Heute berichten wir mal in eigener Sache: Wir haben es geschafft! Als intersoft consulting services sind wir neben der ISO 27001 nun auch nach der ISO 27701 zertifiziert. Wie der Weg vom Wunsch bis zur tatsächlichen Zertifizierung aussah und ein persönliches Fazit beinhaltet dieser Artikel.
Der Inhalt im Überblick
Was ist ISO 27701?
Um die ISO 27701-Zertifizierung für ein Datenschutzmanagementsystem zu erhalten, muss ein Unternehmen bereits über ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) verfügen oder dabei sein, dieses zu erlangen. Der Grund dafür ist, dass ISO 27701 auf die ISO 27001 aufbaut.
Inhaltlich legt die ISO 27701 fest, wie die Maßnahmen zum Datenschutz und zur Informationssicherheit zu verknüpfen sind, um die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Managementsystems für Datenschutz (PIMS, en: Privacy Information Management System) zu erreichen. Des Weiteren sieht die Norm in Anhängen A und B zahlreiche Maßnahmen vor, die speziell das Thema Datenschutz betreffen.
Die ISO 27701 umfasst das Management von Risiken im Zusammenhang mit personenbezogenen Daten und unterstützt die Einhaltung der gesetzlichen Vorgaben aus der DSGVO, BDSG und anderen Datenschutzgesetzen.
ISO 27701 bietet somit einen Rahmen für das Management des Datenschutzes.
Wie läuft die Zertifizierung ab?
Da intersoft consulting bereits sehr früh den Entschluss gefasst hat, sich neben der ISO 9001 und ISO 27001 auch nach ISO 27701 zu zertifizieren, fingen die Vorbereitungshandlungen wie die Definition und der Aufbau der Prozesse bereits im Frühjahr 2021 an.
Rückblickend fast die größte Hürde war, in Deutschland eine akkreditierte Zertifizierungsstelle zu finden. Noch im Jahr 2023 gab es keine Zertifizierungsstelle für ISO 27701, die die Anforderungen der Akkreditierungsstelle (DAkkS) erfüllen konnte oder wollte. Es gab einige Unternehmen, die sich bei der ANAP (USA) akkreditiert hatten, aber eine US-Zertifizierung fanden wir als Unternehmen im Bereich Datenschutz nicht so erstrebenswert. Letztendlich sind wir im Jahr 2023 in den Niederlanden fündig geworden.
Erst kürzlich kam die erfreuliche Nachricht, dass die DAkkS deutschlandweit die erste Akkreditierung gemäß ISO/IEC 27701 zum Datenschutz-Management einem deutschen Unternehmen erteilt hat. Daher ist der Weg für die ISO 27701 Zertifizierungen in Deutschland geebnet.
Unser Audit fand im Mai und Juni 2024 statt. Die Zertifizierung wurde uns im September 2024 erteilt.
Effektives Managementsystem nach ISO 27701
Um die Zertifizierung nach ISO 27701 zu erhalten, mussten wir ein effektives Datenschutzmanagementsystem einführen, das den Anforderungen des Standards entspricht.
Hinter jedem funktionierenden Managementsystem steht eine großartige Teamarbeit. So haben bei uns maßgeblich der QM-Beauftragte, die Risikomanagerin sowie der Informationssicherheitsbeauftragte (ISB) bei der Erstellung und Einführung von verschiedenen Prozessen mitgewirkt.
Eine Managerin für das integrierte Managementsystem (iMS) hat das Team komplett gemacht: Sie hat den Überblick behalten und darauf geachtet, wie die verschiedenen Themen miteinander verzahnt sind.
Natürlich mussten auch die einzelnen Fachabteilungen mitmachen und Input geben. Denn sie sind häufig diejenigen, die die Prozesse in der täglichen Arbeit umsetzen müssen. Hinter einem funktionierenden Prozess steckt also einiges an Zusammenarbeit von verschiedenen Akteuren im Unternehmen.
