News

Datenschutz Zertifizierung nach ISO 27701

Kategorie: Prozessmanagement

ISO 27701 - Ein Status zur lang ersehnten Datenschutz-Zertifizierung

Als im Jahr 2019 die ISO 27701 veröffentlicht worden ist, war die Erleichterung groß: „Endlich gibt es eine Möglichkeit, sich datenschutzkonform auf Managementsystemebene zertifizieren zu lassen!“. Wir blicken nun aus der heutigen Perspektive auf diese Annahme und beleuchten, ob diese Annahme seinerzeit zutreffend war und welche Möglichkeiten eine derartige Zertifizierung bieten kann.  

Zunächst einmal handelt es sich bei dieser Norm nicht um eine eigenständig alleinstehende Zertifizierungsgrundlage wie etwa die DIN EN ISO 9001 oder die ISO/IEC 27001. Der offizielle Untertitel dieser Norm lautet: Sicherheitstechniken - Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Management von Informationen zum Datenschutz - Anforderungen und Leitlinien. Diesem Titel ist zunächst zu entnehmen, dass es sich um eine Fortführung und inhaltliche Fokuserweiterung der ISO/IEC 27001 handelt. 

Ebenso wie die Hauptnorm folgt die ISO 27701 der sogenannten High-Level-Structure und lässt sich daher relativ einfach in ein bereits implementiertes Informationssicherheitsmanagementsystem mit prozessorientierter Struktur integrieren. Anforderungen wie die Betrachtung des Kontextes der Organisation, ein funktionierender Strategieprozess unter Berücksichtigung von Politik, Zielen sowie Chancen und Risiken sowie ein planerisches Vorgehen sowie der Reviewmechanismus sind im Grunde identisch. 

Fokussiert wird in der 27701 darüber hinaus auf datenschutzspezifische Grundlagen wie die rechtliche Situation und eine explizite Risikobeurteilung zum Umgang mit personenbezogenen Daten. Ferner werden Verantwortliche für das „Privacy Information Management System“ (PIMS), Protokollierungen von Zugriffen und Veränderungen, Anforderungen an Verschlüsselungen und die Betrachtungen von Sicherheitsvorfällen auf Datenschutzverletzungen thematisiert. 

Ein besonderer Bonus für den Anwender stellt die quasi mitgelieferte Zuordnungstabelle der Maßnahmen aus dem Managementsystem heraus zu den DSGVO-Anforderungen dar. Somit wird die Wirkung des EU-weit geregelten Datenschutzes in die internationale Standardisierung von Managementsystemen herausgehoben. 
Im Grunde also ein schlüssiges Gesamtpaket welches stringent der Philosophie moderner Managementsystemnormen folgt. 

Ist Datenschutz somit zertifizierbar?

In Artikel 42 DSGVO ist erstmalig klar die Forderung nach einer Zertifizierung des Datenschutzes benannt worden. Bis heute wurde weder eine Zertifizierung ausgesprochen noch wurden die zugrundeliegenden Kriterien dafür eindeutig benannt. Der europäische Datenschutzausschuss (EDSA) publizierte etwa zeitgleich mit dem Erscheinungsdatum der ISO 27701 die „Leitlinien 1/2018 zur Zertifizierung und zur Ermittlung von Zertifizierungskriterien gemäß Artikel 42 und 43 der Datenschutz-Grundverordnung“. Innerhalb dieses Dokumentes werden die Anforderungen und Kriterien für die Zertifikatserteilung betrachtet und die Rollen der im Prozess beteiligten analysiert und dargelegt. 

Bevor die DSGVO in Kraft getreten ist, bestand die Möglichkeit, sich z.B. über die schleswig-holsteinische Landesbehörde ULD hinsichtlich der Datenschutzkonformität zertifizieren zu lassen. Seitdem die DSGVO die rechtliche Grundlage darstellt, ist dies obsolet, da man sich im EU-weiten Arbeitskreis „Zertifizierung“ trotz der oben genannten Leitlinien bisher noch nicht auf eine gemeinsame Koordination und entsprechende Akkreditierungsregeln verständigen konnte. Auch ist heute noch nicht klar, ob die ISO 27701 eine Zertifizierung gemäß Artikel 42 DSGVO darstellen wird und die zertifizierten Unternehmen damit eine Privilegierung erfahren werden. Darüber hinaus gibt es aktuell auch noch keine akkreditierten Zertifizierungsstellen, die ein ISO 27701-Zertifikat ausstellen können. Wie lange der Zustand so noch andauern wird, ist derzeit unklar. 

Welche Vorteile hat es dennoch, sich mit der ISO 27701 zu beschäftigten?

Um den komplexen gesetzlichen Vorgaben hinsichtlich des Datenschutzes auf nationaler und internationaler Ebene gerecht werden zu können, tun die Unternehmen gut daran, sich vor allem auch strukturell und systematisch mit dem Thema zu befassen. Die ISO 27701 bietet dahingehend einen hohen Mehrwert, speziell für die bereits nach ISO/IEC 27001 zertifizierten Organisationen. Sie liefert Werkzeuge und Ansatzpunkte, die sowieso bereits innerhalb des Unternehmens etabliert sind und nutzt diese gezielt um im Umgang mit kritischen, personenbezogenen Daten und Vorfällen die notwendige Sorgfalt und Transparenz erzielen zu können. Dort sei insbesondere der Risikofokus und die Zuordnung klarer Verantwortlichkeiten und Befugnisse genannt.

So ist es unter Berücksichtigung der ISO 27701 verpflichtend, die Risiken realitätsgetreu und auf Erfahrungswerten beruhend, vollumfänglich zu erfassen und eine Klassifizierung vorzunehmen und eine messbare Eintrittswahrscheinlichkeit abzuschätzen. Diese Risikobewertung bildet dann eine belastbare Basis, um das ermittelte Schadenspotenzial greifen zu können und auf einen tolerierbaren Umfang zu verringern. Jener pragmatische Ansatz ist auch in der DSGVO verankert und somit schließt sich mit der ISO 27701 der Kreis auch in puncto Praxisnähe zur gesetzlichen Grundlage. 

Möchten Sie mehr über die Möglichkeiten erfahren, die eine Implementierung der ISO 27701 in ihre Prozesse bietet? Sprechen Sie uns gerne an. Unsere Teams im Prozessmanagement und Datenschutz unterstützen Sie gern bei Ihren Fragestellungen.

 

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download: