Privacy Information Managementsystem (PIMS)

ISO 27701 Zertifizierung

ISO/IEC 27701 ist eine Erweiterung um Datenschutzkriterien eines Informationssicherheits-Managementsystems nach ISO/IEC 27001 und ISO/IEC 27002 (Security Controls). Die internationale Norm ISO 27701 bietet Leitlinien für den Schutz der Privatsphäre und zum Umgang mit personenbezogenen Daten. Sie hilft beim Nachweis der Einhaltung von Datenschutzbestimmungen weltweit.

 

  • Einhaltung gesetzlicher Bestimmungen sicherstellen und belegen
  • Aufsichtsbehörden von Ihrem Datenschutzkonzept überzeugen
  • Durch Prozessorientierung höheres Verständnis für Gesamtzusammenhänge im Datenschutz schaffen
  • Normative Basis für ein Privacy Information Management System (PIMS)
 
Sie haben Fragen zum Vorgehen?

Ihre Ansprechpartnerin Regine Bullon-Haro:
"Kontaktieren Sie uns. Ganz unverbindlich und kostenfrei. Wir zeigen Ihnen gerne mögliche Wege auf."
 

Jetzt Anfrage senden

 
Webinaraufzeichnung

ISO 27701 - Nachweis zur Umsetzung datenschutzrechtlicher Vorschriften 

 

Jetzt herunterladen

Im Unterschied zu ISO 27001 spricht die Managementnorm für ein Datenschutz-Managementsystem nicht mehr nur von „Informationssicherheit“, sondern von „Informationssicherheit und Datenschutz“. Darüber hinaus gibt es weitere inhaltliche Ergänzungen zur reinen Informationssicherheit.

So müssen bei der Betrachtung des Kontextes der Organisation unter anderem relevante Datenschutzgesetze und gerichtliche Entscheidungen berücksichtigt werden. Ebenso gilt es bei der Risikobeurteilung, Kriterien der Verarbeitung von personenbezogenen Daten zu berücksichtigen.

ISO 27701 kann nur in Verbindung mit einem Informationssicherheits-Managementsystem nach ISO 27001 zertifiziert werden. Die Datenschutz-Grundverordnung (DS-GVO) stellt in den Artikeln 5 und 32 Anforderungen, deren Erfüllung sich mit der Einführung eines Datenschutz-Managementsystems nach der Norm ISO 27701 nachweisen lassen.

Datenschutz ist damit in einem gewissen Rahmen zertifizierbar mögliche Geldbußen nach Datenschutzvorfällen können so vermieden oder verringert werden.

Nein, mit der Umsetzung der Anforderungen aus ISO 27701 sind erst einmal nur die Anforderungen an ein Managementsystem umgesetzt, nicht aber die der Datenschutz-Grundverordnung. Dies fordert der internationale Standard auch nicht. Es besteht jedoch die Möglichkeit, die DS-GVO-Anforderungen in das Anforderungsmanagement von ISO/IEC 27701 zu überführen.

So können mithilfe von ISO 27701 auch die Anforderungen aus der DS-GVO zum Schutz personenbezogener Daten in das Managementsystem integriert und erfüllt werden. Dafür leistet der Anhang von ISO 27701 wertvolle Hilfestellung, denn er enthält eine ausführliche Zuordnungstabelle von Maßnahmen zu den Anforderungen der DSGVO.

Als Verantwortlicher für den Datenschutz im Unternehmen unterliegen Sie der Nachweispflicht. Dafür ist ein Datenschutz-Managementsystem nach ISO 27701 die sichere und stabile Grundlage. Bei einem Datenschutzvorfall können DSGVO-Strafen nach dem Bußgeldkatalog der Datenschutzkonferenz vermieden oder zumindest verringert werden. 

Gemäß Artikel 83 (Absatz 2 Buchstabe d) der DSGVO spielt bei der Bemessung von Geldbußen auch eine Rolle, inwieweit sich das Unternehmen aktiv und strukturiert mit dem Datenschutz auseinandersetzt.

Sobald Sie ein Managementsystem nach DIN EN ISO 27701 eingeführt haben, können Sie sich von der DQS auditieren lassen. Wenn Sie dies tun, verfügen Sie über den objektiven Nachweis, dass Datenschutz für Sie von hoher Bedeutung ist, und Sie ein funktionierendes Datenschutz-Managementsystem betreiben.

Mit einem Zertifikat nach ISO 27701, das eine Zertifizierung nach ISO 27001 (Information Security Management) voraussetzt, haben Sie eine solide Basis für die Integration der DSGVO-Anforderungen geschaffen. An einigen Stellen fordert die DSGVO Maßnahmen, die ein Managementsystem de facto voraussetzen.

