18. Mai 2022

Ihre Fragen – unsere Antworten rund um Datenschutz & Informationssicherheit

ISO 27701: Frequently asked questions

Sie kennen es vermutlich aus Ihrer eigenen Unternehmenspraxis: an Datenschutz bzw. einer systematischen Herangehensweise mit Daten kommt man heutzutage nicht mehr vorbei. Nicht nur weil gewisse rechtlichen Voraussetzungen gelten – etwa die EU-DSGVO – sondern auch weil von Kunden und Interessenten ein gewisses „Standing“ in puncto Datensicherheit erwartet wird.

Mit einer Zertifizierung nach ISO 27701 weisen Unternehmen und Organisationen die Einhaltung datenschutzrechtlicher Vorgaben nach. Aber welche Vorteile bringt eine ISO 27701 Zertifizierung noch mit sich? Inwiefern unterscheidet sich die Norm von der ISO 27001 für Informationssicherheit und wie genau läuft ein Zertifizierungsprozess ab? Unsere CIS Experten haben die Antworten!

„Die ISO 27701 gibt eine gute Anleitung, die für Datenschutz-Compliance notwendigen Maßnahmen - gemeinsam mit der Informationssicherheit, die ja durch Art. 32 DSGVO sowieso gefordert ist - umzusetzen“,

so Werner Sponer, CIS Netzwerkpartner für Datenschutz und Cloud Computing, hinsichtlich der Relevanz der Thematik.

Was steckt hinter der ISO 27701?

Der offizielle Titel der Norm lautet: „ISO/IEC 27701:2019 – Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“. Vorrangig steht bei der ISO 27701 also der betriebliche Schutz personenbezogener Daten im Fokus.

Betriebe, die nach ISO 27701 zertifiziert sind, profitieren somit von einer klaren Positionierung zum Thema „Datenschutz“ und stellen die Einhaltung gesetzlicher Vorgaben sicher. Weitere Vorteile sind unter anderem, dass die Norm ein systemisch klares Steuerungsinstrument und Kontrollsystem für alle Datenschutzthemen, die es zu bewältigen gilt, darstellt und den Umgang mit schützenswerten und personenbezogenen Daten definiert. Der risikobasierte Ansatz hilft etwaige Haftungsfelder frühzeitig aufzuspüren und gezielt zu vermeiden.

Es handelt sich bei der ISO 27701 um keine Zertifizierung im Sinne der DSGVO, sondern um eine Zertifizierung des Datenschutzmanagementsystems – es lassen sich also auch andere rechtliche Vorgaben als die DSGVO damit abbilden. Dies ist insbesondere für Kunden mit Niederlassungen außerhalb der EU interessant. Die ISO 27701 ist eine international gültige Norm und erweitert die Maßnahmen der ISO 27001 und ISO 27002 um die für den Datenschutz benötigten Punkte, wie beispielsweise Assetmanagement der Daten („Verzeichnis der Verarbeitungstätigkeiten), Prozesse für Information der Betroffenen, Einwilligung, Auskunft, etc.

Warum ist Datenschutz aktuell so wichtig?

Das Thema Datenschutz wird von vielen Unternehmen nach wie vor unterschätzt und dadurch leider auch mit dementsprechend wenig Ressourcen betrieben. Datenschutz ist jedoch kein Thema, das einmal implementiert wird, sondern muss nach dem Plan-Do-Check-Act-Zyklus (PDCA) laufend betrachtet, hinterfragt und um neue Aspekte erweitert werden.

Mit der Pandemie und dem Digitalisierungsschub aber auch der Einführung der EU-DSGVO 2018 wurde auch der Ruf nach einer sicheren und rechtskonformen Digitalisierung immer lauter. Datenschutz und Informationssicherheit gelten als Erfolgsfaktoren für Unternehmen, besonders auch da Cybergefahren zunehmen und entsprechende Kompetenzen bzw. Managementsysteme benötigt werden.

Mit der Norm wird ein Rahmen geboten, um DSGVO-Anforderungen systematisch anzugehen sowie andererseits mögliche Risiken frühzeitig zu erkennen und entsprechende Maßnahmen abzuleiten.

Ein weiterer Punkt im Zusammenhang mit der DSGVO sind die hohen Strafen, welche hier ausgestellt werden können. Möglich sind bei schweren Verstößen bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweiten Jahresumsatzes.  EU-weit sind die Datenschutzstrafen auf ein Rekordhoch gestiegen, im Jahr 2021 insgesamt auf über 1 Mrd. Euro.

Wie unterscheidet sich die ISO 27701 von der ISO 27001?

Die beiden Normen sind sich in ihrer Wirkungsweise sehr ähnlich, sie betrachten die Risiken, welche auf die Assets wirken, geben bestimmte Prozesse und Dokumentationen vor und lassen dabei aber viel Handlungsspielraum für die Ausgestaltung der Maßnahmen. Mehr im Detail betrachtet werden die Unterschiede deutlicher, die ISO 27001 behandelt bspw. Hard- und Software als Assets, die ISO 27701 hingegen die Daten von betroffenen Personen. Die Risikobetrachtung in der ISO 27001 gilt schwerpunktmäßig der Auswirkung auf die Organisation, in der ISO 27701 der Auswirkung auf die betroffene Person. Die ISO 27001 verlangt gewisse Betriebsabläufe, bspw. das Erkennen und Behandeln von Schwachstellen, das Testen von Software etc., die ISO 27701 hingegen bspw. Prozesse für die Wahrung der Betroffenenrechte, der Informationspflichten und der Meldung von Datenschutzvorfällen.

