DQS im Dialog
DQS Website Abonnieren

ISO 27701 – Ist Datenschutz jetzt zertifizierbar?

Viele Unternehmen sind auf der Suche nach einem Zertifikat, um zu belegen, dass sie die Forderungen der DS-GVO einhalten. Auch die EU-Datenschutzgrundverordnung sieht eine Datenschutzzertifizierung vor. Im August 2019 wurde mit ISO 27701 eine Norm für den Nachweis der Umsetzung datenschutzrechtlicher Vorschriften veröffentlicht. Ist dieser neue Standard nach der DS-GVO zertifizierbar?
© Fotolia DS-GVO und ISO 27701

Datenschutz als Ergänzung für das Managementsystem

Der bekannte Standard DIN EN ISO/IEC 27001 beschäftigt sich mit den Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) und ist für diesen Anwendungsbereich auch zertifizierbar.  ISO 27701 baut auf ISO 27001 auf und ergänzt diese um Datenschutzkriterien. Durch diese Erweiterung werden die Anforderungen an ein Datenschutz-Informations-Management-System (Privacy Information Management System, PIMS) in ein ISMS integriert.

Der vollständige Titel der Norm lautet:

„ISO/IEC 27701:2019-08 „Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“

Was steckt in ISO 27701?

In der neuen Norm ist statt von „Informationssicherheit“ die Rede von „Informationssicherheit und Datenschutz“. Darüber hinaus gibt es inhaltliche Ergänzungen. Bei der Betrachtung des Kontextes der Organisation wird die Einbeziehung relevanter Datenschutzgesetze und gerichtlicher Entscheidungen verlangt. Ebenso sind bei der Risikobeurteilung Kriterien der Verarbeitung von personenbezogenen Daten zu berücksichtigen. 

Zusätzlich beinhaltet ISO 27701 Ergänzungen zu ISO 27002, dem Leitfaden zur Umsetzung der Maßnahmen aus Anhang A von ISO 27001.

Die Norm gibt hier folgende Hinweise:

  • Erweiterung der Leitlinie und der Richtlinien um Aspekte des Datenschutzes
  • Ernennung eines Verantwortlichen für das „Privacy Information Management System“ (PIMS)
  • Datenschutzschulung der Mitarbeiter
  • Protokollierung von Zugriffen und Veränderungen
  • Verschlüsselung, z.B. besonderer Kategorien personenbezogener Daten (bspw. Gesundheitsdaten)
  • Berücksichtigung des „Privacy by Design“ Grundsatzes
  • Überprüfung von Sicherheitsvorfällen auf Datenschutzverletzungen

Im Anhang von ISO 27701 findet sich eine ausführliche Zuordnungstabelle der Maßnahmen zu den Anforderungen der DS-GVO. Es wird deutlich, welchen Einfluss die EU-Datenschutzgrundverordnung auf die Norm als internationalen Standard für den Datenschutz hat.

Whitepaper

ISO 27001 trifft DS-GVO

  • Anforderungen an ein Managementsystem
  • ISO 27001 und DS-GVO – ein Vergleich
  • 7 Schritte zum Datenschutz-Managementsystem
Jetzt herunterladen!

ISO 27701 ist keine Zertifizierungsnorm

Zwar sieht die DS-GVO in Artikel 42 die Einführung von Datenschutz-Zertifizierungen vor. Bisher gibt es kein bei der Deutschen Akkreditierungsstelle (DAkkS) zugelassenes Zertifizierungsverfahren für einen Nachweis zur Umsetzung der DS-GVO.

ISO 27701 ist – auch wenn sie umfassend auf ISO 27001 aufbaut – keine Zertifizierungsnorm.  Zertifiziert wird ein ISMS nach DIN EN ISO/IEC 27001. Es ist möglich, weitere Anforderungen im Rahmen eines Audits, wie den DS-GVO konformen Umgang mit personenbezogenen Daten, überprüfen zu lassen. 

Für ein eigenständiges DS-GVO konformes Zertifikat müssen Zertifizierungsstellen Kriterien erfüllen, die in Art. 43 der EU-DS-GVO beschrieben sind. Die Zertifizierungsstelle muss nach ISO 17065 – Zertifizierung von Produkten und Prozessen – akkreditiert sein. ISO 27701 ist eine Erweiterung von ISO 27001, daher stehen Managementsysteme und deren Anforderungen im Mittelpunkt. Deren Zertifizierung richtet sich nach ISO 17021. Somit entspricht ein ISO 27001-Zertifikat heute – auch nicht mit der ISO 27701-Erweiterung – nicht den Anforderungen der DS-GVO.

Die DQS befindet sich aktuell im Akkreditierungsverfahren für ISO 17065 für die DS-GVO.

Ein Schritt in die richtige Richtung

Auch wenn aktuell keine Zertifizierung gemäß DS-GVO möglich ist, können Unternehmen mit dem neuen Standard eine weitgehend datenschutzkonforme Informationssicherheit und Datenschutz etablieren. Er stützt sich nicht nur auf die Grundsätze der DS-GVO, sondern soll Unternehmen bei der Einhaltung weltweiter Datenschutzstandards unterstützen. Ziel des Standards ist es, ein PIMS einzurichten, umzusetzen, aufrechtzuerhalten und kontinuierlich zu verbessern.

Bei der DQS in guten Händen

Unternehmen, die sicher gehen und Geldstrafen vermeiden wollen oder veringern, können Ihren Datenschutz-Status mit einer GAP-Analyse von der DQS GmbH ermitteln lassen. Während des Datenschutzaudits wird vor Ort im Unternehmen geprüft, ob die wesentlichen Datenschutzaspekte eingehalten werden.

Datenschutzaudit DS-GVO: GAP-Analyse

Mit einem Datenschutzaudit durch die DQS können Sie den sicheren und integren Umgang mit personenbezogenen Daten in Ihrer Organisation überprüfen lassen. Ihr Nutzen:

  • interne Nachweisführung über den Umsetzungsgrad von Datenschutzmaßnahmen
  • mehr Handlungs- und Rechtssicherheit bei Datenschutzvorfällen

Kontaktieren Sie uns!
Ganz unverbindlich und kostenfrei.

Jetzt Anfrage senden