ISO 27701

ISO 27701: Datenschutz im Fokus

Die ISO 27701 ist eine Erweiterung zur ISO 27001/27002 und wurde erst im August 2019 veröffentlicht. Das heißt, im Kern der Zertifizierung bleibt das Information Security Management System (ISMS). Aber die zusätzlichen Anforderungen erweitern verschiedene Aspekte rund um den Datenschutz.

ISO 27xxx – Normenkatalog für die Sicherheit von Informationen

Die ISO 27xxx Normenreihe widmet sich eingehend dem Thema Informationssicherheit. Diese umfangreiche Sammlung von Normen wird kontinuierlich weiterentwickelt, wobei ISO 27001 als Leitnorm fungiert. Diese Norm legt die Anforderungen für Informationssicherheitsmanagementsysteme fest und ermöglicht deren Zertifizierung. Ergänzend dazu vertiefen die Normen 27002 bis 27007 spezifische Aspekte der Hauptnorm. Zusätzlich enthält die Reihe eine Vielzahl von Normen, welche branchen- und sektorspezifische Themen im Bereich der Informationssicherheit behandeln. Besonders erwähnenswert sind hierbei:

• ISO 27017 – Ein Anwendungsleitfaden für Informationssicherheitsmaßnahmen im Kontext von Cloud-Diensten, basierend auf ISO/IEC 27002.
• ISO 27019 – Diese Norm setzt sich mit Informationssicherheitsmaßnahmen speziell im Bereich der Energieversorgung auseinander.

Die ISO 27xxx Normenreihe gewährleistet somit einen umfassenden Ansatz zur Sicherung von Informationen und bietet klare Richtlinien für unterschiedliche Bereiche, um deren Integrität und Schutz zu gewährleisten.

ISO 27001/27002 und ISO 27701 im Zusammenspiel

Die Gemeinsamkeiten zwischen den Normen ISO 27001 und ISO 27701 sind deutlich erkennbar. Beide legen klare Anforderungen an das Managementsystem einer Organisation fest, wobei lediglich der Fokus der Normen variiert – ISO 27001 betont die Informationssicherheit, während ISO 27701 den Datenschutz in den Vordergrund stellt. Ein zentrales verbindendes Element ist die kontinuierliche Verbesserung des Managementsystems, was als PDCA-Zyklus bekannt ist: Planen, Umsetzen, Überprüfen und Handeln. Die Struktur dieser Schritte ist in beiden Normen ähnlich, wodurch sich die Anwendung beider Standards gut integrieren lässt.

Die gemeinsame Grundstruktur der Normen ist identisch, da die Annex SL-Direktiven der ISO eine einheitliche Aufbauvorgabe für Managementsystem-Standards liefern. Diese Struktur umfasst grundlegende Kapitel wie den Anwendungsbereich, normative Verweisungen, Begriffe, den organisatorischen Kontext, die Führungsrolle, Planung, Unterstützung, Betrieb, Leistungsbewertung und Verbesserung. Dank dieser kohärenten Struktur können Organisationen Synergien zwischen den beiden Managementsystemen nutzen. Wenn bereits ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 etabliert ist, lassen sich viele Prozesse nahtlos erweitern, anstatt sie von Grund auf neu aufzubauen. Dies ermöglicht nicht nur eine effiziente Ressourcennutzung, sondern auch eine gesteigerte Effektivität in Bezug auf Sicherheit und Datenschutz.

Was genau beschreibt die ISO 27701?

Diese neue internationale Norm bietet Leitlinien für den Umgang mit personenbezogenen Daten und dient dem Schutz der Privatsphäre. Sie soll weltweit beim Nachweis der Einhaltung von Datenschutzbestimmungen helfen.

Deswegen finden sich dort auch weitere Aspekte des Datenschutzes und Details zu notwendigen Datenschutz-Schulungen von Mitarbeitern. Zudem berücksichtigt sie den Grundsatz “Privacy by Design” und fordert die Ernennung eines Verantwortlichen für das “Privacy Information Management System”. Das alles hilft dabei, den Datenschutz wesentlich zu verbessern.

