ISO 27701

ISO 27701: Datenschutz im Fokus

Die ISO 27701 ist eine Erweiterung zur ISO 27001/27002 und wurde erst im August 2019 veröffentlicht. Das heißt, im Kern der Zertifizierung bleibt das Information Security Management System (ISMS). Aber die zusätzlichen Anforderungen erweitern verschiedene Aspekte rund um den Datenschutz.

ISO 27001/27002 und ISO 27701 im Zusammenspiel

Die Nummern sind leicht zu verwechseln und oft passiert hierbei auch schon der erste Fehler. Wie anfangs erwähnt, behandelt ISO 27001 die Zertifizierung eines ISMS. Im Mittelpunkt steht also der Betrieb eines Informationssicherheitsmanagementsystems. Es werden Regeln, Verfahren, Maßnahmen und Tools definiert, um die Informationssicherheit im System zu gewährleisten.

Checkliste ISO 27001

Mit unserer Checkliste erhalten Sie einen Überblick über Maßnahmen und Dokumentationen, die Sie im Rahmen Ihrer Zertifizierung nach ISO 27001 sinnvoll vorbereiten können.

Jetzt anfordern

Checkliste ISO 27001

×

Die ISO 27701 erweitert das ISMS um den Aspekt des Datenschutzes. Manchmal spricht man auch von einem PIMS (Privacy Information Management System). Das bedeutet, das bestehende System soll für den Umgang mit personenbezogenen Daten fit gemacht werden. Es finden sich entsprechende Richtlinien und Vorgaben dazu in der ISO.

Die Zertifizierung nach ISO 27701 baut also auf ISO 27001/27002 auf. Sie dient nicht als Ersatz und sie kann auch nicht alleine erworben werden. Im folgenden Absatz gehen wir etwas näher auf die spezifischen Anforderungen dieser neuen Richtlinie ein.

Was genau beschreibt die ISO 27701?

Diese neue internationale Norm bietet Leitlinien für den Umgang mit personenbezogenen Daten und dient dem Schutz der Privatsphäre. Sie soll weltweit beim Nachweis der Einhaltung von Datenschutzbestimmungen helfen.

Deswegen finden sich dort auch weitere Aspekte des Datenschutzes und Details zu notwendigen Datenschutz-Schulungen von Mitarbeitern. Zudem berücksichtigt sie den Grundsatz “Privacy by Design” und fordert die Ernennung eines Verantwortlichen für das “Privacy Information Management System”. Das alles hilft dabei, den Datenschutz wesentlich zu verbessern.

Ebenso muss man Zugriffe und Veränderungen im System protokollieren. Sollte es dennoch zu Sicherheitsvorfällen beim Thema Datenschutz kommen, sind diese gründlich zu überprüfen. Nur so können die Bestimmungen zum Datenschutz eingehalten werden. Sind alle diese Anforderungen erfüllt, kann man über eine Zertifizierung nach ISO 27701 nachdenken.

Wie läuft eine Zertifizierung nach ISO 27701 ab?

Alle bekannten Anbieter bieten mittlerweile Unterstützung bei einer Zertifizierung nach ISO 27701 an. Das sind unter anderem die Dekra oder die DQS (TÜV bietet das derzeit nicht an – Stand 08/2022). Bedingung ist jedoch, dass das System bereits nach ISO 27001 zertifiziert ist.

Live-Webinar: Informationssicherheit verbessern durch ISMS und ISO 27001

Im Webinar erfahren Sie, durch welche Anforderungen der ISO 27001 Sie Ihre Informationssicherheit optimieren können und wie ein Information Security Management System (ISMS) Sie dabei unterstützt – auch, wenn Sie sich nicht direkt zertifizieren lassen möchten.

mehr erfahren

Ist das der Fall, folgt der Zertifizierungsprozess. Im Grunde genommen handelt es sich dabei immer um die gleichen Schritte. Angefangen wird oft mit einem Beratungsgespräch, in dem die Ziele definiert werden. Anschließend folgen eine Gap-Analyse und Maßnahmen zur Vorbereitung auf die Zertifizierung.

Schließlich folgt die eigentliche Zertifizierung und wenn alle Anforderungen hinreichend erfüllt sind, wird das Zertifikat aufgestellt. Im Anschluss gibt es noch weitere Audits zur Überwachung sowie nach abgelaufener Zeit von drei Jahren eine erneute Zertifizierung. Daran sollte also schon zu Beginn gedacht werden.

