Privacy Information Managementsystem (PIMS)

ISO 27701

Die ISO/IEC 27701 ist eine Erweiterung von ISO/IEC 27001 (Informationssicherheits-Managementsystem) und ISO/IEC 27002 (Security Controls) um Datenschutzkriterien. Die internationale Norm bietet Leitlinien für den Schutz der Privatsphäre und zum Umgang von Unternehmen mit personenbezogenen Daten. Sie hilft beim Nachweis der Einhaltung von Datenschutzbestimmungen weltweit.

Im Unterschied zu DIN EN ISO/IEC 27001 spricht die Managementnorm statt von „Informationssicherheit“ von „Informationssicherheit und Datenschutz“. Darüber hinaus gibt es weitere inhaltliche Ergänzungen: So müssen unter anderem bei der Betrachtung des Kontextes der Organisation relevante Datenschutzgesetze und gerichtliche Entscheidungen berücksichtigt werden. Ebenso gilt es, bei der Risikobeurteilung Kriterien der Verarbeitung von personenbezogenen Daten zu berücksichtigen. Die internationale Norm ist beim Beuth Verlag erhältlich.

  • Einhaltung des Datenschutzes weltweit
  • Management von personenbezogenen Daten
  • Erweiterung bestehendes ISMS nach ISO 27001 zu PIMS
  • Definition von Rollen und Verantwortung für PIMS
 
Sie haben Fragen zum Vorgehen?

Ihre Ansprechpartnerin Regine Bullon-Haro:
"Kontaktieren Sie uns. Ganz unverbindlich und kostenfrei. Wir zeigen Ihnen gerne mögliche Wege auf."
 

Jetzt Anfrage senden

 
Webinaraufzeichnung

ISO 27701 - Nachweis zur Umsetzung datenschutzrechtlicher Vorschriften 

 

Jetzt herunterladen

Nein, mit der Umsetzung der Anforderungen aus ISO 27701 sind nur die Anforderungen an ein Managementsystem umgesetzt, nicht die der Datenschutzgrundverordnung. Dies fordert die Norm auch nicht. Aber es besteht die Möglichkeit diese in das Anforderungsmanagement von ISO/IEC 27701 zu überführen. So können mit Hilfe von ISO 27701 auch die Anforderungen aus der DS-GVO erfüllt werden. Die Norm an sich geht noch weiter, da sie in den Anhängen ganz konkrete Maßnahmen zur Umsetzung zur Verfügung stellt.

Bei der neuen Norm ISO 27701 handelt es sich um eine Erweiterung von ISO 27001. Deshalb kann ISO 27701 auch nur in Verbindung mit einem Informationssicherheitsmanagementsystem nach ISO 27001 zertifiziert werden. Die DS-GVO stellt in den Artikeln 5 und 32 Forderungen auf, die sich mit der Einführung eines Datenschutz-Managementsystems nach der Norm ISO 27701 nachweisen lassen. Datenschutz ist damit in einem gewissen Rahmen zertifizierbar und mögliche Geldbußen können dadurch gemäß Artikel 83 Absatz 2 Buchstabe d DS-GVO verringert werden. Allerdings legt eine Zertifizierung nach ISO 27701 nur den Grundstein für eine mögliche Zertifizierung nach DS-GVO.

Der Verantwortliche für den Datenschutz im Unternehmen unterliegt der Nachweispflicht. Um sicherzugehen und Geldstrafen nach dem Bußgeldkatalog der Datenschutzkonferenz zu vermeiden oder zumindest zu verringern, ist ein Datenschutz-Managementsystem nach ISO 27701 genau das Richtige. Gemäß Artikel 83 Absatz 2 Buchstabe d DS-GVO spielt bei der Bemessung von Geldbußen auch eine Rolle, inwieweit sich das Unternehmen um den Datenschutz bemüht.

Wenn Sie die ISO 27701 eingeführt haben, können Sie sich von der DQS auditieren lassen. Dadurch haben Sie einen objektiven Nachweis darüber, dass Sie sich um den Datenschutz bemühen und ein funktionierendes Datenschutz-Managementsystem betreiben. Dieser Nachweis kann Ihnen dabei helfen, die Aufsichtsbehörden von Ihren Bemühungen um den Datenschutz zu überzeugen.

Mit dem Zertifikat nach ISO 27701, welches eine Zertifizierung nach ISO 27001 voraussetzt, haben Sie eine solide Basis, auf der Sie aufbauen können, wenn Sie sich nach DS-GVO zertifizieren lassen. An einigen Stellen fordert die DS-GVO Maßnahmen, die ein Managementsystem de facto voraussetzen.

Lesen Sie mehr in unserem Blog ...

DS-GVO-Umsetzung: Managementsysteme geben Sicherheit

Jetzt lesen

ISO 27701: Ist Datenschutz jetzt zertifizierbar?

Jetzt lesen

Strafen bei Datenschutzverletzungen

Jetzt lesen

ISO 27701 - Vorteile für das Datenschutzmanagement

Jetzt lesen

Das könnte Sie auch interessieren