Ebenso muss man Zugriffe und Veränderungen im System protokollieren. Sollte es dennoch zu Sicherheitsvorfällen beim Thema Datenschutz kommen, sind diese gründlich zu überprüfen. Nur so können die Bestimmungen zum Datenschutz eingehalten werden. Sind alle diese Anforderungen erfüllt, kann man über eine Zertifizierung nach ISO 27701 nachdenken.

Wie läuft eine Zertifizierung nach ISO 27701 ab?

Alle bekannten Anbieter bieten mittlerweile Unterstützung bei einer Zertifizierung nach ISO 27701 an. Das sind unter anderem die Dekra oder die DQS (TÜV bietet das derzeit nicht an – Stand 08/2022). Bedingung ist jedoch, dass das System bereits nach ISO 27001 zertifiziert ist.

Ist das der Fall, folgt der Zertifizierungsprozess. Im Grunde genommen handelt es sich dabei immer um die gleichen Schritte. Angefangen wird oft mit einem Beratungsgespräch, in dem die Ziele definiert werden. Anschließend folgen eine Gap-Analyse und Maßnahmen zur Vorbereitung auf die Zertifizierung.

Schließlich folgt die eigentliche Zertifizierung und wenn alle Anforderungen hinreichend erfüllt sind, wird das Zertifikat aufgestellt. Im Anschluss gibt es noch weitere Audits zur Überwachung sowie nach abgelaufener Zeit von drei Jahren eine erneute Zertifizierung. Daran sollte also schon zu Beginn gedacht werden.

Falls Sie bereits im Besitz eines ISO 27001-Zertifikats sind, sei es von TÜV NORD oder einer anderen Zertifizierungsstelle, durchlaufen Sie zuerst ein separates Audit für ISO 27701. Dieses neue Zertifikat wird synchron zur Laufzeit Ihres aktuellen ISO 27001-Zertifikats vergeben. Sollte Ihr ISO 27001-Zertifikat demnächst auslaufen oder wenn Sie sowohl ISO 27001 als auch ISO 27701 zeitgleich einführen, erfolgen die Audits für beide Normen in einem abgestimmten Prozess. In diesem Schritt werden Ihr Informationssicherheitsmanagementsystem (ISMS) und Ihr Datenschutzmanagementsystem (PIMS) miteinander verknüpft, wodurch Audits für beide Systeme gemeinsam durchgeführt werden können.

Vorteile der Zertifizierung

Als Unternehmen kann es durchaus Sinn machen, sich durch ISO 27701 zertifizieren zu lassen. Besonders wenn der Umgang mit sensiblen, personenspezifischen Daten den Alltag bestimmt, sind die Vorteile nicht von der Hand zu weisen:

• Definierte Rollen und Verantwortlichkeiten beim Datenschutz
• Einhaltung der Bestimmungen zu personenbezogenen Daten
• Erhöhung der Transparenz bei der Verwaltung dieser Daten
• Reduzierung des Risikos von Datenschutzverstößen
• Steigerung des Vertrauens bei Kunden, Geschäftspartnern und Behörden

Mit dieser Zertifizierung kann man demonstrieren, dass das Thema Datenschutz als wichtig angesehen wird. Damit überzeugt man Kunden und Partner, dass ihre Daten konform und sicher verarbeitet werden. Aber in welchem Zusammenhang stehen ISO 27701 und die neue DSGVO?

Reicht die ISO 27701, um DSGVO-konform zu sein?

Im April 2016 hat die EU die Datenschutz-Grundverordnung (DSGVO) veröffentlicht, die weitreichende Änderungen für alle Unternehmen hatte, die Daten verarbeiten. Sie hat alle großen Unternehmen getroffen, aber auch kleine Betreiber von z.B. Nischen-Webseiten.

Doch die Zertifikate nach ISO 27001 und ISO 27701 reichen nicht aus, um die Anforderungen aus der DSGVO zu erfüllen. Laut Artikel 43 benötigt man eine Zertifizierung nach der ISO 17065, diese bezieht sich jedoch auf Produkte und Prozesse, aber nicht auf Systeme. Zudem kann man anhand einer ISO-Zertifizierung nicht erkennen, welchen Bereich man tatsächlich zertifiziert hat. Genau das wird jedoch in Artikel 42 der DSGVO so gefordert.

