Datenschutz-Zertifizierung nach ISO 27701

Informationssicherheit und Datenschutz sind wichtige Themen, mit denen sich jedes Unternehmen in der heutigen Zeit beschäftigen muss. Die Nachfrage nach einer Datenschutz-Zertifizierung nach der DSGVO steigt. Während Informationssicherheit bereits sehr umfassend durch die ISO 27001/27002 abgedeckt ist, gab es beim Datenschutz noch Nachholbedarf. Genau dieses Thema greift die ISO 27701 auf und es hat den Anschein, als würde diese neue ISO die Rettung bringen. Aber ist dies wirklich der Fall?

Was ist die ISO 27701?

Die Regeln zur neuen ISO 27701 wurden im August 2019 veröffentlicht. Der offizielle Name lautet „Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines”. Dabei handelt es sich nicht um eine eigenständige Norm, sondern lediglich um eine Erweiterung der ISO 27001 und ISO 27002 um Datenschutzaspekte. Zusätzlich beinhaltet ISO 27701 Ergänzungen zu ISO 27002, dem Leitfaden zur Umsetzung der Maßnahmen aus Anhang A von ISO 27001. Sie dient nicht als Ersatz und kann auch nicht alleine erworben werden, sondern ist eine Zertifizierung nur zusammen mit der ISO 27001 möglich.

Die ISO 27001 behandelt die Zertifizierung eines ISMS. Im Mittelpunkt steht somit der Betrieb eines Informationssicherheitsmanagementsystems. Es werden Regeln, Verfahren, Maßnahmen und Tools definiert, um die Informationssicherheit im System zu gewährleisten. Die ISO 27701 erweitert das ISMS um den Aspekt des Datenschutzes. Manchmal spricht man auch von einem PIMS (Privacy Information Management System). Das bedeutet, das bestehende System soll für den Umgang mit personenbezogenen Daten fit gemacht werden. Sie möchten mehr über die ISO 27001 erfahren? Klicken Sie hier um zu dem Artikel zu gelangen.

Inhaltlich legt die ISO 27701 fest, wie Maßnahmen zum Datenschutz und zur Informationssicherheit zu verknüpfen sind, um die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Managementsystems für Informationen zum Datenschutz (PIMS) zu erreichen. In der neuen Datenschutznorm ist daher statt von „Informationssicherheit“ die Rede von „Informationssicherheit und Datenschutz“. Darüber hinaus gibt es inhaltliche Ergänzungen. So wird beispielsweise bei der Betrachtung des Kontextes der Organisation die Einbeziehung relevanter Datenschutzgesetze und gerichtlicher Entscheidungen verlangt. Ebenso sind bei der Risikobeurteilung Kriterien der Verarbeitung von personenbezogenen Daten zu berücksichtigen sowie den Schutz betroffener Personen und eine mögliche Folgenabschätzung.

Die ISO 27701 Norm gibt darüber hinaus Informationen zum Datenschutzmanagement wie:

• Erweiterung der Leitlinie und der Richtlinien um Aspekte des Datenschutzes
• Ernennung eines Verantwortlichen (Datenschutzbeauftragten) im Unternehmen für das Privacy Information Management System
• Datenschutzschulung der Mitarbeiter:innen
• Registrierung von Zugriffen und Änderungen
• Verschlüsselung, beispielsweise besonderer Kategorien personenbezogener Daten wie Gesundheitsdaten
• Berücksichtigung von „Privacy by Design“
• Überprüfung von Datenschutzverletzungen

Wie erfolgt eine ISO 27701 Zertifizierung?

Durch die inhaltliche Nähe zur ISO 27001 bedeutet die Einführung der ISO 27701 im Unternehmen meist keinen großen Mehraufwand. Bei der Umsetzung kann meist auf Richtlinien, Prozesse und Dokumentationen zurückgegriffen werden, die im Unternehmen schon vorhanden sind. Prinzipiell lässt sich sagen, dass die ISO 27701 die Inhalte der DSGVO nur neu aufgreift und umstrukturiert.

In Deutschland ist eine Zertifizierung bei Dekra oder DQS möglich. In Österreich bieten die CISund der TÜV als einer der ersten international akkreditierten Anbieter das Zertifikat für Datenschutzmanagement nach ISO 27701 – als Add-On zu ISO 27001 an. Bedingung ist daher, dass das System bereits nach ISO 27001 zertifiziert ist.

Beim Zertifizierungsprozess steht am Anfang ein Beratungsgespräch, wo Ziele definiert werden. Danach wird eine Gap-Analyse durchgeführt und Schritte zur Vorbereitung auf die Zertifizierung unternommen. Abschließend folgt die eigentliche Zertifizierung und wenn alle Anforderungen ausreichend erfüllt sind, wird das Zertifikat ausgestellt. Das Zertifikat ist dann 3 Jahre lang gültig.

Warum ist eine ISO 27701 Zertifizierung sinnvoll?

Die DSGVO verlangt nicht explizit eine Zertifizierung. Was letztendlich zählt, ist der Nachweis, wie sorgfältig das Unternehmen tatsächlich mit den Anforderungen des Datenschutzes umgeht. Mit einer ISO 27701-Zertifizierung kann jedoch ein hohes Maß an Rechtssicherheit erreicht werden, wenn das System auch so gelebt wird.

Zu den Vorteilen zählen:

• Definition der Rollen und Verantwortlichkeiten beim Datenschutz
• Einhaltung der Datenschutzbestimmungen
• Transparenz bei der Verwaltung der Daten
• Reduzierung des Risikos von Datenschutzverletzungen
• Erhöhung des Vertrauens von Kund:innen, Geschäftspartnern und Behörden
• Beweis für Umsetzung der Datenschutzmaßnahmen bei Problemen mit der Datenschutzbehörde

Darüber hinaus kann das Zertifikat zeigen, dass das Thema Datenschutz als wichtig erachtet wird. Dies gewährleistet Kund:innen und Partner, dass ihre Daten korrekt und sicher behandelt werden.

Ist ein Unternehmen mit ISO 27701 Zertifizierung automatisch DSGVO-konform?

Ein genauer Blick auf den Artikel 43 der DSGVO zeigt, dass Datenschutzzertifikate nur auf Basis der ISO 17065 (Zertifizierung von Produkten und Prozessen) möglich sind. Der Europäische Datenschutzausschuss hat dies in seinen Leitlinien zu diesem Thema (Guidelines 1/2018 und Guidelines 4/2018) bestätigt. Daher ist eine Zertifizierung von Systemen ausgeschlossen.

Zudem kann anhand einer ISO-Zertifizierung nicht erkannt werden, welche Bereiche in einem Unternehmen tatsächlich zertifiziert sind. Dies steht im Widerspruch zu den Anforderungen an Datenschutz-Zertifizierungen in Artikel 42 DSGVO.

Die Zertifizierung der ISO 27701 ist daher gleichzusetzen mit DSGVO-Konformität des gesamten Unternehmens. Sie kann jedoch eine erste Grundlage für ein späteres DSGVO-Audit sein, da sie die wichtigsten Anforderungen zur Verarbeitung personenbezogener Daten abdeckt.

Es ist Ihnen Anliegen, die Daten Ihrer Kund:innen zu schützen? Nehmen Sie Kontakt mit uns auf und wir helfen Ihnen eine sichere DSGVO-konforme Lösung zu finden!