Datenschutz und ISO 27701 Zertifizierung 

Seit Inkrafttreten der DSGVO im Jahre 2018 hat sich vieles im Bereich des Datenschutzes geändert. Es gelten zusätzliche Anforderungen für Unternehmen. Bei Nichteinhaltung drohen umsatzbezogene Strafen in Millionenhöhe. Zuletzt wurde deshalb das Bedürfnis, eine gesonderte Datenschutz-Zertifizierung einzuführen, in Expertenkreisen sehr hoch.

Eine ISO-Zertifizierung kann dabei helfen sicherzustellen, dass einschlägige datenschutzrechtliche Vorschriften von Unternehmen eingehalten werden. Nun sollen sich Unternehmen in Sachen Datenschutz nach ISO 27701 zertifizieren lassen und damit höchste Datensicherheit nachweisen können.

Doch ist dies gelungen? Was sagt die ISO über den Datenschutz? Und wie genau funktioniert die ISO 27701-Zertifizierung? – Diese und weitere Fragen beantworten wir Ihnen in diesem Artikel.

Das Wichtigste auf einen Blick 

• Die ISO-Zertifizierung soll als Nachweis genutzt werden, um die DSGVO-konforme Verarbeitung personenbezogener Daten nachzuweisen. 
• Die ISO 27701 ist eine Ergänzung der ISO 27001 und 27002 insbesondere in Hinblick auf Managementsysteme und Datenverarbeitung. 
• Eine Zertifizierung ist besonders sinnvoll, wenn bereits ein ISMS-System vorhanden ist und dieses nur noch ergänzt werden muss.
• Der wichtigste Vorteil einer solchen Zertifizierung besteht darin, dass Unternehmen damit nicht nur den EU-rechtlichen Anforderungen genügen, sondern auch eine international anerkannte Zertifizierung vorweisen können. 

Warum eine Datenschutz-Zertifizierung?

Das Thema Datenschutz hat eine deutlich größere Rolle erlangt als jemals zuvor. Es wurde daher von vielen Seiten der Wunsch einer speziellen Datenschutz-Zertifizierung geäussert.

Diese Zertifizierung soll den Regelungen der DSGVO Rechnung tragen und es für Unternehmen einfacher machen, ein rechtskonformes Datenschutz-Management in die Unternehmensabläufe zu integrieren. Diesen Wunsch soll die ISO 27701 als entsprechende Zertifizierung erfüllen.

Gut zu wissen: Eine solche Zertifizierung ist zudem in Art. 42 DSGVO explizit vorgesehen. 

Was ist der Unterschied zwischen ISO und ISMS? 

Die ISO-Zertifizierung bildet einen Standard, über den nachgewiesen werden soll, dass unter anderem Vorschriften im Bereich Datenschutz eingehalten werden. Somit ergänzt die ISO 27701 ein Informationssicherheitsmanagementsystem (kurz: ISMS).

Viele Unternehmen, die bereits ein ISMS nutzen, müssen die ISO-Vorgaben nur noch in ihr bestehendes System integrieren und die Prozesse erweitern. So kann etwa die Pflicht, Sicherheits- und Datenschutzvorfällen im Sinne der DSGVO zu melden, in die ISO-Prozesse integriert und automatisiert abgewickelt werden. Durch das durchdachte ISO-System lassen sich auch Verarbeitungsverzeichnisse effizierter führen.

Was ist die ISO? 

ISO ist die Abkürzung für International Organization for Standardization, der internationalen Organisation für Normung, welche es sich zur Aufgabe gemacht hat, weltweit einheitliche Standards für Produkte und Dienstleistungen zu etablieren.

Damit ist sie das internationale Pendant zur deutschen Stiftung für Normung e.V. (DIN), welche Deutschland auch bei der ISO vertritt. Seit ihrer Gründung im Jahr 1947 hat die Schweizer Organisation bereits 24.000 Normen in allen Lebensbereichen veröffentlicht.