Die ISO 27701 kann aber eine erste Grundlage für ein späteres DSGVO-Audit bilden. Schließlich deckt sie die wichtigen Regeln zur Verarbeitung personenbezogener Daten gründlich ab. Damit ist das System auch beim Thema Datenschutz für ein Audit bereits gut vorbereitet.

Alternativen zur ISO 27701

Jenseits von Zertifizierungen stehen auch alternative Methoden zur Verfügung, um die DSGVO-Konformität zu gewährleisten. Attestierungen sind eine solche Option, die besonders im internen Kontext von Nutzen sind. Im externen Rahmen können sie nach vorheriger Abstimmung und in Übereinstimmung mit vertraglichen Vereinbarungen mit dem attestierenden Unternehmen angewendet werden, da sie nicht den strikten Anforderungen von Artikel 42 und 43 der DSGVO unterliegen. Typische interne Szenarien umfassen das Verhältnis zwischen Auftraggebern und Auftragnehmern bei Auftragsverarbeitungen, den Einsatz von Subauftragnehmern oder die Vorlage bei Datenschutzbehörden zur Belegung der Rechenschaftspflicht.

Ein Datenschutz-Managementsystem kann durch Attestierungen, beispielsweise im Rahmen der Compliance-Management-System-Prüfung nach IDW PS 980, zertifiziert werden. Ebenso können Teile der Datenschutzorganisation nach dem International Standard on Assurance Engagements (ISAE) 3000 (Revised) attestierte Konformität aufweisen.

Fazit: Sinnvolle Erweiterung eines ISMS

Die ISO 27701 greift als Erweiterung das Thema Datenschutz auf, das ISO 27001/27002 nicht hinreichend abdecken. Ist das Informationssystem also bereits auf Sicherheit zertifiziert, macht es durchaus Sinn, eine weitere ISO 27701 Zertifizierung in Betracht zu ziehen. Damit ist man beim Thema Datenschutz ebenfalls gut aufgestellt.

Das ist besonders wichtig, wenn das System personenbezogene Daten speichert und verarbeitet. Durch die Zertifizierung signalisiert man gegenüber Kunden und Partnern, dass das System ihre Daten sicher und konform behandelt. Der Vertrauensgewinn kann hierbei enorm sein.

E-Book Fachartikel IT-Security

Zum Schmökern und zum Nachschlagen haben wir zahlreiche Fachbeiträge zum Thema Informationssicherheit und IT Security in diesem E-Book zusammengefasst.

Jetzt anfordern

E-Book Fachartikel IT-Security

×

FAQ

Was ist Inhalt der ISO 27701? Wie unterscheidet sich die ISO 27701 zur ISO 27001?

Die ISO 27701 erweitert die ISO 27001/27002 und fokussiert sich auf Datenschutz. Während die ISO 27001 hauptsächlich Informationssicherheit abdeckt, behandelt die ISO 27701 spezifisch Datenschutzaspekte.

Was sind die Vorteile der ISO 27701?

Die ISO 27701 bietet klare Leitlinien für den Umgang mit personenbezogenen Daten und fördert den Datenschutz. Sie definiert Rollen und Verantwortlichkeiten, erhöht die Transparenz bei der Datenverwaltung und reduziert das Risiko von Datenschutzverstößen.

Ist man mit der ISO 27001 DSGVO konform?

Die ISO 27001 und 27701 Zertifikate reichen nicht aus, um die DSGVO-Anforderungen zu erfüllen. Die ISO 27701 kann jedoch eine Grundlage für ein DSGVO-Audit bieten und deckt wichtige Datenschutzregeln ab.

Weiterführende Informationen

• ISO 27001
• Information Security Management System (ISMS)
• ISO 27001 Zertifizierung 27701 (Dekra)
• TÜV ISO 27701 GAP-Analyse