Vorteile der Zertifizierung

Als Unternehmen kann es durchaus Sinn machen, sich durch ISO 27701 zertifizieren zu lassen. Besonders wenn der Umgang mit sensiblen, personenspezifischen Daten den Alltag bestimmt, sind die Vorteile nicht von der Hand zu weisen:

• Definierte Rollen und Verantwortlichkeiten beim Datenschutz
• Einhaltung der Bestimmungen zu personenbezogenen Daten
• Erhöhung der Transparenz bei der Verwaltung dieser Daten
• Reduzierung des Risikos von Datenschutzverstößen
• Steigerung des Vertrauens bei Kunden, Geschäftspartnern und Behörden

Mit dieser Zertifizierung kann man demonstrieren, dass das Thema Datenschutz als wichtig angesehen wird. Damit überzeugt man Kunden und Partner, dass ihre Daten konform und sicher verarbeitet werden. Aber in welchem Zusammenhang stehen ISO 27701 und die neue DSGVO?

Reicht die ISO 27701, um DSGVO-konform zu sein?

Im April 2016 hat die EU die Datenschutz-Grundverordnung (DSGVO) veröffentlicht, die weitreichende Änderungen für alle Unternehmen hatte, die Daten verarbeiten. Sie hat alle großen Unternehmen getroffen, aber auch kleine Betreiber von z.B. Nischen-Webseiten.

Doch die Zertifikate nach ISO 27001 und ISO 27701 reichen nicht aus, um die Anforderungen aus der DSGVO zu erfüllen. Laut Artikel 43 benötigt man eine Zertifizierung nach der ISO 17065, diese bezieht sich jedoch auf Produkte und Prozesse, aber nicht auf Systeme. Zudem kann man anhand einer ISO-Zertifizierung nicht erkennen, welchen Bereich man tatsächlich zertifiziert hat. Genau das wird jedoch in Artikel 42 der DSGVO so gefordert.

Die ISO 27701 kann aber eine erste Grundlage für ein späteres DSGVO-Audit bilden. Schließlich deckt sie die wichtigen Regeln zur Verarbeitung personenbezogener Daten gründlich ab. Damit ist das System auch beim Thema Datenschutz für ein Audit bereits gut vorbereitet.

Fazit: Sinnvolle Erweiterung eines ISMS

Die ISO 27701 greift als Erweiterung das Thema Datenschutz auf, das ISO 27001/27002 nicht hinreichend abdecken. Ist das Informationssystem also bereits auf Sicherheit zertifiziert, macht es durchaus Sinn, eine weitere ISO 27701 Zertifizierung in Betracht zu ziehen. Damit ist man beim Thema Datenschutz ebenfalls gut aufgestellt.

Das ist besonders wichtig, wenn das System personenbezogene Daten speichert und verarbeitet. Durch die Zertifizierung signalisiert man gegenüber Kunden und Partnern, dass das System ihre Daten sicher und konform behandelt. Der Vertrauensgewinn kann hierbei enorm sein.

E-Book Fachartikel IT-Security

Zum Schmökern und zum Nachschlagen haben wir zahlreiche Fachbeiträge zum Thema Informationssicherheit und IT Security in diesem E-Book zusammengefasst.

Jetzt anfordern

E-Book Fachartikel IT-Security

×

FAQ zu ISO 27701

Was ist ISO 27701?

Die ISO 27701 ist eine Erweiterung der ISO 27001/27002 und wurde im August 2019 veröffentlicht. Die ISO 27701 erweitert das ISMS um den Aspekt des Datenschutzes, weshalb man auch von einem PIMS (Privacy Information Management System) spricht. Das bedeutet, das bestehende System soll für den Umgang mit personenbezogenen Daten fit gemacht werden.

Welche Vorteile bietet die ISO 27701?

• Definierte Rollen und Verantwortlichkeiten beim Datenschutz 
• Einhaltung der Bestimmungen zu personenbezogenen Daten 
• Erhöhung der Transparenz bei der Verwaltung dieser Daten 
• Reduzierung des Risikos von Datenschutzverstößen 
• Steigerung des Vertrauens bei Kunden, Geschäftspartnern und Behörden 

Wie erhält man eine Zertifizierung?

Die Zertifizierung kann man durch die Dekra oder die DQS erwerben. Bedingung ist jedoch, dass das System bereits nach ISO 27001 zertifiziert ist. 

Weiterführende Informationen

• ISO 27001
• Information Security Management System (ISMS)
• ISO 27001 Zertifizierung 27701 (Dekra)