Für datenschutzbetroffene Unternehmen sind vor allem die ISO Normen aus der 2700er Reihe relevant. Die 27xxx-Normen beziehen sich dabei auf die Informationssicherheit und den Datenschutz. Die Hauptnorm und Grundlage ist immer die ISO 27001. Daneben existiert eine Reihe weiterer ISO-Normen, die ISO 27001 ergänzen oder konkretisieren und branchenspezifische Vertiefungen einbringen.

Essenziell für die ISO-Normen sind sog. Management-Systeme. Diese werden in DIN EN ISO EC 27000 Kapitel 3.2.5 wie folgt beschrieben:

Wichtig: Ein Management-System muss langfristig gedacht und im Unternehmen etabliert werden. Es bedarf der stetigen Verbesserung, Weiterentwicklung und Kontrolle, damit das System im Sinne der ISO-Zertifizierung funktioniert.

Was ist der Unterschied zwischen ISO und DSGVO?

Die DSGVO ist eine Verordnung der Europäischen Union (EU), die alle Unternehmen und Behörden innerhalb der Mitgliedsstaaten dazu verpflichtet, sich an die Vorgaben datenschutzrechtlicher Vorschriften zu halten. Es handelt sich dabei also um eine gesetzliche Normierung, die nicht dispositiv, sondern zwingend einzuhalten ist.

Bei der internationalen Norm ISO handelt es sich hingegen um Regelungen, die für Unternehmen freiwillig sind. Es geht um Leitlinien, deren Einhaltung zwar zertifiziert werden kann, die Unternehmen sind aber nicht von staatlicher Seite verpflichtet dieser zu entsprechen. Anders verhält es sich, wenn sich ein Unternehmen vertraglich zur Einhaltung verpflichtet, etwa mit einem anderen Vertragspartner oder im Falle einer Zertifizierung.

Klartext: Rechtsverbindlich werden ISO-Normen nur dann, wenn Gesetze oder Verordnungen diese zitieren bzw. auf sie verweisen und diese somit zum Inhalt des Gesetzes werden.

Aber ISO Normen werden gerne als sogenanntes „vorweggenommenes Expertengutachten“ im Rahmen von Gerichtsverhandlungen verwendet. D.h. wenn ein Unternehmen diese Einsetzt und Einhält, dann spricht das für das Unternehmen.

Was ist eine ISO 27701 Zertifizierung? 

Die ISO 27701 ist ein Zertifikat für Datenschutzmanagement. Sie erweitert den international anerkannten Standard hinsichtlich des Datenschutzes und der Informationssicherheit. Die Regelungen sollen eine DSGVO-konforme Verarbeitung personenbezogener Daten gewährleisten. Im Mittelpunkt stehen also auch hier systematische Anforderungen an Datenschutz Managementsysteme, die die Informationssicherheit zum Gegenstand haben.

Die Zertifizierung mit ISO 27701 setzt dabei zwingend voraus, dass die Anforderungen von 27001 (Informationssicherheitsmanagementsystem) erfüllt sind. Zusätzlich zu ISO 27001 beinhaltet die neue ISO-Norm auch Erweiterungen der ISO 27002, die den Leitfaden zur Umsetzung Ersterer beinhaltet.

Die ISO 27701 weist die gleiche Struktur auf wie

• Erweiterungen beim Datenschutz
• Be- und Ernennung von Verantwortlichen für das „Privacy Information Management System“ (PIMS)
• Datenschutz-Schulungen für Mitarbeiter
• Protokollierung von Zugriffen und Veränderungen der Daten oder der Zugriffberechtigten
• Verschlüsselung besonders sensibler personenbezogener Daten
• Einbeziehung des „Privacy by Design“-Grundsatzes
• Überprüfung von Datenschutzvorfällen

Inhaltlich statuiert die ISO 27701 also die Verknüpfung zwischen Massnahmen des Datenschutzes und der Informationssicherheit, indem sie Regelungen zur Einrichtung, Umsetzung und Verbesserung des Managements von Informationen zum Datenschutz aufstellt. Überprüft und zertifiziert werden diese Systeme dann in Deutschland durch von der DakkS (Deutsche Akkreditierungsstelle) akkreditierte Zertifizierungsstellen .

