18. Mai 2022

Ihre Fragen – unsere Antworten rund um Datenschutz & Informationssicherheit

ISO 27701: Frequently asked questions

Sie kennen es vermutlich aus Ihrer eigenen Unternehmenspraxis: an Datenschutz bzw. einer systematischen Herangehensweise mit Daten kommt man heutzutage nicht mehr vorbei. Nicht nur weil gewisse rechtlichen Voraussetzungen gelten – etwa die EU-DSGVO – sondern auch weil von Kunden und Interessenten ein gewisses „Standing“ in puncto Datensicherheit erwartet wird.

Mit einer Zertifizierung nach ISO 27701 weisen Unternehmen und Organisationen die Einhaltung datenschutzrechtlicher Vorgaben nach. Aber welche Vorteile bringt eine ISO 27701 Zertifizierung noch mit sich? Inwiefern unterscheidet sich die Norm von der ISO 27001 für Informationssicherheit und wie genau läuft ein Zertifizierungsprozess ab? Unsere CIS Experten haben die Antworten!

„Die ISO 27701 gibt eine gute Anleitung, die für Datenschutz-Compliance notwendigen Maßnahmen - gemeinsam mit der Informationssicherheit, die ja durch Art. 32 DSGVO sowieso gefordert ist - umzusetzen“,

so Werner Sponer, CIS Netzwerkpartner für Datenschutz und Cloud Computing, hinsichtlich der Relevanz der Thematik.

Was steckt hinter der ISO 27701?

Der offizielle Titel der Norm lautet: „ISO/IEC 27701:2019 – Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“. Vorrangig steht bei der ISO 27701 also der betriebliche Schutz personenbezogener Daten im Fokus.

Betriebe, die nach ISO 27701 zertifiziert sind, profitieren somit von einer klaren Positionierung zum Thema „Datenschutz“ und stellen die Einhaltung gesetzlicher Vorgaben sicher. Weitere Vorteile sind unter anderem, dass die Norm ein systemisch klares Steuerungsinstrument und Kontrollsystem für alle Datenschutzthemen, die es zu bewältigen gilt, darstellt und den Umgang mit schützenswerten und personenbezogenen Daten definiert. Der risikobasierte Ansatz hilft etwaige Haftungsfelder frühzeitig aufzuspüren und gezielt zu vermeiden.

Es handelt sich bei der ISO 27701 um keine Zertifizierung im Sinne der DSGVO, sondern um eine Zertifizierung des Datenschutzmanagementsystems – es lassen sich also auch andere rechtliche Vorgaben als die DSGVO damit abbilden. Dies ist insbesondere für Kunden mit Niederlassungen außerhalb der EU interessant. Die ISO 27701 ist eine international gültige Norm und erweitert die Maßnahmen der ISO 27001 und ISO 27002 um die für den Datenschutz benötigten Punkte, wie beispielsweise Assetmanagement der Daten („Verzeichnis der Verarbeitungstätigkeiten), Prozesse für Information der Betroffenen, Einwilligung, Auskunft, etc.

Warum ist Datenschutz aktuell so wichtig?

Das Thema Datenschutz wird von vielen Unternehmen nach wie vor unterschätzt und dadurch leider auch mit dementsprechend wenig Ressourcen betrieben. Datenschutz ist jedoch kein Thema, das einmal implementiert wird, sondern muss nach dem Plan-Do-Check-Act-Zyklus (PDCA) laufend betrachtet, hinterfragt und um neue Aspekte erweitert werden.

Mit der Pandemie und dem Digitalisierungsschub aber auch der Einführung der EU-DSGVO 2018 wurde auch der Ruf nach einer sicheren und rechtskonformen Digitalisierung immer lauter. Datenschutz und Informationssicherheit gelten als Erfolgsfaktoren für Unternehmen, besonders auch da Cybergefahren zunehmen und entsprechende Kompetenzen bzw. Managementsysteme benötigt werden.

Mit der Norm wird ein Rahmen geboten, um DSGVO-Anforderungen systematisch anzugehen sowie andererseits mögliche Risiken frühzeitig zu erkennen und entsprechende Maßnahmen abzuleiten.

Ein weiterer Punkt im Zusammenhang mit der DSGVO sind die hohen Strafen, welche hier ausgestellt werden können. Möglich sind bei schweren Verstößen bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweiten Jahresumsatzes.  EU-weit sind die Datenschutzstrafen auf ein Rekordhoch gestiegen, im Jahr 2021 insgesamt auf über 1 Mrd. Euro.

Wie unterscheidet sich die ISO 27701 von der ISO 27001?

Die beiden Normen sind sich in ihrer Wirkungsweise sehr ähnlich, sie betrachten die Risiken, welche auf die Assets wirken, geben bestimmte Prozesse und Dokumentationen vor und lassen dabei aber viel Handlungsspielraum für die Ausgestaltung der Maßnahmen. Mehr im Detail betrachtet werden die Unterschiede deutlicher, die ISO 27001 behandelt bspw. Hard- und Software als Assets, die ISO 27701 hingegen die Daten von betroffenen Personen. Die Risikobetrachtung in der ISO 27001 gilt schwerpunktmäßig der Auswirkung auf die Organisation, in der ISO 27701 der Auswirkung auf die betroffene Person. Die ISO 27001 verlangt gewisse Betriebsabläufe, bspw. das Erkennen und Behandeln von Schwachstellen, das Testen von Software etc., die ISO 27701 hingegen bspw. Prozesse für die Wahrung der Betroffenenrechte, der Informationspflichten und der Meldung von Datenschutzvorfällen.