Prozesse und Dokumentation im Rahmen der ISO 27701
Ein Managementsystem nach ISO 27701 setzt einiges an Dokumentation voraus. Für mich als Juristin war es zu Anfang etwas ungewohnt, dass Themen, die bisher wie selbstverständlich funktioniert haben, plötzlich aufgeschrieben und in einem PDCA-Zyklus dargestellt werden mussten. Meine Kolleg:innen, die sich primär mit der „ISO-27001-Welt“ beschäftigen, haben für mich die „ISO-Menschen-Sprache“ gesprochen. Oft genug durfte ich hören: „Wenn Du deinen Prozess nach ISO-Vorgaben nicht aufgeschrieben hast, dann gibt es diesen Prozess auch nicht.“ (Wo steht das, was du da gerade erzählst?)
Also habe ich losgelegt, alle datenschutzrechtlich relevanten Themen als Prozesse aufzuschreiben sowie dazu gehörige Dokumente zu erstellen. Welche Prozesse es sind, stelle ich nach und nach auch in unserer Blogreihe „ISO 27701 Zertifizierungen“ vor.
Auch wenn ich anfänglich vielleicht nicht zu 100 % von so viel Dokumentationsarbeit überzeugt war – heute bin ich es voll und ganz. Die Dokumentation von Prozessen hat den großen Vorteil, dass die Behandlung der Datenschutzthemen klar definiert und geklärt ist. Die Mitarbeiter:innen – inklusive mir als interne Datenschutzbeauftragte – wissen, was zu tun ist, es kann alles nachgelesen werden. Hierdurch herrscht viel Klarheit. Außerdem haben wir feste Regeln, wie wir unsere Prozesse mit Hilfe von regelmäßigen Überprüfungen sowie kontinuierlicher Verbesserung up to date halten. Damit können Schwachstellen rechtzeitig erkannt und beseitigt werden.
Was bringt die ISO 27701 Zertifizierung?
Aus persönlicher Sicht definitiv die Sicherheit, dass man als interne Datenschutzbeauftragte eines Datenschutzberatungshauses das Thema Datenschutz nicht nur extern, sondern eben auch intern gut im Griff hat.
Unsere Erfahrung, die wir gemacht haben, können wir an unsere Kunden, die an einer ISO 27701 Zertifizierung interessiert sind, praxisorientiert weitergeben. Wir können bei der Suche nach einer geeigneten Zertifizierungsstelle unterstützen, bei der Vorbereitung zu einer Zertifizierung nach ISO 27701 zur Seite stehen sowie einen Audit nach ISO 27701 isoliert oder zusammen mit 27001 begleiten. Unsere Kunden können von unserer Erfahrung profitieren.
Aus unternehmerischer Perspektive werden sicher die Risiken, die Verletzungen des Datenschutzrechts mit sich bringen würden, reduziert. Die Rollen und Verantwortlichkeiten sind innerhalb des Unternehmens klar geregelt. Außerdem verstärkt sich durch die Zertifizierung das Vertrauen der Kunden und den Beschäftigten in die Fähigkeiten des Unternehmens, mit personenbezogenen Daten nachweislich sicher umzugehen.
Und wie geht es weiter?
Wir werden unser integriertes Managementsystem stets verbessern, ist doch klar!
Ich möchte einige Prozesse etwas vereinfachen und verkürzen. Als Juristin bin ich gewohnt, viel zu schreiben. Nun prüfe ich, wie ich die relevanten Inhalte – da wo möglich – in präzisen Flussdiagrammen darstellen kann, um einen schnellen Überblick über die einzelnen Prozesse bekommen zu können.
Herzlichen Glückwunsch.
Die Bemerkung allerdings, dass es Sie erstaunt hat, funktionierende Prozesse dokumentieren zu müssen, erstaunt doch sehr. Das ist doch im Rahmen jedes Datenschutz-Managementsystems völlig selbstverständlich und unverzichtbar? PDCA ist essentieller Teil eines DSMS, ob nun zertifiziert oder nicht.
Ihre Aussage ist irritierend.