ISO 27701: Das Datenschutzmanagementsystem

Fachbeitrag

Die ISO 27701 ist die Norm für Datenschutzmanagementsysteme. Gibt es im Unternehmen bereits ein ISMS nach ISO 27001 oder soll dieses neu aufgebaut werden, so bietet es sich an, die Datenschutzmanagement-Anforderungen mit ISMS zu integrieren. Dank der Integration müssen viele Prozesse nur erweitert und nicht neu aufgebaut werden. Dieser Artikel ist Teil unserer Reihe zur „Datenschutz-Zertifizierung nach ISO 27701“.

Die Norm ISO 27701 (früher ISO 27552) – eine Einleitung

Die Norm ISO 27701 (für manche im Entwurfs-Status noch bekannt als ISO 27552) hat – wie bereits erläutert – die gleiche Struktur wie die ISO 27001. Ganz wichtig: Sie erweitert ein ISMS nach ISO 27001 und seine Leitfäden zur Umsetzung nach ISO 27002 dahingehend, dass ein integriertes Managementsystem für Informationssicherheit und Datenschutz im Unternehmen (bzw. einer Organisation) implementiert werden kann. ISO 27701 kann als Managementsystem nicht alleine unabhängig vom ISMS nach ISO 27001 stehen.

Entsprechend lautet der vollständige Titel der Norm auch:

„ISO/IEC 27701:2019-08 „Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“

Anwendungsbereich

Im Anwendungsbereich der Norm wird klargestellt, dass sie die Anforderungen an ein PIMS in Form einer Erweiterung des ISMS für das Datenschutzmanagement festlegt und hinsichtlich der Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufenden Verbesserung dieses Managementsystems Anleitungen anbietet.

Begriffe

Die ISO 27701 verwendet einige Begriffe, die zumindest für die Datenschutz Juristen etwas gewöhnungsbedürftig sein könnten:

  • PIMS – Privacy Information Management System ist ein Managementsystem für Informationssicherheit, das sich neben dem Schutz von Informationen zusätzlich explizit mit dem Schutz der durch die Verarbeitung personenbezogenen Daten möglicherweise beeinträchtigten Betroffenen befasst.
  • PII (Personally Identifiable Information) – personenbezogene Daten
  • PII-Beauftragter – Verantwortlicher
  • PII-Verarbeiter – Auftragsverarbeiter
  • Gemeinsamer PII-Beauftragter – gemeinsam Verantwortlicher
  • Organisation – alle Organisationen, unabhängig von der Art und Größe, einschließlich öffentlicher und privater Unternehmen, öffentlicher Stellen und gemeinnütziger Organisationen.

Wenn in dieser Blogreihe von Unternehmen gesprochen wird, ist eine Organisation im Sinne der obigen Definition gemeint.

Aufbau der Norm

Das vierte Kapitel der ISO 27701 beschäftigt sich mit dem Aufbau der Norm und erläutert die Zusammenhänge mit ISO 27001 und ISO 27002.

So wurden in der ISO 27701 etwa für die Normenkapitel 4 bis 10 der ISO 27001 stellenweise 9 Konkretisierungen im Hinblick auf den Datenschutz formuliert.

Die ISO 27001 definiert im Anhang A insgesamt 114 Sicherheitsmaßnahmen, die in der ISO 27002 näher beschrieben werden. Von diesen wurden nun durch die ISO 27701 (Kapitel 6) 31 Maßnahmen ergänzt.

Darüber hinaus werden in der Norm ISO 27701 in den Anhängen A und B 49 zusätzliche datenschutzspezifische (die Norm spricht von PIMS-spezifischen) Maßnahmen definiert: 31 Maßnahmen davon betreffen allein den PII-Beauftragten (Anhang A der Norm) und 18 allein den PII-Verarbeiter (Anhang B der Norm).

Verstehen der Organisation und ihres Kontextes

Zunächst muss es dem Unternehmen klar sein, dass die ISO 27701 eine Ergänzung zu ISO 27001 ist. Welche Anforderungen die ISO an der Stelle „Kontext der Organisation“ verlangt, wird in unserer Blogreihe „Aufbau eines ISMS“ demnächst näher erläutert. Vorweggenommen sei so viel, dass das Unternehmen sich des Umfeldes bewusst sein muss, in dem es agiert sowie Anforderungen definieren, die sich daraus ergeben.

