18. Mai 2022

Ihre Fragen – unsere Antworten rund um Datenschutz & Informationssicherheit

ISO 27701: Frequently asked questions

Sie kennen es vermutlich aus Ihrer eigenen Unternehmenspraxis: an Datenschutz bzw. einer systematischen Herangehensweise mit Daten kommt man heutzutage nicht mehr vorbei. Nicht nur weil gewisse rechtlichen Voraussetzungen gelten – etwa die EU-DSGVO – sondern auch weil von Kunden und Interessenten ein gewisses „Standing“ in puncto Datensicherheit erwartet wird.

Mit einer Zertifizierung nach ISO 27701 weisen Unternehmen und Organisationen die Einhaltung datenschutzrechtlicher Vorgaben nach. Aber welche Vorteile bringt eine ISO 27701 Zertifizierung noch mit sich? Inwiefern unterscheidet sich die Norm von der ISO 27001 für Informationssicherheit und wie genau läuft ein Zertifizierungsprozess ab? Unsere CIS Experten haben die Antworten!

„Die ISO 27701 gibt eine gute Anleitung, die für Datenschutz-Compliance notwendigen Maßnahmen - gemeinsam mit der Informationssicherheit, die ja durch Art. 32 DSGVO sowieso gefordert ist - umzusetzen“,

so Werner Sponer, CIS Netzwerkpartner für Datenschutz und Cloud Computing, hinsichtlich der Relevanz der Thematik.

Was steckt hinter der ISO 27701?

Der offizielle Titel der Norm lautet: „ISO/IEC 27701:2019 – Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“. Vorrangig steht bei der ISO 27701 also der betriebliche Schutz personenbezogener Daten im Fokus.

Betriebe, die nach ISO 27701 zertifiziert sind, profitieren somit von einer klaren Positionierung zum Thema „Datenschutz“ und stellen die Einhaltung gesetzlicher Vorgaben sicher. Weitere Vorteile sind unter anderem, dass die Norm ein systemisch klares Steuerungsinstrument und Kontrollsystem für alle Datenschutzthemen, die es zu bewältigen gilt, darstellt und den Umgang mit schützenswerten und personenbezogenen Daten definiert. Der risikobasierte Ansatz hilft etwaige Haftungsfelder frühzeitig aufzuspüren und gezielt zu vermeiden.

Es handelt sich bei der ISO 27701 um keine Zertifizierung im Sinne der DSGVO, sondern um eine Zertifizierung des Datenschutzmanagementsystems – es lassen sich also auch andere rechtliche Vorgaben als die DSGVO damit abbilden. Dies ist insbesondere für Kunden mit Niederlassungen außerhalb der EU interessant. Die ISO 27701 ist eine international gültige Norm und erweitert die Maßnahmen der ISO 27001 und ISO 27002 um die für den Datenschutz benötigten Punkte, wie beispielsweise Assetmanagement der Daten („Verzeichnis der Verarbeitungstätigkeiten), Prozesse für Information der Betroffenen, Einwilligung, Auskunft, etc.

Warum ist Datenschutz aktuell so wichtig?

Das Thema Datenschutz wird von vielen Unternehmen nach wie vor unterschätzt und dadurch leider auch mit dementsprechend wenig Ressourcen betrieben. Datenschutz ist jedoch kein Thema, das einmal implementiert wird, sondern muss nach dem Plan-Do-Check-Act-Zyklus (PDCA) laufend betrachtet, hinterfragt und um neue Aspekte erweitert werden.

Mit der Pandemie und dem Digitalisierungsschub aber auch der Einführung der EU-DSGVO 2018 wurde auch der Ruf nach einer sicheren und rechtskonformen Digitalisierung immer lauter. Datenschutz und Informationssicherheit gelten als Erfolgsfaktoren für Unternehmen, besonders auch da Cybergefahren zunehmen und entsprechende Kompetenzen bzw. Managementsysteme benötigt werden.

Mit der Norm wird ein Rahmen geboten, um DSGVO-Anforderungen systematisch anzugehen sowie andererseits mögliche Risiken frühzeitig zu erkennen und entsprechende Maßnahmen abzuleiten.

Ein weiterer Punkt im Zusammenhang mit der DSGVO sind die hohen Strafen, welche hier ausgestellt werden können. Möglich sind bei schweren Verstößen bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweiten Jahresumsatzes.  EU-weit sind die Datenschutzstrafen auf ein Rekordhoch gestiegen, im Jahr 2021 insgesamt auf über 1 Mrd. Euro.

Wie unterscheidet sich die ISO 27701 von der ISO 27001?

Die beiden Normen sind sich in ihrer Wirkungsweise sehr ähnlich, sie betrachten die Risiken, welche auf die Assets wirken, geben bestimmte Prozesse und Dokumentationen vor und lassen dabei aber viel Handlungsspielraum für die Ausgestaltung der Maßnahmen. Mehr im Detail betrachtet werden die Unterschiede deutlicher, die ISO 27001 behandelt bspw. Hard- und Software als Assets, die ISO 27701 hingegen die Daten von betroffenen Personen. Die Risikobetrachtung in der ISO 27001 gilt schwerpunktmäßig der Auswirkung auf die Organisation, in der ISO 27701 der Auswirkung auf die betroffene Person. Die ISO 27001 verlangt gewisse Betriebsabläufe, bspw. das Erkennen und Behandeln von Schwachstellen, das Testen von Software etc., die ISO 27701 hingegen bspw. Prozesse für die Wahrung der Betroffenenrechte, der Informationspflichten und der Meldung von Datenschutzvorfällen.

