DQS im Dialog
DQS Website Abonnieren

DS-GVO-Umsetzung: Managementsysteme geben Sicherheit

Seit dem 25. Mai 2018 sind Unternehmen auch in Deutschland zur Umsetzung der Datenschutz-Grundverordnung (DS-GVO) verpflichtet. Wie die Nachweise erbracht werden können, ist aber bis heute nicht definiert. Wie können Unternehmen also sichergehen, dass sie die gesetzlichen Anforderungen konform umsetzen?
© Fotolia DS-GVO Umsetzung

DS-GVO: Zertifizierungen in greifbarer Nähe

Die Unternehmen sind gut beraten, den datenschutzrechtlichen Aufsichtsbehörden gegenüber – auf Anfrage – einen Nachweis über die Umsetzung der gesetzlichen Anforderungen zu erbringen. Organisationen, die nicht alle Anforderungen erfüllen, riskieren empfindliche Strafen.

Mit ISO 27701 wurde im August 2019 eine neue Norm veröffentlicht, die Anforderungen an den Datenschutz im Informationssicherheits-Management formuliert. Sie spezifiziert damit ein Datenschutz-Managementsystem auf der Grundlage von ISO 27001, ISO 27002 (Leitfaden für Informationssicherheitsmaßnahmen) und ISO 29100 (Rahmenwerk für Datenschutz). ISO 27701 stellt aber nur eine Ergänzung zu ISO 27001 dar.

ISO/IEC 27701:2019-08 – Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden

In Sachen Zertifizierung ergänzt die neue Norm ISO 27701 künftig ISO 27001 – und sie wird die erste Norm sein, die den Datenschutz per Zertifikat bestätigt. Dafür befindet sich die DQS aktuell im Akkreditierungsverfahren bei der Deutschen Akkreditierungsstelle (DAkkS) und rechnet mit einer Zulassung im Sommer 2021. Eine Zertifizierung allein nach der neuen Norm ist nicht möglich.

Digitales Bewusstsein

DQS-ONLINE-KONGRESS

  • Einblicke gewinnen: Wie sich Audits mit der Digitalisierung verändern
  • Perspektiven erkennen: Wie Qualität in Zukunft aussehen kann
  • Zusammenhänge erstellen: Beim Zusammenspiel zwischen Wissen und Information und Wissen der Organisation

Wann? Am 12.Oktober 2021 von 9:30 Uhr bis 15:30 Uhr

Frühbucherrabatt sichern

DS-GVO: Datenschutzanforderungen im Managementsystem abbilden

Die DSGVO sieht eine Reihe von Abläufen vor, die seit Mai 2018 umgesetzt werden müssen. Dabei ist es sowohl von der Organisation, dem Zweck und der Art der Verarbeitung personenbezogener Daten als auch von den Risiken für Rechte und Freiheiten natürlicher Personen abhängig, welche Prozesse in welcher Ausprägung etabliert werden müssen. Dies können u.a. Prozesse zum Risikomanagement (Datenschutz-Folgenabschätzung), zum Umgang mit Auskunftsersuchen von Personen oder Prozesse zu Reaktionsmechanismen bei Datenschutzverletzungen sein.

Eine sinnvolle Lösung für Unternehmen, die vielfältigen Anforderungen abzubilden, bietet ein modernes Managementsystem – beispielsweise für die regelmäßige Überprüfung und Anpassungen von Datenschutzmaßnahmen oder das Festlegen der entsprechenden Verantwortlichkeiten. Genau diese Aspekte werden durch den fortlaufenden Verbesserungsprozess (Plan-Do-Check-Act-Modell) gesteuert. So können Unternehmen bereits heute erste Schritte gehen und auf bestehende Managementsysteme zurückgreifen.

Ein Managementsystem, aber welches?

Als Lösung bietet sich also die Ausrichtung an den internationalen Normen ISO 27001 und ISO 27701 an.

Ein wirksames Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 wahrt unter Anwendung eines Risikomanagementprozesses die

  • Vertraulichkeit
  • Integrität und
  • Verfügbarkeit von Daten und Information.