Welche Vorteile hat eine Zertifizierung nach ISO 27701? 

Um allen gesetzlichen und betrieblichen Vorgaben des Datenschutzes gerecht zu werden, ist es für Unternehmen mittlerweile unumgänglich, ein solides Datenschutzmanagementsystem aufzubauen und zu betreiben.

Als Teil der ISMS-Normen trägt die ISO 27701-Zertifizierung erheblich zu einer nachgewiesen hohen Informationssicherheit bei. Für Unternehmen bietet dies den Vorteil, dass sie ein umfassendes und sicheres Managementsystem für Informationssicherheit und Datenschutz in ihre Abläufe integrieren können.

Folgende Aspekte einer ISO 27701-Zertifizierung sind dabei besonders hervorzuheben:

• Die Erfüllung der ISO-Norm als internationalen Standard stärkt das Vertrauen in den Datenschutz des Unternehmens. Sie gilt international als Nachweis zur Einhaltung von Datenschutzbestimmungen - nicht nur in der Europäischen Union (EU).
• Einmal zertifiziert, unterstützt es Unternehmen langfristig bei der Einhaltung der DSGVO.
• Eine Zertifizierung nach ISO 27701 kann zudem den Nachweis der DSGVO-konformen Datenverarbeitung erleichtern. Dies vereinfacht Vertragsverhandlungen, da keine individuellen Regelungen nötig sind.
• Die Zertifizierung klärt Zuständigkeiten und Verantwortlichkeiten. Sie gibt transparente Kriterien und Regelungen für alle Beteiligten vor.
• Sie schafft eine Verknüpfung zwischen ISMS und Datenschutzmanagementsystemen.

Datenschutz nach ISO 27701 

Die ISO 27701 weist die gleiche Struktur auf wie ISO 27001 und erweitert diese dahingehend, dass ein Managementsystem für Datenschutz implementiert wird. Die Norm konkretisiert die Richtlinien um Aspekte des Datenschutzes und stellt demnach eine Erweiterung des bestehenden ISMS im Bereich des Datenschutzmanagements dar. 

Bei der ISO 27701 steht im Gegensatz zu anderen ISO-Normen nicht die Informationssicherheit, sondern ganz konkret der Schutz personenbezogener Daten und der betroffenen Personen im Fokus. Das bestehende ISMS muss deshalb um den Schutz der betroffenen Personengruppen erweitert und ergänzt werden.

Dabei kommt es auf der einen Seite zu einer Verflechtung zwischen Datenschutz und Informationssicherheit, auf der anderen Seite müssen aber auch Massnahmen Platz finden, die ausschliesslich dem Datenschutz dienen.

Im Folgenden werden die wichtigsten Ergänzungen innerhalb der ISO 27701 zusammengefasst.

Umgang mit Datenschutzvorfällen nach ISO 27701

ISO 27701 macht erweiterte Vorgaben zum Umgang mit Datenschutzvorfällen, welcher zuvor in ISO 27001 und ISO 27002 geregelt war.

