Die DSGVO sieht in Art. 42 DSGVO die Möglichkeit einer Zertifizierung explizit vor. Nun hat die Internationale Organisation für Normung (ISO) mit der ISO 27701 eine Norm zum Nachweis der Einhaltung datenschutzrechtlicher Vorschriften veröffentlicht. Wir erklären, was Sie hierzu wissen müssen.
Der Inhalt im Überblick
Die ISO 27701 als Add-On
Vielleicht denken Sie im ersten Moment, von dieser Norm haben Sie schon einmal gehört. Tatsächlich unterscheidet sich die neue Norm namentlich nur um eine Ziffer von der ISO 27001. Diese befasst sich mit Anforderungen an ein Informationssicherheits-Management-System (ISMS) und ermöglicht auf dieser Basis eine entsprechende Zertifizierung. Die namentliche Nähe der beiden Normen ist nicht zufällig, da ISO 27001 nun lediglich um Datenschutzaspekte erweitert wird.
Entsprechend lautet der vollständige Titel der Norm auch (sehr einprägsam):
ISO/IEC 27701:2019-08 „Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“
Die Norm – bisher als Entwurf ISO 27552 bekannt – baut vollständig auf der ISO 27001 auf. Das bedeutet zunächst einmal, dass für eine Konformität mit der ISO 27701 alle Punkte der ISO 27001 erfüllt sein müssen. Die meisten Anforderungen der ISO 27001 gelten also entsprechend ebenso für die ISO 27701.
Was ist neu?
Die Änderungen sind zunächst sprachlicher Natur. Statt von „Informationssicherheit“ ist nun grundsätzlich die Rede von „Informationssicherheit und Datenschutz“.
Des Weiteren enthält die Norm natürlich auch inhaltliche Erweiterungen. So wird bei der Betrachtung des Kontextes der Organisation explizit die Einbeziehung relevanter Datenschutzgesetze sowie entsprechender gerichtlicher Entscheidungen verlangt. Auch im Rahmen der Risikobeurteilung sind Aspekte der Verarbeitung von personenbezogenen Daten zu berücksichtigen.
Zusätzlich beinhaltet die ISO 27701 Ergänzungen zur ISO 27002, dem Leitfaden zur Umsetzung der Maßnahmen aus Anhang A der ISO 27001. Die Norm gibt hier unter anderem folgende Hinweise:
- Erweiterung der Leitlinie und der Richtlinien um Aspekte des Datenschutzes
- Ernennen eines Verantwortlichen für das „Privacy Information Management System“
- Datenschutz-Schulung der Mitarbeiter
- Protokollierung von Zugriffen und Veränderungen
- Verschlüsselung, z.B. besonderer Kategorien personenbezogener Daten (bspw. Gesundheitsdaten)
- Berücksichtigung des „Privacy by Design“ Grundsatzes
- Überprüfung von Sicherheitsvorfällen auf Datenschutzverletzungen
Es fällt auf, dass die genannten Beispiele durchaus bekannt erscheinen. Nicht umsonst enthält die ISO 27701 im Anhang eine ausführliche Zuordnungstabelle der Maßnahmen zu den Anforderungen der DSGVO. Hier wird deutlich, welchen Einfluss die DSGVO auf die ISO 27701 als internationalen Standard zum Datenschutz genommen hat.
Hand in Hand zum Ziel
Dass die ISO 27701 auf der ISO 27001 aufsetzt, zeigt einmal mehr, wie eng Informationssicherheit und Datenschutz miteinander verschränkt sind. Datenschutz-Praktiker werden wissen, dass Datenschutz ohne Informationssicherheit ein leeres Versprechen ist. Viele der Maßnahmen zur Informationssicherheit stellen zugleich auch den Schutz personenbezogener Daten sicher. Dies wird dadurch bestätigt, dass beide Bereiche die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit, von Daten teilen. Bedenkt man diese Gemeinsamkeit, ist das enge Zusammenspiel im Rahmen der Norm wenig verwunderlich.
Endlich ein DSGVO-Zertifikat?
Artikel 42 der DSGVO sieht explizit die Einführung von DSGVO-Zertifizierungen vor.
„Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.“
Die Anforderungen, die eine mögliche Zertifizierungsstelle dabei einhalten muss, beschreibt Art. 43 der DSGVO. Dort ist auch der Haken an der Sache:
Da es sich bei der ISO 27701 um eine Erweiterung der ISO 27001 handelt, stehen auch hier Managementsysteme sowie Anforderungen an diese im Mittelpunkt. Deren Zertifizierung richtet sich nach ISO 17021. Art. 43 DSGVO fordert aber die Akkreditierung von Zertifizierungsstellen entsprechend ISO 17065, die auf eine Zertifizierung von Produkten und Prozessen ausgerichtet ist.
Demzufolge entspricht ein ISO 27001-Zertifikat (noch) nicht den Anforderungen der DSGVO. Das halten wir allerdings vorrangig für ein formales Problem, da Managementsysteme im Kern auch prozessorientiert aufgebaut sind. Grundsätzlich wäre für die Zukunft ein DSGVO-Zertifikat auf der Basis der ISO 27701 also vorstellbar.
Hinzu kommt, dass nach wie vor die ISO/IEC 27001 die einzige zertifizierbare Norm der ISO 27000er Reihe ist. Das bedeutet eine Zertifizierung der Konformität zur ISO 27701 könnte höchstens indirekt erreicht werden. Denkbar wäre hier beispielsweise die Nennung der ISO 27701 im Geltungsbereich des ISO 27001-Zertifikats nach entsprechender Überprüfung.
Ein Schritt in die richtige Richtung
Auch wenn die neue ISO 27701 nach aktuellem Stand keine „DSGVO-Zertifizierung“ gemäß Art. 42 DSGVO ermöglicht, bietet sie die Möglichkeit, den Nachweis des DSGVO-konformen Umgangs mit personenbezogenen Daten zu erleichtern. Durch die inhaltliche Nähe zur ISO 27001 bedeutet die Einführung der ISO 27701 im Unternehmen meist keinen nennenswerten Mehraufwand. So kann bei der Umsetzung häufig auf Richtlinien, Prozesse und Dokumentationen zurückgegriffen werden, die bereits im Unternehmen vorhanden sind. Bei näherer Betrachtung zeigt sich außerdem, dass die ISO 27701 die Inhalte der DSGVO lediglich neu aufgreift und umstrukturiert. Sofern Unternehmen also bereits DSGVO-konform arbeiten, sollten die grundlegenden Anforderungen sowie viele Maßnahmen der Norm bereits umgesetzt sein.
Leider ist die ISO 27701 aber noch nicht der große Befreiungsschlag, der den Nachweis der Einhaltung des Datenschutzes durch Vorlegen eines Zertifikats ermöglicht. Zumindest noch nicht gegenüber Aufsichtsbehörden. Dennoch ist durchaus denkbar, dass die die ISO 27701 einen wichtigen Beitrag hin zu einem pragmatischen und effektiven Datenschutz liefert. Es bleibt also spannend, ob die ISO 27701 eines Tages genauso unverzichtbar sein wird, wie andere Normen.
Moin aus dem Norden.
Ein sehr informativer Beitrag zum Thema Zertifizierung bzw. DSMS.
Gibt es denn bereits eine deutsche Veröffentlichung der ISO27701? Bei Beuth bzw. beim BSI liegen bisher nur die englischsprachigen vor.
LG. Hein
Hallo, Danke für den Bericht. Der letzte Satz im unteren Abschnitt irritiert mich etwas und ich vermute einen Tippfehler – oder ich verstehe den Inhalt definitiv nicht. Eine von beiden Referenzen müsste 27001/2 sein; oder?
Hinzu kommt, dass nach wie vor die ISO/IEC 27001 die einzige zertifizierbare Norm der ISO 27000er Reihe ist. Das bedeutet eine Zertifizierung der Konformität zur ISO 27701 könnte höchstens indirekt erreicht werden. Denkbar wäre hier beispielsweise die Nennung der ISO 27701 im Geltungsbereich des ISO 27001-Zertifikats nach entsprechender Überprüfung.
Gruss & Dank
cj
Die ISO 27001 bildet die Grundlage für den erweiterten Konformitätsnachweis. Bestimmte Teile der Normfamilie 27000ff vertiefen den Standard, bspw. die ISO 27701 hin zum Datenschutz. Es wird hier also die Konformität bestätigt, indem auf dem ISO 27001 Zertifikat auf die zusätzliche Erfüllung der ISO 27701 hingewiesen wird.
Die konkrete Ausgestaltung wird derzeit noch von der DAkkS, der Deutschen Akkreditierungsstelle, ausgearbeitet.