Eine Zertifizierung nach ISO 27701 für Datenschutzmanagement ist ein Add-On für den international anerkannten Standard ISO 27001 für Informationssicherheit und kann auch nur auf einer ISO 27001 Zertifizierung aufbauend erlangt werden. Im Wesentlichen wird der Begriff „Informationssicherheit“ durch den Begriff „Informationssicherheit und Datenschutz“ ersetzt und muss so auch in allen Themen neu gedacht werden.

Nicht nur der offizielle Normtitel zeigt die thematische Zusammengehörigkeit innerhalb der ISO 27000 Normenfamilie: Die Normen und das gemeinsame Managementsystem basieren auf den Prinzipien Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Informationen. So ist das Zusammenwirken dieser ISO Normen wenig überraschend und eine gemeinsame Implementierung ist sehr empfehlenswert. Inhaltlich fokussiert Datenschutz auf den Schutz von Personen bei der Verarbeitung personenbezogener Daten vor der missbräuchlicher oder unbefugter Verwendung. Die Risikobetrachtung erfolgt dann nicht aus Sicht der Organisation sondern aus Sicht des Betroffenen – also welcher Schaden für den Betroffenen entsteht oder entstehen kann.

Die Normen beruhen ebenfalls auf der „High Level Structure“ (HLS), die sich durch viele der gängigsten Normen zieht und diesen ein einheitliches Grundgerüst verleiht. Hat ein Betrieb also bereits andere Managementsysteme, auch in Bereichen wie Qualität, Umwelt oder Sicherheit implementiert, kann auch die ISO 27701 unkompliziert integriert werden.

Wie läuft die Zertifizierung nach ISO 27701 ab?

CIS unterstützt interessierte Organisationen von der Erstinformation und individuellen Analyse der Ausgangssituation in wenigen Projektschritten zum international anerkannten Zertifikat für Datenschutz. Nach Implementierung wird das jeweilige Managementsystem durch CIS-Auditoren und multiple Stichproben auf verschiedenen Ebenen untersucht. Der dabei ausgestellte Auditbericht dient dazu, etwaige „blinde Flecken“ aufzudecken und sich kontinuierlich zu verbessern.

Mit der „Certificate Issuance & Right to Use Licence“ wird ein CIS-Zertifikat für drei Jahre erworben und jährlich auf Effektivität hin überprüft.

Wie bereits zuvor erläutert, wird im Zusammenhang mit Managementsystemen häufig vom Plan-Do-Check-Act-Zyklus gesprochen. Der erste Punkt (PLAN) kann durch eine ISO 27701 Gap-Analyse aufgegriffen werden und deckt „blinde Flecken“ und Potenziale auf. Auf Basis des ersten Schrittes werden in Punkt 2 (DO) individuelle Anforderungen überlegt – als unabhängige Prüfstelle ist CIS hier nicht involviert. Phase 3 (CHECK) beschreibt die Einführung der Maßnahmen nach ISO 27701, welche final (ACT) laufend und kontinuierlich verbessert werden sollen.

Detaillierte Informationen finden Sie hier.

Wie unterstützt CIS auf Ihrem Weg zur ISO 27701?

CIS bietet seit 2020 in Österreich das Zertifikat nach ISO 27701 an und war somit einer der ersten international akkreditierten Anbieter. Zudem werden die Bedeutung von Datenschutz und Informationssicherheit bzw. die Kernelemente und Datenschutzbestimmungen in diversen Aus- und Weiterbildungen kompakt vermittelt. Darunter etwa die folgenden Seminare:

Weitere News & Events

Immer topaktuell informiert

08. Jun 2022

Was Sie beim CIS Compliance Summit 2022 erwartet!

Unsere Speaker – auch heuer wieder geballtes Know-how!

Mehr erfahren
07. Jun 2022

Cyber Defense: entscheidender Erfolgsfaktor (?)

Nur 20 Prozent der österreichischen Groß- und Mittelbetriebe geben an, dass sie über einen Krisenplan für Cyber-Angriffe verfügen.

Mehr erfahren
24. Mai 2022

Laufende Digitalisierung in der Industrie als Treiber

Shooting Star: OT-Security

Mehr erfahren
02. Mai 2022

Vermehrte Ransomware-Attacken in der Automotive-Branche

CIS bietet TISAX-Level-2-Assessments an

Mehr erfahren
08. Mrz 2022

Risiko-Minimierung für Cloud Services

ISO 27017 minimiert Risiken für Cloud Services

Mehr erfahren
07. Mrz 2022

Der Mehrwert eines Datenschutz­managementsystems

Gastkommentar von Bernhard Bachofner, Chief Technology Officer (CTO) der Fiegl & Spielberger Gruppe zur DSGVO, Datenschutz und dem Nutzen von Zertifizierungen

Mehr erfahren
17. Feb 2022

ISO 27002:2022 – was Sie jetzt wissen müssen!

Startschuss für die neue Norm

Mehr erfahren
08. Feb 2022

Ausblick und Status Quo in puncto „Safer Internet“

Roundtable anlässlich des Safer Internet Day

Mehr erfahren
01. Feb 2022

Österreichs beste Chief Information Security Officer gesucht

„CISO of the Year“: Bewerbungen bis 18. März 2022 möglich

Mehr erfahren
27. Jan 2022

Österreichische Datenschutzbehörde bestätigt Schrems II – Nutzung von Google Analytics illegal?

Europäischer Datenschutztag

Mehr erfahren
11. Jan 2022

NIS-Gesetz: Systemrelevanten Unternehmen drohen Strafen bei nicht zeitgerechter Umsetzung

Experte Klaus Veselko warnt

Mehr erfahren
20. Sep 2022

Event: CIS Compliance Summit 2022

Security | Privacy | Continuity

Mehr erfahren
+43 732 34 23 22