DQS im Dialog
DQS Website Abonnieren

ISO 27701 – Vorteile für das Datenschutzmanagement

ISO 27701 hat einen zentralen Nutzen: Die neue Norm dient als Basis für ein Privacy Information Management System (PIMS). In diesem Blogbeitrag erhalten Anwender Informationen, ob die neue Norm als Erweiterung zu ISO 27001 für sie von Interesse ist. Wir erläutern den Unterschied zwischen einem PIMS und einem ISMS (Informationssicherheits-Managementsystem). Und: Wir geben Hinweise, um zwischen Datenschutz- und Informationssicherheitszielen zu unterscheiden – immer mit Blick auf ISO 27701.
© Adobe Stock ISO 27701 Vorteile für das Datenschutzmanagement

Der Vorteil von ISO 27701 – mehr Datenschutz für ISMS

ISO/IEC 27701 ist ein auf anderen Normen aufbauendes Regelwerk und kann für Managementsysteme zu einem zentralen Dokument werden. Es spezifiziert ein Datenschutz-Managementsystem (PIMS) auf der Grundlage von ISO/IEC 27001, ISO/IEC 27002 (Informationssicherheitsverfahren) und ISO 29100 (Datenschutzrahmen), um sowohl mit der Verarbeitung personenbezogener Daten als auch der Informationssicherheit angemessen umzugehen. Dies gilt sowohl für die Verantwortlichen als auch für die Verarbeitenden personenbezogener Daten.

Die internationale Norm ist Teil von ISO 29100, die alle Datenschutzgrundsätze enthält. Sie sollte zunächst den Titel ISO 27552 tragen, wurde dann jedoch in ISO 27701 umbenannt. Hintergrund hierfür ist die Entscheidung der International Organization for Standardization (ISO), alle großen, zertifizierungsfähigen Normen auf 01 enden zu lassen.

ISO 27701:2019-08 ist zurzeit nur auf Englisch erhältlich, wird jedoch vom Deutschen Institut für Normung (DIN) in den Kanon der Hauptnormen übernommen. Der Entwurf der deutschen Fassung E DIN EN ISO/IEC 27701:2021-01 (D/E) liegt bereits vor.

ISMS und PIMS – Gemeinsamkeiten und Unterschiede

Informationssicherheits-Managementsysteme (ISMS) und Privacy Information Management System (PIMS) sind eng miteinander verwoben.

Bei Datenschutz bzw. Datensicherheit geht es um personenbezogene Daten, in der 27000er-Normenreihe um den Schutz von Informationen, wobei personenbezogene Daten eine Untergruppe darstellen. Der Blickwinkel entscheidet: „Handelt es sich um eine Datenschutzverletzung oder einen Informationssicherheitsvorfall oder sogar beides?“

Der Vorteil von ISO 27701? Den Blick schärfen für Datenschutzaspekte im Informationssicherheits-Managementsystem!

Wo der Begriff „Informationssicherheit“ in ISO 27001 oder ISO 27002 verwendet wird, heißt es in der ISO 27701 „Informationssicherheit und Datenschutz“. Durch diese Ergänzung wird ein Teil des ISMS um den Datenschutz erweitert.

Whitepaper ISO 27701: ISO 27001 trifft DS-GVO der DQS

ISO 27701: ISO 27001 trifft DS-GVO

KOSTENFREIES WHITEPAPER

Erfahren Sie mehr über die

  • Anforderungen an ein Managementsystem
  • ISO 27001, ISO 27701 und DQS-GVO – ein Vergleich
  • 7 Schritte zum Datenschutz-Managementsystem
Jetzt herunterladen

Es gibt jedoch auch Abweichungen, bei denen ein PIMS anders funktioniert als ein ISMS. Ein Beispiel findet sich in ISO 27701, in der es um das Verständnis des Kontextes in der Organisation geht. Dort gibt es im Kapitel 4.1 eine zusätzliche Anforderung zu ISO 27001, dass „die Organisation ihre Rolle als Verantwortliche bzw. als Joint-Controller für gemeinsamen Verantwortlichkeiten und/oder als Auftragsverarbeiterin definieren“ solle.

Dies ist im Informationssicherheits-Managementsystem nicht vorhanden, da das ISMS die Unterscheidung zwischen „Controller“ und „Processor“ nicht kennt. Folgerichtig findet sich in ISO 27701 eine Ergänzung um zwei zusätzliche Anhänge mit PIMS-spezifischen Maßnahmen für „Verantwortliche“ und „Auftragsverarbeiter“.

