: ISO 27001 trifft DS-GVO

KOSTENFREIES WHITEPAPER

Sichern Sie sich diese Informationen:

  • Anforderungen an ein Managementsystem
  • ISO 27001 und DS-GVO – ein Vergleich
  • ISO 27701 vs. ISO 27001
  • 7 Schritte zum Datenschutzmanagementsystem
Jetzt herunterladen!

Die Norm gibt ferner folgende Hinweise:

  • Erweiterung der Leitlinie und der Richtlinien um Aspekte des Datenschutzes
  • Ernennung eines Verantwortlichen für das „Privacy Information Management System“ (PIMS)
  • Datenschutzschulung der Mitarbeiter
  • Protokollierung von Zugriffen und Veränderungen
  • Verschlüsselung, zum Beispiel besonderer Kategorien personenbezogener Daten wie Gesundheitsdaten
  • Berücksichtigung des „Privacy by Design“ Grundsatzes
  • Überprüfung von Sicherheitsvorfällen auf Datenschutzverletzungen

Im Anhang von ISO 27701 findet sich eine ausführliche Zuordnungstabelle der Maßnahmen zu den Anforderungen der DS-GVO. Hier wird deutlich, welchen Einfluss die EU-Datenschutz-Grundverordnung auf die Norm als internationalen Standard für den Datenschutz hat.

Zertifikate nach ISO 27701 in greifbarer Nähe

In Sachen Zertifizierung ergänzt die neue Norm ISO 27701 künftig ISO 27001 – und sie wird die erste Norm sein, die den Datenschutz per Zertifikat bestätigt. Dafür befindet sich die DQS aktuell im Akkreditierungsverfahren bei der Deutschen Akkreditierungsstelle (DAkkS) und rechnet mit einer Zulassung im Sommer 2021.

ISO 27701 zertifizierbare Norm für Datenschutz

ISO 27701 – das Wichtigste in 2 Minuten

In unserem Video zur Norm erfahren Sie:

  • Was ist ISO 27701 (PIMS)?
  • Wie ist die Verbindung zur DS-GVO?
  • Vorteile und Gründe für eine Erweiterung von ISO 27001
  • Nachweismöglichkeiten zur Umsetzung datenschutzrechtlicher Anforderungen
Film ab…

Da ISO 27701 als Erweiterung von ISO 27001 angelegt ist, man spricht von einer so genannten „bereichsspezifischen Ergänzung“, kann das Privacy Information Management System (PIMS) nach ISO 27701 nicht ohne ein Informationssicherheits-Managementsystem zertifiziert werden. Zertifiziert wird ein Informationssicherheits-Managementsystem nach der international anerkannten Norm DIN EN ISO/IEC 27001. Die Zertifizierung eines ISMS richtet sich nach ISO 17021 in Verbindung mit ISO 27006. Diese beiden Regelwerke formulieren Anforderungen an Zertifizierungsstellen, die Managementsysteme auditieren und zertifizieren.

ISO 27701 – ein großer Schritt in Richtung Datenschutz

Wer ein Datenschutzmanagementsystem (DSMS) nach ISO 27701 entwickelt und umgesetzt hat – sprich: wer seine personenbezogenen Daten systematisch schützt und managt – tut sich leicht, die Einhaltung gesetzlicher Bestimmungen sicherzustellen und zu belegen. Unternehmen können mit dem neuen Standard ISO/IEC 27701 eine weitgehend datenschutzkonforme Informationssicherheit und Datenschutz etablieren.

Unter dem Strich profitiert wirklich jedes Unternehmen davon, seinen Datenschutz zu systematisieren – über alle Branchen und Unternehmensgrößen hinweg.

Stephan Rehfeld, Datenschutzexperte und Auditor der DQS GmbH

Die neue ISO-Norm stützt sich dabei nicht nur auf die Grundsätze der DS-GVO, sondern soll Unternehmen bei der Einhaltung weltweiter Datenschutzstandards unterstützen. Ziel dabei ist es, ein PIMS einzurichten, umzusetzen, aufrechtzuerhalten und kontinuierlich zu verbessern.