Das Unternehmen muss nach ISO 27701 seine Rolle als PII-Beauftragter (einschließlich als gemeinsamer PII-Beauftragter) und/oder als PII-Verarbeiter bestimmen.

Des Weiteren muss das Unternehmen die externen und internen Faktoren bestimmen, die für seinen Kontext relevant sind und sich auf ihn auswirken. Solche Faktoren sind beispielsweise:

  • geltende Datenschutzgesetze,
  • geltende Vorschriften,
  • geltende Gerichtsentscheidungen,
  • anwendbarer organisatorischer Kontext, Unternehmenssteuerung, Richtlinien und Verfahren,
  • geltende Verwaltungsentscheidungen,
  • anwendbare vertragliche Anforderungen.

Hier kommen die DSGVO, das BDSG und noch weitere Datenschutzgesetze sowie die Stellungnahmen der Datenschutzaufsichtsbehörden (national und international, z.B. auch des EDSA) ins Spiel. Diese müssen im Rahmen des PIMS zwingend berücksichtigt werden. Das gleiche gilt für vertragliche Verpflichtungen, die sich beispielsweise aus einem Vertrag zur Auftragsverarbeitung i.S.d. Art. 28 DSGVO ergeben können.

Verstehen der Erfordernisse und Erwartungen der interessierten Parteien

Das Unternehmen muss zu seinen interessierten Parteien diejenigen Parteien zählen, die Interessen oder Verantwortlichkeiten im Zusammenhang mit der Verarbeitung personenbezogenen Daten haben, einschließlich der betroffenen Personen. Zu den interessierten Parteien zählen in Deutschland beispielsweise:

  • die Datenschutzaufsichtsbehörden der Länder sowie des Bundes
  • Kunden
  • andere PII-Beauftragte einschließlich ihre Unterauftragnehmer
  • andere PII-Verarbeiter einschließlich ihre Unterauftragnehmer

Risikomanagement

Im Unterschied zu ISO 27001 spricht die Norm ISO 27701 von „Informationen und Datenschutz“ anstatt von „Informationen“. Daher ist im Rahmen des Risikomanagements neben der Informationssicherheit auch der Schutz der Privatsphäre von betroffenen Personen zu berücksichtigen, die durch die Verarbeitung personenbezogener Daten möglicherweise beeinträchtigt ist. Auch bei der Risikobeurteilung gilt es, die Kriterien der Verarbeitung von personenbezogenen Daten zu berücksichtigen.

Anhang A und B der Norm

Der Dreh- und Angelpunkt der konkreten Datenschutzanforderungen der Norm ISO 27701 sind die Anhänge A und B. Sie listen die Maßnahmen auf, die vom Unternehmen – je nachdem, ob sie Auftragsverarbeiter oder Verantwortlicher sind – umzusetzen sind.

Der Anhang A listet die PIMS-spezifischen Maßnahmenziele und Maßnahmen für ein Unternehmen auf, das als PII-Beauftragter (Verantwortlicher) tätig ist.

In Anhang B sind die PIMS-spezifischen Maßnahmenziele und Maßnahmen für die Unternehmen aufgelistet, die als PII-Verarbeiter (Auftragsverarbeiter) tätig sind. Agiert ein Unternehmen auf dem Markt sowohl als ein Verantwortlicher als auch als ein Auftragsverarbeiter, so finden auf ihn die beiden Anhänge A und B der Norm Anwendung.

Die beiden Anhänge sind im Inhalt weitgehend identisch mit den Anforderungen der DSGVO. Ein weiterer Anhang der Norm ordnet den Maßnahmen aus Anhang A und B jeweils die entsprechenden Abschnitte der DSGVO zu und stellt so die engen Zusammenhänge dar.

State of Applicability (SoA)

SoA (State Of Applicability, auf Deutsch die Erklärung zur Anwendbarkeit) ist ein grundlegender Bestandteil eines ISMS nach ISO 27001. Vereinfacht gesagt, legt das SoA fest, welche der 114 (Sicherheits)Maßnahmen aus Anhang A der ISO 27001 von der Organisation angewendet werden, warum die Organisation diese umsetzt oder warum nicht.

Die Erklärung zur Anwendbarkeit ist daher ein integraler Bestandteil der obligatorischen ISO 27001-Dokumentation, die bei einer Zertifizierung vorgelegt werden muss. Die SoA wird darüber hinaus auf dem entsprechenden ISO Zertifikat referenziert und ist somit Grundlage für die Zertifizierung.