Es gibt damit interessierten Parteien das Vertrauen in eine angemessene Steuerung von Risiken.

Whitepaper ISO 27701: ISO 27001 trifft DS-GVO der DQS

ISO 27701: ISO 27001 trifft DS-GVO

Geballtes Expertenwissen in unserem kostenfreien Whitepaper. Erfahren Sie mehr über die

  • Anforderungen an ein Managementsystem
  • ISO 27001, ISO 27701 und DS-GVO – ein Vergleich
  • 7 Schritte zum Datenschutzmanagementsystem
Jetzt kostenfrei herunterladen!

Eine Zertifizierung nach ISO 27001, vor allem in Verbindung mit ISO 27701, ist aber auch ein wesentlicher Beitrag zur Umsetzung der DS-GVO und Sicherstellung datenschutzrechtlicher Anforderungen im Unternehmen. Sie kann dazu beitragen, im Falle eines Datenschutzverstoßes das Bußgeld zu mindern (Art. 83 lit. c und Erwägungsgrund 150 DSGVO). Im Wesentlichen unterstützt die Norm ISO 27001 bei der Umsetzung der Anforderungen des Art. 32 DS-GVO – Sicherheit der Verarbeitung.

DS-GVO Umsetzung in Deutschland: Wächst der Druck auf Unternehmen?

Die Mehrzahl der Unternehmen und Organisationen hat noch keine fertige Lösung für einen Umsetzungsnachweis der DS-GVO.

Die DS-GVO und das BDSG (Bundesdatenschutzgesetz) verpflichtet die Mitgliedstaaten, eine oder mehrere öffentliche Stellen zu beauftragen, die die Anwendung nationaler Datenschutzregelungen in völliger Unabhängigkeit überwachen. Weiterer Druck auf die Unternehmen entsteht dadurch, dass jeder Einzelne das Recht hat, sich an die zuständige Kontrollstelle zu wenden.

Die Aufsichtsbehörden hatten nach Mai 2018 noch einige Monate Karenz eingeräumt, bevor die Kontrollen der unabhängigen Datenschutzbeauftragten einsetzten. Doch die Liste der Verstöße ist mittlerweile lang und stellt das Sicherheitsgefühl auf eine harte Probe.

Bei der DQS in guten Händen

Wer ein Datenschutzmanagementsystem (DSMS) nach der neuen Norm ISO 27701 entwickelt und umgesetzt hat – sprich: wer seine personenbezogenen Daten systematisch schützt und managt – tut sich leicht, die Einhaltung gesetzlicher Bestimmungen sicherzustellen und zu belegen. In Sachen Zertifizierung ergänzt ISO 27701 die bekannte Norm ISO 27001 – und sie wird die erste Norm sein, die den Datenschutz per Zertifikat bestätigt. Die DQS befindet sich aktuell im Akkreditierungsverfahren bei der Deutschen Akkreditierungsstelle (DAkkS) und rechnet mit einer Zulassung im Sommer 2021. ISO 27701 stellt aber nur eine Ergänzung zu ISO 27001 dar. Eine Zertifizierung allein nach der neuen Norm ist nicht möglich.

DSGVO, Datenschutz, Datenschutzgrundverordnung, Grundverordnung, Datenspeicherung, Datenverarbeitung, Compliance, Richtlinie

Sie Haben Fragen zum Vorgehen?

Kontaktieren Sie uns.
Ganz unverbindlich und kostenfrei. Wir zeigen Ihnen gerne mögliche Wege zu mehr Datenschutz auf.

Jetzt Anfrage senden

Expertise und Vertrauen

Unsere Texte und Broschüren werden ausschließlich von internen Normexperten und langjährigen Auditoren für Managementsysteme verfasst. Sollten Sie Fragen zum Inhalt und unseren Audits haben, senden Sie uns gerne eine E-Mail an willkommen@dqs.de.

Alles Weitere zu unseren Experten finden Sie hier.