DQS im Dialog
DQS Website Abonnieren

ISO 27701 – Ist Datenschutz jetzt zertifizierbar?

Viele Unternehmen sind auf der Suche nach einem Zertifikat, um zu belegen, dass sie die Anforderungen der DS-GVO einhalten. Auch die EU-Datenschutzgrundverordnung sieht eine Datenschutzzertifizierung vor. Im August 2019 wurde mit ISO 27701 eine neue Norm für den Nachweis der Umsetzung datenschutzrechtlicher Vorschriften veröffentlicht. Ist dieser neue Standard nach der DS-GVO zertifizierbar?
© Fotolia DS-GVO und ISO 27701

ISO 27001 – Datenschutz als Ergänzung für das Managementsystem

Der bekannte Standard DIN EN ISO/IEC 27001 beschäftigt sich mit den Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) und ist für diesen Anwendungsbereich auch zertifizierbar.  ISO/IEC 27701 wurde im August 2019 veröffentlicht. Die Norm baut auf ISO 27001 auf und ergänzt diese um Datenschutzkriterien. Durch diese Erweiterung werden die Anforderungen an ein Datenschutz-Informations-Management-System (Privacy Information Management System, PIMS) in ein ISMS integriert.

Der vollständige Titel der Norm lautet:

ISO/IEC 27701:2019-08 – Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden

Gleichermaßen wie ISO 27001 berücksichtigt auch ISO 27701 den Managementsystemansatz und bezieht sich auf die Grundstruktur moderner Managementsystemnormen, die High Level Structure (HLS).

Was steckt in ISO 27701?

In der neuen Norm ist statt von „Informationssicherheit“ die Rede von „Informationssicherheit und Datenschutz“. Darüber hinaus gibt es inhaltliche Ergänzungen. Bei der Betrachtung des Kontextes der Organisation wird die Einbeziehung relevanter Datenschutzgesetze und gerichtlicher Entscheidungen verlangt. Ebenso sind bei der Risikobeurteilung Kriterien der Verarbeitung von personenbezogenen Daten zu berücksichtigen. 

Zusätzlich beinhaltet ISO 27701 Ergänzungen zu ISO 27002, dem Leitfaden zur Umsetzung der Maßnahmen aus Anhang A von ISO 27001.

Die Norm gibt hier folgende Hinweise:

  • Erweiterung der Leitlinie und der Richtlinien um Aspekte des Datenschutzes
  • Ernennung eines Verantwortlichen für das „Privacy Information Management System“ (PIMS)
  • Datenschutzschulung der Mitarbeiter
  • Protokollierung von Zugriffen und Veränderungen
  • Verschlüsselung, z.B. besonderer Kategorien personenbezogener Daten (bspw. Gesundheitsdaten)
  • Berücksichtigung des „Privacy by Design“ Grundsatzes
  • Überprüfung von Sicherheitsvorfällen auf Datenschutzverletzungen

Im Anhang von ISO 27701 findet sich eine ausführliche Zuordnungstabelle der Maßnahmen zu den Anforderungen der DS-GVO. Es wird deutlich, welchen Einfluss die EU-Datenschutzgrundverordnung auf die Norm als internationalen Standard für den Datenschutz hat.

Whitepaper ISO 27701: ISO 27001 trifft DS-GVO der DQS

ISO 27701: ISO 27001 trifft DS-GVO

KOSTENFREIES WHITEPAPER

Sie erfahren mehr über die

  • Anforderungen an ein Managementsystem
  • ISO 27001, ISO 27701 und DS-GVO – ein Vergleich
  • 7 Schritte zum Datenschutz-Managementsystem
Jetzt herunterladen!

ISO 27701 ist keine Zertifizierungsnorm

Zwar sieht die DS-GVO in Artikel 42 die Einführung von Datenschutz-Zertifizierungen vor. Bisher gibt es kein bei der Deutschen Akkreditierungsstelle (DAkkS) zugelassenes Zertifizierungsverfahren für einen Nachweis zur Umsetzung der DS-GVO.

ISO 27701 ist – auch wenn sie umfassend auf ISO 27001 aufbaut – keine Zertifizierungsnorm.  Sie erfüllt zwar einen Großteil, aber nicht in Gänze die Anforderungen der DS-GVO.

ISO 27701 ist eine Erweiterung von ISO 27001, daher steht das Managementsystem und deren Anforderungen im Mittelpunkt.

Zertifiziert wird ein Informationssicherheits-Managementsystem nach der international anerkannten Norm DIN EN ISO/IEC 27001. Es ist möglich, weitere Anforderungen im Rahmen eines Audits, wie den DS-GVO konformen Umgang mit personenbezogenen Daten, überprüfen zu lassen. 

Für ein eigenständiges DS-GVO konformes Zertifikat müssen Zertifizierungsstellen Kriterien erfüllen, die in Art. 43 der EU DS-GVO beschrieben sind. Die Zertifizierungsstelle muss nach ISO 17065 – Zertifizierung von Produkten und Prozessen – akkreditiert sein. Die DQS befindet sich aktuell im Akkreditierungsverfahren für ISO 17065 für die DS-GVO.

Die Zertifizierung eines Managementsystems richtet sich nach ISO 17021. Diese formuliert Anforderungen an Zertifizierungsstellen, die Managementsysteme auditieren und zertifizieren.

ISO 27701 – ein Schritt in Richtung Datenschutz

Auch wenn aktuell keine Zertifizierung gemäß DS-GVO möglich ist, können Unternehmen mit dem neuen Standard ISO/IEC 27701 eine weitgehend datenschutzkonforme Informationssicherheit und Datenschutz etablieren.

Die neue ISO-Norm stützt sich nicht nur auf die Grundsätze der DS-GVO, sondern soll Unternehmen bei der Einhaltung weltweiter Datenschutzstandards unterstützen. Ziel dabei ist es, ein PIMS einzurichten, umzusetzen, aufrechtzuerhalten und kontinuierlich zu verbessern.

Bei der DQS in guten Händen

Unternehmen, die sicher gehen und Geldstrafen vermeiden wollen oder veringern, können Ihren Datenschutz-Status mit einer GAP-Analyse von der DQS GmbH ermitteln lassen. Während der GAP-Analyse Datenschutz wird vor Ort im Unternehmen geprüft, ob die wesentlichen Datenschutzaspekte eingehalten werden. Sie haben Fragen? Wir freuen uns auf das Gespräch mit Ihnen. Jetzt Kontakt aufnehmen.

DQS GAP-Analyse Datenschutz

Mit einer GAP-Analyse durch die DQS können Sie den sicheren und integren Umgang mit personenbezogenen Daten in Ihrer Organisation überprüfen lassen. Ihr Nutzen:

  • interne Nachweisführung über den Umsetzungsgrad von Datenschutzmaßnahmen
  • mehr Handlungs- und Rechtssicherheit bei Datenschutzvorfällen

UNSER TIPP

Webinar der DQS

Webinaraufzeichnung

Nachweis zur Umsetzung datenschutzrechtlicher Vorschriften

  • Was ist die neue ISO 27701?
  • Welche Anforderungen werden an ein Datenschutzinformations-Managementsystem (PIMS) gestellt?
  • Welche Möglichkeiten der Auditierung gibt es?
Jetzt anschauen!