Analog sind nun für die ISO 27701 die Maßnahmen des Anhangs A und B in der SoA zu ergänzen. Auch hier müssen Ausschlüsse von Maßnahmen explizit begründet werden. Agiert das Unternehmen nicht als PII-Verarbeiter, so finden für es beispielsweise die Maßnahmen aus dem Anhang B der Norm keine Anwendung.

Unterschiede zwischen den ISO-Normen und Gesetzen am Beispiel von ISO 27701 und DSGVO

Die technischen Normen wie ISO 27701 kann ein Unternehmen anwenden, muss es aber nicht. Normen sind keine Gesetze. Verbindlich können sie allerdings dann werden, wenn die Einhaltung der Anforderungen einer bestimmen Norm – beispielsweise ISO 27001 oder ISO 27701 – vertraglich zugesichert wird. Rechtsverbindlichkeit erlangen Normen auch dann, wenn Gesetze oder Rechtsverordnungen auf sie verweisen (bspw. IT-Sicherheitsgesetz).

In den Fällen, in denen eine Norm weder von den Vertragsparteien zum Inhalt eines Vertrages gemacht worden ist, noch durch den Gesetzgeber verbindlich vorgeschrieben wurde, dient sie im Streitfall dennoch als Entscheidungshilfe, beispielsweise in Gerichtsprozessen.

Dagegen stehen die Gesetze nicht zur Disposition. Ein Unternehmen, das in den Anwendungsbereich der DSGVO fällt, kann nicht frei wählen, ob es die Vorgaben der DSGVO einhält oder nicht.

Synergien zwischen Datenschutz und Informationssicherheit

Die ISO 27701 geht ausdrücklich von einer Integration der Managementsysteme aus. In der Einleitung besagt die ISO 27701, dass die Norm das durch die ISO entwickelte Rahmenwerk anwendet, um die Angleichung zwischen ihren Managementsystemen zu verbessern.

Wie bereits erwähnt, stehen bei der ISO 27701 die personenbezogenen Daten und die betroffenen Personen im Fokus. Daher muss in ein ISMS bei einer Erweiterung nach ISO 27701 neben der Betrachtung der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität für Informationen mit Wert für das Unternehmen im Allgemeinen speziell auf die Erfüllung der Schutzziele für personenbezogene Daten geachtet werden. Die vorhandenen ISMS Richtlinien, Leitfäden, IT-Sicherheitskonzepte sowie Prozesse müssen um das Thema Datenschutz – also Schutz von personenbezogenen Daten der betroffenen Personen – ergänzt werden.

Trotzdem kommt ein Unternehmen nicht ganz ohne Prozesse und Maßnahmen aus, die ausschließlich einen Bezug zum Datenschutz haben. Durch die Strukturen, die durch das ISMS (oder auch Qualitätsmanagementsystem) vorgegeben werden, dürfte jedoch die Erstellung von solchen Dokumenten um einiges schneller und besser gelingen.

In unserem nächsten Blogartikel in der Reihe zu der Norm ISO 27701 werden wir uns mit dem Thema Vorfalls-Management (Incident Management) nach der DSGVO und nach ISO 27701 beschäftigen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

    • Das Standard-Datenschutzmodell (SDM) ist eine Vorgehensweise, mit der die rechtlichen Anforderungen aus der Datenschutzgrundverordnung (DSGVO) in konkrete technische und organisatorische Maßnahmen übersetzt werden können. Im Gegensatz zu ISO 27001 und ISO 27701 liegt der Fokus jedoch mehr auf der Auswahl einzelner Maßnahmen als auf der Schaffung eines Managementsystems/ Prozesses für Betrieb und kontinuierliche Verbesserung. Die Maßnahmen aus dem SDM können jedoch gut in das Managementsystem integriert werden und helfen bei der Erfüllung der Anforderungen der Norm. Der wichtigste Unterschied ist jedoch, dass das SDM nicht zertifizierungsfähig ist. SDM ist noch nicht fertig, die Aufsichtsbehörden arbeiten schon seit 2016 daran. Es werden regelmäßig neue Bausteine veröffentlicht. Ob SDM jemals fertig sein wird, man weiß es nicht.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.