DQS im Dialog
DQS Website Abonnieren

ISO 27701 – Vorteile für das Datenschutzmanagement

ISO/IEC 27701 hat einen zentralen Nutzen: Die neue Norm dient als Basis für ein Privacy Information Management System (PIMS). In diesem Blogbeitrag erhalten Anwender Informationen, ob ISO 27701 als Erweiterung zu ISO/IEC 27001 für sie von Interesse ist. Wir erläutern den Unterschied zwischen einem PIMS und einem ISMS (Informationssicherheits-Managementsystem) und geben Hinweise, um zwischen Datenschutz- und Informationssicherheitszielen zu unterscheiden – immer mit Blick auf ISO 27701.
© Adobe Stock ISO 27701 Vorteile für das Datenschutzmanagement

ISO 27701 – mehr Datenschutz für ISMS

ISO 27701 ist ein auf anderen Normen aufbauendes Regelwerk und kann für Managementsysteme zu einem zentralen Dokument werden. Es spezifiziert ein Datenschutzmanagementsystem auf der Grundlage von ISO 27001, ISO/IEC 27002 (Informationssicherheitsverfahren) und ISO 29100 (Datenschutzrahmen), um sowohl mit der Verarbeitung personenbezogener Daten als auch der Informationssicherheit angemessen umzugehen. Dies gilt sowohl für die Verantwortlichen als auch für die Verarbeitenden personenbezogener Daten.

Die internationale Norm ist Teil von ISO 29100, die alle Datenschutzgrundsätze enthält. Sie sollte zunächst den Titel ISO 27552 tragen, wurde dann jedoch in ISO 27701 umbenannt. Hintergrund hierfür ist die Entscheidung der International Organization for Standardization (ISO), alle großen, zertifizierungsfähigen Normen auf 01 enden zu lassen.

ISO 27701:2019-08 ist zurzeit nur auf Englisch erhältlich, wird jedoch vom DIN (Deutsche Institut für Normung) in den Kanon der Hauptnormen übernommen. Die deutsche Fassung wird voraussichtlich im Herbst/Winter 2020 beim Beuth Verlag vorliegen.

Digital Quality Space 2020

Vortrag

Professionelles Datenschutzmanagement mit ISO 27701
anlässlich der virtuellen Kongressmesse der DQS am 30.09.2020

Ihr Moderator: Stephan Rehfeld

Jetzt anmelden

ISMS und PIMS – Gemeinsamkeiten und Unterschiede

Informationssicherheits-Managementsysteme (ISMS) und Privacy Information Management System (PIMS) sind eng miteinander verwoben.

Bei Datenschutz bzw. Datensicherheit geht es um personenbezogene Daten, in der 27000er-Reihe um den Schutz von Informationen, wobei personenbezogene Daten eine Untergruppe darstellen. Der Blickwinkel entscheidet: „Handelt es sich um eine Datenschutzverletzung oder einen Informationssicherheitsvorfall oder sogar beides?“ Wo der Begriff „Informationssicherheit“ in ISO 27001 oder ISO 27002 verwendet wird, heißt es in der ISO 27701 „Informationssicherheit und Datenschutz“. Durch diese Ergänzung wird ein Teil des ISMS um den Datenschutz erweitert.

Der Nutzen von ISO 27701? Den Blick schärfen für Datenschutzaspekte im Informationssicherheitsmanagement!

Es gibt jedoch auch Abweichungen, bei denen ein PIMS anders funktioniert als ein ISMS. Ein Beispiel findet sich in ISO 27701, in der es um das Verständnis des Kontextes in der Organisation geht. Dort gibt es im Kapitel 4.1 eine zusätzliche Anforderung zu ISO 27001, dass „die Organisation ihre Rolle als Verantwortliche bzw. als Joint-Controller für gemeinsamen Verantwortlichkeiten und/oder als Auftragsverarbeiterin definieren“ solle.

Dies ist im ISMS nicht vorhanden, da das ISMS die Unterscheidung zwischen „Controller“ und „Processor“ nicht kennt. Folgerichtig findet sich in ISO 27701 eine Ergänzung um zwei zusätzliche Anhänge mit PIMS-spezifischen Maßnahmen für „Verantwortliche“ und „Auftragsverarbeiter“.

Datenschutzziele und Informationssicherheitsziele: Ähnlichkeiten und Unterschiede

In ISO 29100 sind die Datenschutzprinzipien definiert, die das eigene Managementsystem erfüllen soll. Artikel 5 der Datenschutz-Grundverordnung (DS-GVO) zeigt auf, welche Datenschutzziele mit den operationalen Artikeln der DS-GVO erreicht werden sollen. Die Prinzipien und Ziele sind größtenteils deckungsgleich, was daran liegt, dass die OECD im Jahr 1980 Datenschutzziele definierte. Diese dienten als Grundlage sowohl für ISO 29100 als auch für die DSG-VO.

