ISO 27701: Frequently asked questions

Mit einer Zertifizierung nach ISO 27701 weisen Unternehmen und Organisationen die Einhaltung datenschutzrechtlicher Vorgaben nach. Aber welche Vorteile bringt eine ISO 27701 Zertifizierung noch mit sich? Inwiefern unterscheidet sich die Norm von der ISO 27001 für Informationssicherheit und wie genau läuft ein Zertifizierungsprozess ab? Unsere CIS Experten haben die Antworten!

„Die ISO 27701 gibt eine gute Anleitung, die für Datenschutz-Compliance notwendigen Maßnahmen - gemeinsam mit der Informationssicherheit, die ja durch Art. 32 DSGVO sowieso gefordert ist - umzusetzen“,

so Werner Sponer, CIS Netzwerkpartner für Datenschutz und Cloud Computing, hinsichtlich der Relevanz der Thematik.

Was steckt hinter der ISO 27701?

Der offizielle Titel der Norm lautet: „ISO/IEC 27701:2019 – Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“. Vorrangig steht bei der ISO 27701 also der betriebliche Schutz personenbezogener Daten im Fokus.

Betriebe, die nach ISO 27701 zertifiziert sind, profitieren somit von einer klaren Positionierung zum Thema „Datenschutz“ und stellen die Einhaltung gesetzlicher Vorgaben sicher. Weitere Vorteile sind unter anderem, dass die Norm ein systemisch klares Steuerungsinstrument und Kontrollsystem für alle Datenschutzthemen, die es zu bewältigen gilt, darstellt und den Umgang mit schützenswerten und personenbezogenen Daten definiert. Der risikobasierte Ansatz hilft etwaige Haftungsfelder frühzeitig aufzuspüren und gezielt zu vermeiden.

Es handelt sich bei der ISO 27701 um keine Zertifizierung im Sinne der DSGVO, sondern um eine Zertifizierung des Datenschutzmanagementsystems – es lassen sich also auch andere rechtliche Vorgaben als die DSGVO damit abbilden. Dies ist insbesondere für Kunden mit Niederlassungen außerhalb der EU interessant. Die ISO 27701 ist eine international gültige Norm und erweitert die Maßnahmen der ISO 27001 und ISO 27002 um die für den Datenschutz benötigten Punkte, wie beispielsweise Assetmanagement der Daten („Verzeichnis der Verarbeitungstätigkeiten), Prozesse für Information der Betroffenen, Einwilligung, Auskunft, etc.

Warum ist Datenschutz aktuell so wichtig?

Das Thema Datenschutz wird von vielen Unternehmen nach wie vor unterschätzt und dadurch leider auch mit dementsprechend wenig Ressourcen betrieben. Datenschutz ist jedoch kein Thema, das einmal implementiert wird, sondern muss nach dem Plan-Do-Check-Act-Zyklus (PDCA) laufend betrachtet, hinterfragt und um neue Aspekte erweitert werden.

Mit der Pandemie und dem Digitalisierungsschub aber auch der Einführung der EU-DSGVO 2018 wurde auch der Ruf nach einer sicheren und rechtskonformen Digitalisierung immer lauter. Datenschutz und Informationssicherheit gelten als Erfolgsfaktoren für Unternehmen, besonders auch da Cybergefahren zunehmen und entsprechende Kompetenzen bzw. Managementsysteme benötigt werden.

Mit der Norm wird ein Rahmen geboten, um DSGVO-Anforderungen systematisch anzugehen sowie andererseits mögliche Risiken frühzeitig zu erkennen und entsprechende Maßnahmen abzuleiten.

Ein weiterer Punkt im Zusammenhang mit der DSGVO sind die hohen Strafen, welche hier ausgestellt werden können. Möglich sind bei schweren Verstößen bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweiten Jahresumsatzes.  EU-weit sind die Datenschutzstrafen auf ein Rekordhoch gestiegen, im Jahr 2021 insgesamt auf über 1 Mrd. Euro.

Wie unterscheidet sich die ISO 27701 von der ISO 27001?

