DAS PROGRAMM ZUR GEPLANTEN ZERTIFIZIERUNG NACH ISO 27701

Wozu dient diese neue Form der Zertifizierung?

Datenschutz ist eng mit der Datensicherheit verknüpft. Ist letztere durch eine bereits bestehende ISO 27001 bereits zertifiziert worden – oder erfolgt diese parallel –, kann eine Erweiterung durch ein entsprechendes Datenschutz-Managementsystem (auch bekannt als PIMS, Privacy Information Management System) im Rahmen der neuen ISO 27701 erfolgen, mit ihrem erweiterten Schutz für personenbezogene Daten von Unternehmen.

Zusätzlich beinhaltet die ISO 27701 auch Ergänzungen zur ISO 27002, dem Leitfaden zur Umsetzung der Maßnahmen aus Anhang A der ISO 27001. Die Norm gibt unter anderem Hinweise zu folgenden Punkten:

• Erweiterung um Aspekte des Datenschutzes
• Ernennung eines Verantwortlichen für das „Privacy Information Management System“
• Datenschutz-Schulung der Mitarbeiter
• Protokollierung von Zugriffen und Veränderungen
• Verschlüsselung, z.B. besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten)
• Berücksichtigung des Privacy-By-Design-Grundsatzes
• Überprüfung von Sicherheitsvorfällen bei Datenschutzverletzungen

Aber: die Zertifizierung eines Datenschutzmanagementsystems im Rahmen der ISO 27701 ist nicht zu verwechseln mit der Zertifizierung durch ein Datenschutz-Gütesiegel (gemäß Art. 42 DS GVO). Nur ein Datenschutz-Gütesiegel überprüft, ob die einem Geschäftsprozess zugrunde liegenden Datenverarbeitungsmaßnahmen auch tatsächlich den Regelungen der DSGVO entsprechen. Die Abgrenzung zu einer Zertifizierung eines Datenschutzmanagement Systems im Rahmen der ISO 27701, das sich nur mit den Prozessen eines Managementsystems befasst, ist daher nicht ganz einfach zu verstehen. Bei Zweifelsfragen wenden Sie sich gern an uns.

Vorteile einer Zertifizierung nach der ISO 27701:

• Steigerung des Vertrauens bei Kunden und Geschäftspartnern
• Ermöglicht Umsetzung und Nachweise eines Teilausschnitts der DSGVO, nämlich Art. 5 und 32 DSGVO
• Hilft beim Aufbau eines Datenschutz-Managementsystems
• Ausgangspunkt für eine zukünftig Datenschutz-Zertifizierung, z.B. mit dem ePrivacycert-Datenschutzsiegel
• Bringt Transparenz in die Prozesse der Nutzung pers. bez. Daten
• Reduzierung rechtlicher Risiken durch Datenschutzverletzungen

Prämisse

Bei der ISO 27701 handelt es sich um eine Erweiterung der ISO 27001 (Informationssicherheits-Managementsystem), die das Datenschutzmanagement thematisiert. Diese internationale Norm ist gültige Leitlinie für den Schutz der Privatsphäre. Sie dient Unternehmen zum Umgang mit personenbezogenen Daten und führt den Nachweis hinsichtlich der Einhaltung von Datenschutzbestimmungen weltweit.

Im Unterschied zu ISO 27001 findet sich bei IS 27701 eine Erweiterung um Datenschutz. Zudem gibt es inhaltliche Ergänzungen in zweierlei Hinsicht: Einerseits müssen bei der Betrachtung des Kontextes der Organisation relevante Datenschutzgesetze und gerichtliche Entscheidungen berücksichtigt werden. Andererseits müssen bei der Risikobeurteilung Kriterien der Verarbeitung personenbezogener Daten berücksichtigt werden.

Die Zertifikate gemäß ISO 27001 und ISO 27701 sind jedoch nicht hinreichend, um den Anforderungen der DSGVO zu entsprechen. Jedoch bildet die Erweiterung um die ISO 27701 eine erste Grundlage für ein späteres DSGVO-Audit und erleichtert eine staatlich akkreditierte Zertifizierung.

Zertifizierung zum Datenschutz-Managementsystem