Eine Zertifizierung nach ISO 27701 für Datenschutzmanagement ist ein Add-On für den international anerkannten Standard ISO 27001 für Informationssicherheit und kann auch nur auf einer ISO 27001 Zertifizierung aufbauend erlangt werden. Im Wesentlichen wird der Begriff „Informationssicherheit“ durch den Begriff „Informationssicherheit und Datenschutz“ ersetzt und muss so auch in allen Themen neu gedacht werden.

Nicht nur der offizielle Normtitel zeigt die thematische Zusammengehörigkeit innerhalb der ISO 27000 Normenfamilie: Die Normen und das gemeinsame Managementsystem basieren auf den Prinzipien Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Informationen. So ist das Zusammenwirken dieser ISO Normen wenig überraschend und eine gemeinsame Implementierung ist sehr empfehlenswert. Inhaltlich fokussiert Datenschutz auf den Schutz von Personen bei der Verarbeitung personenbezogener Daten vor der missbräuchlicher oder unbefugter Verwendung. Die Risikobetrachtung erfolgt dann nicht aus Sicht der Organisation sondern aus Sicht des Betroffenen – also welcher Schaden für den Betroffenen entsteht oder entstehen kann.

Die Normen beruhen ebenfalls auf der „High Level Structure“ (HLS), die sich durch viele der gängigsten Normen zieht und diesen ein einheitliches Grundgerüst verleiht. Hat ein Betrieb also bereits andere Managementsysteme, auch in Bereichen wie Qualität, Umwelt oder Sicherheit implementiert, kann auch die ISO 27701 unkompliziert integriert werden.

Wie läuft die Zertifizierung nach ISO 27701 ab?

CIS unterstützt interessierte Organisationen von der Erstinformation und individuellen Analyse der Ausgangssituation in wenigen Projektschritten zum international anerkannten Zertifikat für Datenschutz. Nach Implementierung wird das jeweilige Managementsystem durch CIS-Auditoren und multiple Stichproben auf verschiedenen Ebenen untersucht. Der dabei ausgestellte Auditbericht dient dazu, etwaige „blinde Flecken“ aufzudecken und sich kontinuierlich zu verbessern.

Mit der „Certificate Issuance & Right to Use Licence“ wird ein CIS-Zertifikat für drei Jahre erworben und jährlich auf Effektivität hin überprüft.

Wie bereits zuvor erläutert, wird im Zusammenhang mit Managementsystemen häufig vom Plan-Do-Check-Act-Zyklus gesprochen. Der erste Punkt (PLAN) kann durch eine ISO 27701 Gap-Analyse aufgegriffen werden und deckt „blinde Flecken“ und Potenziale auf. Auf Basis des ersten Schrittes werden in Punkt 2 (DO) individuelle Anforderungen überlegt – als unabhängige Prüfstelle ist CIS hier nicht involviert. Phase 3 (CHECK) beschreibt die Einführung der Maßnahmen nach ISO 27701, welche final (ACT) laufend und kontinuierlich verbessert werden sollen.

Detaillierte Informationen finden Sie hier.

Wie unterstützt CIS auf Ihrem Weg zur ISO 27701?

CIS bietet seit 2020 in Österreich das Zertifikat nach ISO 27701 an und war somit einer der ersten international akkreditierten Anbieter. Zudem werden die Bedeutung von Datenschutz und Informationssicherheit bzw. die Kernelemente und Datenschutzbestimmungen in diversen Aus- und Weiterbildungen kompakt vermittelt. Darunter etwa die folgenden Seminare:

Weitere News & Events

Immer topaktuell informiert

18. Sep 2024

Event: CIS Compliance Summit 2024

Security | Privacy | Continuity

Mehr erfahren
25. Sep 2023

Auszeichnung „CISO of the Year“ zum zweiten Mal verliehen

Die besten Chief Information Security Officer des Landes sind gekürt:

Mehr erfahren
22. Sep 2023

Neuer Trainingsfolder der CIS veröffentlicht

Zahlreiche Neuerungen am Puls der Zeit

Mehr erfahren
20. Sep 2023

New Work: Durch neue Arbeitsweisen und Technologien bleibt der Mensch Risikofaktor Nummer 1

Das war der CIS Compliance Summit 2023

Mehr erfahren
12. Sep 2023

Business Continuity rückt in den Fokus

Ein Schnittstellenthema mit Boost durch NIS und DORA

Mehr erfahren
01. Sep 2023

NIS 2: Was muss Ihr Unternehmen wann umsetzen?

07. Aug 2023

Im Gespräch mit Harald Erkinger und Christoph Mondl über New Work, Chancen und Risiken

Die aktuellen Themen der Cyber Security

Mehr erfahren
03. Aug 2023

Auf welches Know-how wir uns beim CIS Compliance Summit 2023 freuen dürfen

Die Vorfreude auf hochkarätige Vortragende steigt!

Mehr erfahren
01. Aug 2023

Cyberkriminalität – 3 aktuelle Gefahren, mit denen Sie rechnen müssen!

Neuer Bericht des BKI

Mehr erfahren
27. Jul 2023

Webinar ISO/IEC 27001:2022: Was Sie wissen müssen

CIS-Webinar am 9. November

Mehr erfahren
09. Nov 2023

Event: Webinar: Neue ISO 27001:2022 – Das müssen Unternehmen jetzt wissen

Webinarreihe Unternehmen & Qualität – Praxiserprobte Lösungen

Mehr erfahren
06. Jul 2023

Global Threat Report 2023: Trends in aktive Chancen umwandeln

Erkenntnisse, Trends und Handlungsempfehlungen

Mehr erfahren
+43 1 532 98 90