Die beiden Normen sind sich in ihrer Wirkungsweise sehr ähnlich, sie betrachten die Risiken, welche auf die Assets wirken, geben bestimmte Prozesse und Dokumentationen vor und lassen dabei aber viel Handlungsspielraum für die Ausgestaltung der Maßnahmen. Mehr im Detail betrachtet werden die Unterschiede deutlicher, die ISO 27001 behandelt bspw. Hard- und Software als Assets, die ISO 27701 hingegen die Daten von betroffenen Personen. Die Risikobetrachtung in der ISO 27001 gilt schwerpunktmäßig der Auswirkung auf die Organisation, in der ISO 27701 der Auswirkung auf die betroffene Person. Die ISO 27001 verlangt gewisse Betriebsabläufe, bspw. das Erkennen und Behandeln von Schwachstellen, das Testen von Software etc., die ISO 27701 hingegen bspw. Prozesse für die Wahrung der Betroffenenrechte, der Informationspflichten und der Meldung von Datenschutzvorfällen.

Eine Zertifizierung nach ISO 27701 für Datenschutzmanagement ist ein Add-On für den international anerkannten Standard ISO 27001 für Informationssicherheit und kann auch nur auf einer ISO 27001 Zertifizierung aufbauend erlangt werden. Im Wesentlichen wird der Begriff „Informationssicherheit“ durch den Begriff „Informationssicherheit und Datenschutz“ ersetzt und muss so auch in allen Themen neu gedacht werden.

Nicht nur der offizielle Normtitel zeigt die thematische Zusammengehörigkeit innerhalb der ISO 27000 Normenfamilie: Die Normen und das gemeinsame Managementsystem basieren auf den Prinzipien Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Informationen. So ist das Zusammenwirken dieser ISO Normen wenig überraschend und eine gemeinsame Implementierung ist sehr empfehlenswert. Inhaltlich fokussiert Datenschutz auf den Schutz von Personen bei der Verarbeitung personenbezogener Daten vor der missbräuchlicher oder unbefugter Verwendung. Die Risikobetrachtung erfolgt dann nicht aus Sicht der Organisation sondern aus Sicht des Betroffenen – also welcher Schaden für den Betroffenen entsteht oder entstehen kann.

Die Normen beruhen ebenfalls auf der „High Level Structure“ (HLS), die sich durch viele der gängigsten Normen zieht und diesen ein einheitliches Grundgerüst verleiht. Hat ein Betrieb also bereits andere Managementsysteme, auch in Bereichen wie Qualität, Umwelt oder Sicherheit implementiert, kann auch die ISO 27701 unkompliziert integriert werden.

Wie läuft die Zertifizierung nach ISO 27701 ab?

CIS unterstützt interessierte Organisationen von der Erstinformation und individuellen Analyse der Ausgangssituation in wenigen Projektschritten zum international anerkannten Zertifikat für Datenschutz. Nach Implementierung wird das jeweilige Managementsystem durch CIS-Auditoren und multiple Stichproben auf verschiedenen Ebenen untersucht. Der dabei ausgestellte Auditbericht dient dazu, etwaige „blinde Flecken“ aufzudecken und sich kontinuierlich zu verbessern.

Mit der „Certificate Issuance & Right to Use Licence“ wird ein CIS-Zertifikat für drei Jahre erworben und jährlich auf Effektivität hin überprüft.

Wie bereits zuvor erläutert, wird im Zusammenhang mit Managementsystemen häufig vom Plan-Do-Check-Act-Zyklus gesprochen. Der erste Punkt (PLAN) kann durch eine ISO 27701 Gap-Analyse aufgegriffen werden und deckt „blinde Flecken“ und Potenziale auf. Auf Basis des ersten Schrittes werden in Punkt 2 (DO) individuelle Anforderungen überlegt – als unabhängige Prüfstelle ist CIS hier nicht involviert. Phase 3 (CHECK) beschreibt die Einführung der Maßnahmen nach ISO 27701, welche final (ACT) laufend und kontinuierlich verbessert werden sollen.

Detaillierte Informationen finden Sie hier.