Datenschutzziele und Informationssicherheitsziele: Ähnlichkeiten und Unterschiede

In ISO 29100 sind die Datenschutzprinzipien definiert, die das eigene Managementsystem erfüllen soll. Artikel 5 der Datenschutz-Grundverordnung (DS-GVO) zeigt auf, welche Datenschutzziele mit den operationalen Artikeln der DS-GVO erreicht werden sollen. Die Prinzipien und Ziele sind größtenteils deckungsgleich, was daran liegt, dass die OECD im Jahr 1980 Datenschutzziele definierte. Diese dienten als Grundlage sowohl für ISO 29100 als auch für die DS-GVO.

Im Informationssicherheits-Managementsystem (ISMS) finden sich die Informationssicherheitsziele Vertraulichkeit, Integrität, Verfügbarkeit. Dies findet sich auch im Artikel 5 bzw. im Artikel 32 DS-GVO wieder. Ein großer Unterschied ist jedoch die Definition der „interessierten Parteien“ im ISMS. Hierunter fallen z.B. die eigenen Mitarbeiter, Kunden, Lieferanten, Kapitalgeber oder Behörden. Im Datenschutz hingegen ist die interessierte Partei der Betroffene.

Somit unterscheidet sich auch das Datenschutzrisikomanagement vom Informationssicherheitsrisikomanagement. Im Ergebnis kann das ISMS nicht eins zu eins als PIMS mit dessen datenschutzspezifischen Prozessen genutzt werden. Dennoch gibt es Möglichkeiten zur Integration, sodass z.B. gemeinsame interne Audits stattfinden können.

Ist eine Zertifizierung nach ISO 27701 möglich?

In Sachen Zertifizierung ergänzt ISO 27701 die Norm ISO 27001 um Datenschutzaspekte. So können mit Hilfe von ISO 27701 beispielsweise ein Großteil der Anforderungen aus der DSGVO erfüllt werden.

Wie bereits erwähnt, dient ISO 27001 (Informationssicherheits-Managementsystem) als Basis, deren Anforderungen für eine Zertifizierung erfüllt werden müssen. ISO 27002, der Leitfaden für das Informationssicherheitssystem, ergänzt ISO 27001 um Informationen und Umsetzungshinweise und erklärt, wie die einzelnen Anforderungen von ISO 27001 auszulegen sind.

Derzeit ist ein Siegel aufgrund einer anerkannten Zertifizierung nicht möglich, da die Anforderungen zur Zertifizierungsdurchführung durch die Deutsche Akkreditierungsstelle (DAkkS) bisher nicht festgelegt wurden.

Allerdings sind vorbereitende Maßnahmen z.B. in Form eines Stage-1-Audits sehr wohl möglich, durchführbar und empfehlenswert. Im Ergebnis entsteht Klarheit, ob das eigene Managementsystem bereits die Anforderungen von ISO 27701 einhalten kann.

Was bringt ISO 27701 als Managementsystem im Datenschutz?

Für ein Managementsystem werden innerhalb einer Organisation Richtlinien und Verfahrensanweisungen erarbeitet sowie Anforderungen und Prozesse definiert, die dann entsprechend umgesetzt werden.

Die Landesbeauftragte für den Datenschutz Niedersachsen hat im Rahmen einer Querschnittsprüfung 50 Unternehmen geprüft, um zu sehen, wie gut der Datenschutz umgesetzt wird. Diese Untersuchung ergab, dass die Unternehmen bei den technisch-organisatorischen Maßnahmen eher schlecht aufgestellt sind.

Gleichzeitig wurde deutlich, dass alle Unternehmen, die ein Managementsystem betreiben, besser aufgestellt sind als jene ohne, weil aufgrund der vorhandenen Prozessorientierung ein höheres Verständnis für strukturelle Gesamtzusammenhänge besteht.

Fazit: Das sind die Vorteile von ISO 27701

ISO 27701 ist die Basis für ein Privacy Information Management System (PIMS).

Mit ISO 27701 erkennen, bewerten und minimieren Sie Sicherheitsrisiken im Datenschutz im Gesamtzusammenhang Ihres Informationssicherheitsmanagements.

In Ergänzung zu ISO 27001 wird ISO 27701 die erste zertifizierbare internationale Norm sein, die den Datenschutz per Zertifikat bestätigt (DAkkS-akkreditiertes Zertifikat der DQS).

DQS – Was wir für Sie tun können

Die DQS ist seit 1985 führender Spezialist für die Zertifizierung von Managementsystemen und Prozessen und hält für alle wichtigen Managementsystemnormen Akkreditierungen durch die Deutsche Akkreditierungsstelle (DAkkS). Unser weltweites Know-how und umfangreiches Normenverständnis bringen wir an rund 30.000 Audittagen im Jahr bei unseren Kunden ein. Machen Sie sich ein Bild – wir freuen uns auf das Gespräch mit Ihnen.

DSGVO - Datenschutzaudit

Sie haben Fragen zum Vorgehen?

Kontaktieren Sie uns.
Ganz unverbindlich und kostenfrei. Wir zeigen Ihnen gerne mögliche Wege auf.

Jetzt Anfrage senden