Privacy Information Managementsystem (PIMS)

ISO 27701

Die ISO/IEC 27701 ist eine Erweiterung von ISO/IEC 27001 (Informationssicherheits-Managementsystem) und ISO/IEC 27002 (Security Controls) um Datenschutzkriterien. Die internationale Norm bietet Leitlinien für den Schutz der Privatsphäre und zum Umgang von Unternehmen mit personenbezogenen Daten. Sie hilft beim Nachweis der Einhaltung von Datenschutzbestimmungen weltweit.

Im Unterschied zu DIN EN ISO/IEC 27001 spricht die Managementnorm statt von „Informationssicherheit“ von „Informationssicherheit und Datenschutz“. Darüber hinaus gibt es weitere inhaltliche Ergänzungen: So müssen unter anderem bei der Betrachtung des Kontextes der Organisation relevante Datenschutzgesetze und gerichtliche Entscheidungen berücksichtigt werden. Ebenso gilt es, bei der Risikobeurteilung Kriterien der Verarbeitung von personenbezogenen Daten zu berücksichtigen. Die internationale Norm liegt nur in englischer Sprache vor und ist beim Beuth Verlag erhältlich.

  • Einhaltung des Datenschutzes weltweit
  • Management von personenbezogenen Daten
  • Erweiterung bestehendes ISMS nach ISO 27001 zu PIMS
  • Definition von Rollen und Verantwortung für PIMS
 
Angebotsanfrage Jetzt Angebot anfordern

Nein, nur mit der Umsetzung der Anforderungen aus ISO 27701 sind die Anforderungen an ein Managementsystem umgesetzt, nicht die der Datenschutzgrundverordnung. Dies fordert die Norm auch nicht. Aber es besteht die Möglichkeit diese in das Anforderungsmanagement von ISO/IEC 27701 zu überführen. So können mit Hilfe von ISO 27701 auch die Anforderungen aus der DS-GVO erfüllt werden. Die Norm an sich, geht noch weiter, da sie in den Anhängen ganz konkrete Maßnahmen zur Umsetzung zur Verfügung stellt.

ISO 27701 ist heute – auch wenn sie auf ISO 27001 aufbaut – noch nicht zertifizierbar. Zertifiziert wird ein ISMS nach DIN EN ISO/IEC 27001. Es ist möglich, weitere Anforderungen im Rahmen eines Audits, wie den ISO 27701-komformen Umgang mit personenbezogenen Daten, überprüfen zu lassen.

Die DS-GVO sieht in Artikel 42 die Einführung von Datenschutz-Zertifizierungen vor. Bisher gibt es kein bei der Deutschen Akkreditierungsstelle GmbH (DAkkS)  zugelassenes Zertifizierungsverfahren für einen Nachweis zur Umsetzung der Datenschutzgrundverordnung.

Für ein eigenständiges DS-GVO konformes Zertifikat müssen Zertifizierungsstellen Kriterien erfüllen, die in Art. 43 der DS-GVO beschrieben sind: Die Zertifizierungsstelle muss nach ISO 17065 – Zertifizierung von Produkten und Prozessen – akkreditiert sein. ISO 27701 ist eine Erweiterung von ISO 27001, Managementsysteme und deren Anforderungen stehen im Mittelpunkt. Deren Zertifizierung richtet sich nach ISO 17021. Somit entspricht ein ISO 27001-Zertifikat nach heutigem Stand nicht – auch nicht mit der ISO 27701-Erweiterung – den Anforderungen der DS-GVO.

Der Verantwortliche für den Datenschutz im Unternehmen unterliegt der Nachweisplicht. Um sicherzugehen und Geldstrafen nach dem Bußgeldkatalog der Datenschutzkonferenz vermeiden oder verringern wollen, bestehen aktuell zwei Möglichkeiten für einen Nachweis. 

Unternehmen und Organisationen können ein Datenschutzmanagementsystem implementieren und Ihr Datenschutzniveau mit einer GAP-Analyse von der DQS GmbH ermitteln lassen. Während des Datenschutzaudits wird vor Ort im Unternehmen geprüft, ob die wesentlichen Datenschutzaspekte der DSGVO eingehalten werden.

Die weitere Möglichkeit wäre eine Begutachtung nach ISO/IEC 27701. Der Nachweis erfolgt in Form eines DQS-Berichts und einer Bescheinigung.

Lesen Sie mehr in unserem Blog ...

DS-GVO-Umsetzung: Managementsysteme geben Sicherheit

Jetzt lesen

ISO 27701: Ist Datenschutz jetzt zertifizierbar?

Jetzt lesen

Strafen bei Datenschutzverletzungen

Jetzt lesen

ISO 27701 - Vorteile für das Datenschutzmanagement

Jetzt lesen