UNSER TIPP: kostenfreie Webinaraufzeichnung zu ISO 27701

OnlineTraining DQS

Umsetzung datenschutzrechtlicher Vorschriften

Spannendes Thema? Mehr dazu in unserer Webinaraufzeichnung

  • Was ist die neue ISO 27701?
  • Welche Anforderungen werden an ein Datenschutz-Managementsystem gestellt?
  • Welche Möglichkeiten der Auditierung gibt es?
Jetzt anschauen!

Vorteil Integration ISO 27701 – Verantwortlichkeiten sind klar

Unternehmen kommen bei der Umsetzung der ISO-Norm gar nicht umhin, klare Verantwortlichkeiten im Bereich Datenschutz zu definieren. Diesen Vorteil darf man nicht unterschätzen: Denn in den meisten Betrieben ohne Datenschutzmanagementsystem (DSMS) werden Zuständigkeiten aus falsch verstandener Höflichkeit viel zu oft weich formuliert („Könntest Du das künftig übernehmen?“) oder geteilt („Das machen wir zusammen!“), und das führt unweigerlich dazu, dass am Ende niemand die Verantwortung übernimmt. Mit einem Datenschutzmanagementsystem gibt es klare Vorgaben, und das ist unbezahlbar.

Pluspunkt Risikoorientierung

Ein weiterer Pluspunkt, der für die Integration von ISO 27701 in ISO 27001 spricht: Unternehmen werden mit der Einführung von ISO 27701 quasi „gezwungen“, sich risikoorientiert mit dem Thema Datenschutz auseinanderzusetzen. Dazu gehört es beispielsweise, Risiken vollumfänglich zu definieren und zu bewerten und die Wahrscheinlichkeit abzuschätzen, mit der diese eintreten werden. Diese Risikobewertung bildet dann den Ausgangspunkt, um das konkrete Schadenspotenzial auf ein tragbares Maß zu reduzieren. Diese wunderbar pragmatische Herangehensweise finden wir in ähnlicher Form übrigens auch bei der DS-GVO, so dass sich der Kreis auch in puncto Praxisnähe schließt.

Fazit: Datenschutz systematisch und strukturiert angehen

Wer sicher durch die Untiefen der nationalen und internationalen Datenschutzvorgaben navigieren will, kommt nicht umhin, das Thema strukturiert und systematisch anzugehen. In diesem Kontext bietet ISO 27701 einen hohen Mehrwert, ist auch für mittelständische Unternehmen zu stemmen und liefert eine hervorragende Blaupause für einen Compliance-konformen Datenschutz. Hierzu gehört auch eine umfassende Sammlung von Best Practices, mit denen Unternehmen sicher dokumentieren können, dass sie beim Umgang mit kritischen Daten die gebührende Sorgfalt walten lassen.

Kontakt zur DQS

Gern beantworten wir Ihre Fragen

Welche Voraussetzungen bestehen für eine Zertifizierung nach ISO 27701 und mit welchem Aufwand müssen Sie rechen? Informieren Sie sich. Unverbindlich und kostenfrei.

Wir freuen uns auf das Gespräch mit Ihnen!

DQS-Zertifikate schaffen Vertrauen

Im Kräftespiel von Dynamik und Stabilität gewinnen zertifizierte Managementsysteme immer mehr an Bedeutung – eine Entwicklung, die die DQS auf positive Weise spürt. Denn erfolgreiche Unternehmen und Organisationen nutzen die Erkenntnisse aus unseren Audits, um ihre Ergebnisse fortlaufend zu verbessern. Außerdem nutzen sie unsere weltweit anerkannten Zertifikate als objektiven Nachweis ihrer Qualitätsfähigkeit. Das schafft Vertrauen ­– sowohl nach innen wie auch außerhalb Ihrer Organisation.

HINWEIS: Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail: willkommen@dqs.de