• Zunächst setzt ISO 27701 voraus, dass Unternehmen klare Verantwortliche für die Identifizierung und Dokumentation von Datenschutzpannen benennen.
• Ebenso werden Verantwortlichkeiten und Verfahren bezüglich der Benachrichtigung von betroffenen Personen und den zuständigen Behörden festgelegt, wobei die gesetzlichen Regelungen berücksichtigt werden müssen.
• Gleichzeitig ist es notwendig, alle internen Prozesse und Sicherheitsvorfälle auf Datenschutzverstösse zu überprüfen und einen Reaktionsplan auszuarbeiten, der bei dem Vorliegen eines solchen Verstosses umgehend aktiviert wird.
• Diese Pläne und Systeme müssen anschliessend auch in jeden Vertrag mit Kunden (also potenziell Betroffenen) und allen anderen Vertragspartnern aufgenommen werden, sodass alle Unternehmenshandlungen sich an diesen Plänen beteiligen und überwacht werden.
• Unternehmen sollten diese Regelungen der ISO 27701 natürlich in das bestehende ISMS integrieren. Das gelingt am besten, wenn zunächst die Regelungen zur Notfall-Prophylaxe und zum Notfall-Management genau betrachtet und, falls notwendig, an geeigneter Stelle ergänzt werden.
• Zu prüfen ist ausserdem, ob bereits ein IT-Sicherheitskonzept im Unternehmen vorhanden ist und dieses ggf. durch Prozesse zu Reaktions- und Meldepflichten zu ergänzen ist. Dabei sind nicht nur interne Vorfälle zu berücksichtigen, sondern auch die Auswirkungen von Cyber-Angriffen in den Blick zu nehmen.

Datenschutz: Vorgaben zu Betroffenenrechten nach ISO 27701

Der Datenschutz dient insbesondere dem Schutz der betroffenen Personen. Darunter fallen neben Kunden oft auch Lieferanten, Vertragspartner und Mitarbeiter. Die ISO 27701 legt fest, dass jedes Unternehmen genau benennen muss, wer die interessierten Parteien sind (also die Parteien, die im Rahmen des Datenschutzes von Relevanz werden). Dazu zählen nicht nur die Betroffenen, sondern auch die zuständigen Aufsichtsbehörden etc.

Folgendes ist dabei zu beachten:

• Falls möglich, sollten die Betroffenen so genau wie möglich benannt werden.
• Auch hier muss bestimmt sein, wer für die Betroffenenrechte verantwortlich ist (PII-Beauftragter).
• Die Verantwortlichen müssen zum einen gewährleisten, dass Betroffene angemessen über die Verarbeitung ihrer Daten informiert, sowie alle rechtlichen Vorgaben diesbezüglich eingehalten werden.
• Das Unternehmen bzw. der Auftragsverarbeiter (PII-Verarbeiter) ist zum anderen verpflichtet, dass allen gesetzlichen, behördlichen und geschäftlichen Verpflichtungen Rechnung getragen und die Informationen darüber an die betroffenen Parteien herangetragen werden.
• Zudem muss die gesamte Verarbeitung personenbezogener Daten dokumentiert werden und Mechanismen bereitgestellt werden, damit Änderungen und Widerruf der Einwilligungen zur Datenverarbeitung bearbeitet werden können.

Wie diese Ziele erreicht werden sollen oder können, ist ausführlich in der ISO 27701 selbst erläutert und aufgelistet.

ISO 27701: Regelungen zu Verarbeitungsverzeichnissen 

Verarbeitungsverzeichnisse dienen dazu zu ermitteln, ob und welche personenbezogenen Daten verarbeitet werden und diese Vorgänge zu dokumentieren, um die Daten ausreichend schützen zu können.

Ziel der Regelungen ist es, dass die Verantwortlichen dokumentieren und prüfen, ob die Datenverarbeitung rechtlich legitim und zu klar definierten Zwecken erfolgt. Es ist zu empfehlen, hierzu die Verarbeitungsverzeichnisse nach Art. 30 DSGVO zu nutzen.

Ausserdem müssen die Verantwortlichen die Massnahmen, die sie zur Erfüllung dieses Ziels ergreifen, festlegen und eine Liste anlegen, aus der sich ergibt, welche Daten wie und zu welchem Zweck verarbeitet werden und welche Massnahmen diese Daten schützen sollen.