Eine Zertifizierung nach ISO 27701 für Datenschutzmanagement ist ein Add-On für den international anerkannten Standard ISO 27001 für Informationssicherheit und kann auch nur auf einer ISO 27001 Zertifizierung aufbauend erlangt werden. Im Wesentlichen wird der Begriff „Informationssicherheit“ durch den Begriff „Informationssicherheit und Datenschutz“ ersetzt und muss so auch in allen Themen neu gedacht werden.

Nicht nur der offizielle Normtitel zeigt die thematische Zusammengehörigkeit innerhalb der ISO 27000 Normenfamilie: Die Normen und das gemeinsame Managementsystem basieren auf den Prinzipien Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Informationen. So ist das Zusammenwirken dieser ISO Normen wenig überraschend und eine gemeinsame Implementierung ist sehr empfehlenswert. Inhaltlich fokussiert Datenschutz auf den Schutz von Personen bei der Verarbeitung personenbezogener Daten vor der missbräuchlicher oder unbefugter Verwendung. Die Risikobetrachtung erfolgt dann nicht aus Sicht der Organisation sondern aus Sicht des Betroffenen – also welcher Schaden für den Betroffenen entsteht oder entstehen kann.

Die Normen beruhen ebenfalls auf der „High Level Structure“ (HLS), die sich durch viele der gängigsten Normen zieht und diesen ein einheitliches Grundgerüst verleiht. Hat ein Betrieb also bereits andere Managementsysteme, auch in Bereichen wie Qualität, Umwelt oder Sicherheit implementiert, kann auch die ISO 27701 unkompliziert integriert werden.

Wie läuft die Zertifizierung nach ISO 27701 ab?

CIS unterstützt interessierte Organisationen von der Erstinformation und individuellen Analyse der Ausgangssituation in wenigen Projektschritten zum international anerkannten Zertifikat für Datenschutz. Nach Implementierung wird das jeweilige Managementsystem durch CIS-Auditoren und multiple Stichproben auf verschiedenen Ebenen untersucht. Der dabei ausgestellte Auditbericht dient dazu, etwaige „blinde Flecken“ aufzudecken und sich kontinuierlich zu verbessern.

Mit der „Certificate Issuance & Right to Use Licence“ wird ein CIS-Zertifikat für drei Jahre erworben und jährlich auf Effektivität hin überprüft.

Wie bereits zuvor erläutert, wird im Zusammenhang mit Managementsystemen häufig vom Plan-Do-Check-Act-Zyklus gesprochen. Der erste Punkt (PLAN) kann durch eine ISO 27701 Gap-Analyse aufgegriffen werden und deckt „blinde Flecken“ und Potenziale auf. Auf Basis des ersten Schrittes werden in Punkt 2 (DO) individuelle Anforderungen überlegt – als unabhängige Prüfstelle ist CIS hier nicht involviert. Phase 3 (CHECK) beschreibt die Einführung der Maßnahmen nach ISO 27701, welche final (ACT) laufend und kontinuierlich verbessert werden sollen.

Detaillierte Informationen finden Sie hier.

Wie unterstützt CIS auf Ihrem Weg zur ISO 27701?

CIS bietet seit 2020 in Österreich das Zertifikat nach ISO 27701 an und war somit einer der ersten international akkreditierten Anbieter. Zudem werden die Bedeutung von Datenschutz und Informationssicherheit bzw. die Kernelemente und Datenschutzbestimmungen in diversen Aus- und Weiterbildungen kompakt vermittelt. Darunter etwa die folgenden Seminare:

Weitere News & Events

Immer topaktuell informiert

05. Dez 2022

NIS 2.0 – was kommt auf uns zu?

Neue Regelung für Cybersicherheit: CIS-Experte klärt auf

Mehr erfahren
30. Nov 2022

Gesucht: Auditor*in Informations-sicherheits-management nach ISO 27001 (m/w/d)

30. Nov 2022

Gesucht: Prüfer*in Netz- und Informations­sicherheit (NIS) (m/w/d)

30. Nov 2022

Neue ISO/IEC 27001:2022 – Das müssen Unternehmen jetzt wissen

15. Nov 2022

Informationssicherheit in einer Kultur der offenen Türen

Science Security Series: Gastkommentar der FH St. Pölten

Mehr erfahren
07. Nov 2022

Revision ISO 27001 & ISO 27002:2022 – was kommt, was geht, was bleibt?

Überblick zu Maßnahmen und gute Nachrichten für die Umstellung

Mehr erfahren
26. Sep 2022

41-jähriger Sicherheits-Experte ist heimischer „CISO of the Year“

Österreichs beste Chief Information Security Officer geehrt

Mehr erfahren
21. Sep 2022

Experten präsentieren Strategien gegen Cyber-Attacken auf Betriebs­technologie

Das war der CIS Compliance Summit 2022

Mehr erfahren
12. Sep 2022

Wer ist der beste CISO im ganzen Land?

Nicht mehr lange und der Titel „CISO of the Year 2022“ wird erstmals beim diesjährigen CIS Compliance Summit an die oder den besten Chief Information Security…

Mehr erfahren
19. Aug 2022

ISO/IEC 27001:2022 – was ist neu?

Was bedeutet die Revision der ISO 27001 für Unternehmen?

Mehr erfahren
08. Aug 2022

6 kritische Faktoren der ISMS Umsetzung

Kritische Faktoren der ISMS Umsetzung

Mehr erfahren
28. Jul 2022

Global Threat Report 2022: was Sie jetzt wissen müssen!

Zusammenfassung aktueller Cyber Trends und Angriffe

Mehr erfahren
+43 732 34 23 22