Haben Sie bereits ein nach ISO 27001 zertifiziertes Managementsystem und alle Anforderungen von ISO 27701 sind umgesetzt, können Sie sich nach der Datenschutznorm zertifizieren lassen. Dabei durchlaufen Sie bei der DQS einen mehrstufigen Zertifizierungsprozess.
 

  • (1) Erstgespräch und Zieldefinition 

Im ersten Schritt tauschen Sie sich mit uns über Ihr Unternehmen, Ihr Managementsystem und die Ziele einer ISO/IEC 27701 Zertifizierung aus. Auf dieser Basis erhalten Sie zeitnah ein detailliertes und transparentes Angebot, zugeschnitten auf Ihre individuellen Bedürfnisse.
 

  • (2) Projektplanung und Voraudit (optional)  

Gerade bei größeren Zertifizierungsprojekten ist ein Planungsmeeting eine wertvolle Gelegenheit, um Ihren Auditor kennenzulernen, sowie ein individuelles Auditprogramm für alle involvierten Bereiche und Standorte zu entwickeln. Ein Voraudit bietet zudem die Möglichkeit, bereits im Vorfeld Verbesserungspotenzial, aber auch Stärken Ihres Managementsystems zu ermitteln. Beide Dienstleistungen sind optional.
 

  • (3) Zertifizierungsaudit der Stufen 1 und 2

Das Zertifizierungsaudit startet mit einer Systemanalyse (Audit Stufe 1) und der Bewertung Ihrer Dokumentation, der Ziele, der Ergebnisse Ihrer Managementbewertung und der internen Audits. Dabei stellen wir fest, ob Ihr Managementsystem ausreichend entwickelt und zertifizierungsreif ist.

Im nächsten Schritt (Systemaudit Stufe 2) begutachtet Ihr Auditor vor Ort die Wirksamkeit aller Managementprozesse. In einem Abschlussgespräch erhalten Sie von Ihrem Auditor eine detaillierte Ergebnisdarstellung und Hinweise auf Verbesserungspotenzial für Ihr Unternehmen. Bei Bedarf werden Maßnahmenpläne vereinbart.
 

  • (4) Systembewertung

Auf der Basis des Systemaudits findet eine Bewertung Ihres Managementsystems statt, die in einen Bericht mündet. Hat Ihr Unternehmen alle Normanforderungen erfüllt, erhalten Sie das ISO 27701 Zertifikat.
 

  • (5) Überwachungsaudits

Um sicherzustellen, dass Ihr Unternehmen alle wichtigen Anforderungen von DIN EN ISO 27701 auch nach dem Zertifizierungsaudit erfüllt, führen wir in einem jährlichen Turnus Überwachungsaudits durch. So wird die kontinuierliche Verbesserung Ihres Datenschutz-Managementsystems und Ihrer Geschäftsprozesse kompetent begleitet.
 

  • (6) Rezertifizierung

Das Zertifikat ist für maximal drei Jahre gültig. Rechtzeitig vor Ablauf des Zetifikats wird eine Rezertifizierung durchgeführt, um die fortlaufende Erfüllung der anwendbaren Normanforderungen zu gewährleisten. Bei Erfüllung wird ein neues Zertifikat ausgestellt.

Da jedes Unternehmen andere Voraussetzungen mitbringt und individuelle Anforderungen an ein Managementsystem stellt, lassen sich die Kosten für das Audit und die Zertifizierung nach ISO 27701 nicht pauschal angeben. Nehmen Sie Kontakt mit uns auf: Wir machen Ihnen auf der Basis einer objektiven Einschätzung und Ihrer Anforderungen ein maßgeschneidertes Angebot.

  • Mehr als 35 Jahre Erfahrung in der Zertifizierung von Managementsystemen und Prozessen
  • Branchenerfahrene Auditoren aus dem weltweiten DQS-Netzwerk
  • Wertschöpfende Einblicke zum Datenschutz in Ihr Unternehmen
  • Zertifikate mit internationaler Akzeptanz
  • Persönliche reibungslose Betreuung durch unsere Spezialisten – regional, national und international
  • Individuelle Angebote mit flexiblen Vertragslaufzeiten ohne versteckte Kosten
  • Aussagekräftige Auditberichte einschließlich Handlungsempfehlungen

Lesen Sie mehr in unserem Blog ...

DS-GVO-Umsetzung: Managementsysteme geben Sicherheit

Jetzt lesen

ISO 27701: Ist Datenschutz jetzt zertifizierbar?

Jetzt lesen

Strafen bei Datenschutzverletzungen

Jetzt lesen

ISO 27701 - Vorteile für das Datenschutzmanagement

Jetzt lesen

Das könnte Sie auch interessieren