Datenschutz-Folgenabschätzungen nach ISO 27701

Wie in der DSGVO finden Datenschutz-Folgeabschätzungen auch in der ISO 27701 Erwähnung. Die ISO 27701 sieht dabei vor, dass die Unternehmen eine Person benennen müssen, die intern für Steuerungs- und Datenschutzmassnahmen zuständig ist. Die DSGVO benennt diese als „Datenschutzbeauftragte“, die Überwachungs- und Beratungstätigkeiten übernehmen und Auskunft über ausgeführte Datenschutz-Folgeabschätzungen geben können.

Wir haben einen gesonderten Artikel zu dem Aufgabenfeld von Datenschutzbeauftragten geschrieben.

Nach der ISO 27701 ist das Unternehmen dazu verpflichtet zu prüfen, bei welchen Verarbeitungsprozessen eine Datenschutz-Folgeabschätzung vorzunehmen ist und diese dann auch durchzuführen. Dies ist insbesondere bei bestimmten Kategorien personenbezogener Daten der Fall, etwa wenn die Verarbeitung personenbezogener Daten ein besonders hohes Risiko für die betroffenen Personen birgt, oder weil grosse Mengen an Daten verarbeitet werden oder eine systematische Verarbeitung erfolgen soll.

Bezüglich Anleitungen zu Datenschutz-Folgeabschätzungen wird auf die ISO/IEC 29134 verwiesen.

Ist die ISO 27701 das lang ersehnte DSGVO-Zertifikat?

Immer noch sehnen sich Unternehmen nach einem Zertifikat, mit dem sie sicher alle Regelungen der DSGVO erfüllen können. Die Anforderungen an eine solche Zertifizierung sind explizit in Art. 43 DSGVO geregelt.

Eine Akkreditierung durch Zertifizierungsstellen im Sinne der ISO 17065 wird gefordert. Diese ist jedoch auf die Zertifizierung von Produkten und Prozessen gerichtet. Die neue ISO 27701 und auch die Basis Norm ISO 27001 stellen jedoch das Datenschutz-Managementsystem und dessen Anforderungen in den Mittelpunkt.

Klartext: Streng genommen entspricht die ISO 27701 nicht den Regelungen der DSGVO und kann somit auch nicht als eine Zertifizierung im Sinne dieser bezeichnet werden.

Dies ist der Formulierung innerhalb der DSGVO geschuldet, da auch Managementsysteme im Grunde Prozesse sind bzw. prozessorientiert funktionieren. Eine DSGVO-Zertifizierung auf Grundlage der ISO 27701 ist daher durchaus denkbar. Auch vorstellbar ist es, dass die ISO 27701-Zertifizierung als Norm zum Nachweis geltend gemacht werden kann, dass personenbezogene Daten DSGVO-konform verarbeitet werden.

Fazit

Unternehmen können mithilfe der ISO 27701 Zertifizierung auf internationaler Ebene nachweisen, einen hohen Sicherheitsstandard zu erfüllen. Das stärkt nicht nur die Wettbewerbsfähigkeit des Unternehmens und vereinfacht die Vertragsverhandlungen mit Handelspartnern, sondern vergrössert auch das Vertrauen potenzieller Kunden.

Dem Inhalt nach ähnelt die ISO 27701 bei näherer Betrachtung den Vorgaben der DSGVO und ist damit für die meisten Unternehmen leicht in ihr ISMS-System zu integrieren, insbesondere dann, wenn dieses bereits nach den Standards der ISO 27001 besteht.

Leider kann mit einer ISO 27701 Zertifizierung nicht unmittelbar den Anforderungen an eine DSGVO-Konformität Genüge getan werden, sodass nicht automatisch eine umfassende DSGVO-Zertifizierung erfolgen kann. Als Nachweis für die gesetzeskonforme Datenverarbeitung kann das Zertifikat dennoch gut genutzt werden.