Im Informationssicherheits-Managementsystem (ISMS) finden sich die Informationssicherheitsziele mit dem kleinen Grundkanon: Vertraulichkeit, Integrität, Verfügbarkeit. Dies findet sich auch im Artikel 5 bzw. im Artikel 32 DS-GVO wieder. Ein großer Unterschied ist jedoch die Definition der „interessierten Parteien“ im ISMS. Hierunter fallen die eigene Organisation, Kunden o. ä. Im Datenschutz hingegen ist die interessierte Partei die/der Betroffene.

Somit unterscheidet sich auch das Datenschutzrisikomanagement vom Informationssicherheitsrisikomanagement. Im Ergebnis kann das ISMS nicht eins zu eins als PIMS mit dessen datenschutzspezifischen Prozessen genutzt werden. Dennoch gibt es Möglichkeiten zur Integration, sodass z.B. gemeinsame interne Audits stattfinden können.

Ist eine Zertifizierung nach ISO 27701 möglich?

In Sachen Zertifizierung ergänzt ISO 27701 die Norm ISO 27001. So können mit Hilfe von ISO 27701 beispielsweise die Anforderungen aus der DSGVO erfüllt werden.

Wie bereits erwähnt, dient ISO 27001 (Informationssicherheits-Managementsystem) als Basis, deren Anforderungen für eine Zertifizierung erfüllt werden müssen. ISO 27002 (Leitfaden für das Informationssicherheitssystem) ergänzt ISO 27001 um Informationen und Umsetzungshinweise und erklärt, wie die einzelnen Punkte von ISO 27001 auszulegen sind.

Derzeit ist ein Siegel aufgrund einer anerkannten Zertifizierung nicht möglich, da die Anforderungen zur Zertifizierungsdurchführung durch die Deutsche Akkreditierungsstelle (DAkkS) bisher nicht festgelegt wurden.

Allerdings sind vorbereitende Maßnahmen z.B. in Form eines Stage-1-Audits sehr wohl möglich, durchführbar und empfehlenswert. Im Ergebnis entsteht Klarheit, ob das eigene Managementsystem bereits die Anforderungen von ISO 27701 einhalten kann.

Was bringt ISO 27701 als Managementsystem im Datenschutz?

Für ein Managementsystem (z.B. aus der Normfamilie ISO 2700x) werden innerhalb einer Organisation Richtlinien und Verfahrensanweisungen erarbeitet sowie Anforderungen und Prozesse definiert, die dann entsprechend umgesetzt werden.

Webinaraufzeichnung DQS

Webinaraufzeichnung

ISO 27701: Nachweis zur Umsetzung datenschutzrechtlicher Vorschriften

  • Was ist die neue ISO 27701?
  • Welche Anforderungen werden an ein Datenschutz-Informations-Management-System (PIMS) gestellt?
  • Welche Möglichkeiten der Auditierung gibt es?
zur kostenfreien Webinaraufzeichnung

Die Landesbeauftragte für den Datenschutz Niedersachsen hat im Rahmen einer Querschnittsprüfung 50 Unternehmen geprüft, um zu sehen, wie gut der Datenschutz umgesetzt wird. Diese Untersuchung ergab, dass die Unternehmen bei den technisch-organisatorischen Maßnahmen eher schlecht aufgestellt sind.

Gleichzeitig wurde deutlich, dass alle Unternehmen, die ein Managementsystem betreiben, besser aufgestellt sind als jene ohne, weil aufgrund der vorhandenen Prozessorientierung ein höheres Verständnis für strukturelle Gesamtzusammenhänge besteht.

Fazit: Das sind die Vorteile von ISO 27701

ISO 27701 ist die Basis für ein Privacy Information Management System (PIMS).

Mit ISO 27701 erkennen, bewerten und minimieren Sie Sicherheitsrisiken im Datenschutz im Gesamtzusammenhang des Informationssicherheitsmanagements.

In Ergänzung zu ISO 27001 ist ISO 27701 eine zertifizierbare internationale Norm (DAkkS-akkreditiertes Zertifikat der DQS).

DQS – Was wir für Sie tun können

Die DQS ist seit 1985 führender Spezialist für die Zertifizierung von Managementsystemen und Prozessen und hält für alle wichtigen Managementsystem-Normen Akkreditierungen durch die Deutsche Akkreditierungsstelle (DAkkS). Unser weltweites Know-how und umfangreiches Normenverständnis bringen wir an rund 30.000 Audittagen im Jahr bei unseren Kunden ein. Machen Sie sich ein Bild von Ihren Möglichkeiten. Wir freuen uns auf den Kontakt mit Ihnen.