Mit der ISO 27701 entsteht eine neue Möglichkeit, die bekannte ISO 27001 um datenschutzrechtliche Aspekte zu ergänzen.
Mithilfe der weit verbreiteten ISO 27001 können Organisationen ein Information Security Management System (ISMS) einführen. Das ISMS stellt die drei Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität von Informationen unter Anwendung eines Risikomanagementprozesses sicher und ermöglicht es interessierten Parteien wie zum Beispiel Gesellschaftern, Kunden, Mitarbeitern oder Lieferanten ein Gefühl dafür zu bekommen, dass identifizierte Risiken für die oben genannten Grundwerte angemessenen behandelt werden.
Die ISO 27002 beinhaltet Hinweise und Richtlinien für die Umsetzung von Maßnahmen aus der ISO 27001. Dabei referenziert die ISO 27002 im Speziellen die Maßnahmen aus dem Anhang A der ISO 27001.
Die ISO 27701 reiht sich mit ihrem stark datenschutzrechtlichen Hintergrund in die Garde bestehender Normen ein.
Einordnung der Norm
ISO 27701 – was steckt dahinter – warum gibt es das Add-on zur ISO 27001?
Bereits in unserem Blogbeitrag zum Thema Datenschutzmanagement haben wir uns ausführlich der Anforderung gewidmet, dass Unternehmen ein Managementsystem für den Datenschutz einrichten, überwachen, aufrechterhalten und verbessern müssen. Die Anforderung leitet sich aus den Artikeln 24 und 25 der DS-GVO ab.
Im August 2019 hat die Internationale Organisation für Normung (ISO) nun ein Dokument herausgegeben, das die Anforderungen an ein Datenschutzmanagementsystem spezifiziert. Die ISO/IEC 27701:2019.
Diese Norm führt den Begriff des sogenannten PIMS (Privacy Information Management System) ein und bietet Leitlinien für Verantwortliche und Auftragsverarbeiter – nicht nur im Sinne der Datenschutzgrundverordnung (DS-GVO), sondern auch da, wo keine hinreichenden gesetzlichen Konkretisierungen von Anforderungen existieren. Da es sich um eine internationale Norm handelt kann ein Unternehmen auch außerhalb der Europäischen Union den Nachweis führen, dass es Vorgaben zum Datenschutz umsetzt und einhält. Damit lassen sich internationale Märkte erschließen, wenn es beispielsweise um Waren und Dienstleitungen geht, bei denen der Datenschutz ein wichtiger Aspekt ist.
Die ISO 27701 erweitert die bestehenden Normen zur Informationssicherheit ISO 27001 und ISO 27002 um spezifische Anforderungen hinsichtlich des Schutzes von personenbezogenen Daten. Die Norm ist anwendbar auf alle Arten und Größen von Organisationen, einschließlich öffentlicher und privater Unternehmen, staatlicher Einrichtungen und gemeinnütziger Organisationen.
Die ISO 27701:2019 ist in acht Abschnitte oder Kapitel gegliedert, wobei im Wesentlichen die Abschnitte 5 bis 8 zu beachten sind. Die vorherigen Kapitel dienen der Definition von Begriffen und der Einordnung der Norm in den Kontext der ISO 27001 und ISO 27002. Die Norm wird durch eine Vielzahl von Anlagen abgerundet, die zum Beispiel das Verhältnis zur ISO 29100 darlegen.
Einbeziehung der ISO 27001
Die ISO 27701 liefert spezifischen Anforderungen für das PIMS im Kontext der ISO 27001. So wird für die Umsetzungspraxis gefordert, dass überall dort, wo in der ISO 27001 Anforderungen für „Informationssicherheit“ bezeichnet werden, der Begriff „Informationssicherheit und Datenschutz“ zu verwenden ist. Auch für den Geltungsbereich des ISMS – den sogenannten Scope – gilt, dass es eine Überarbeitung geben muss, welche sich aus der Verarbeitung von personenbezogenen Daten ergibt.
Auch die Erklärung zur Anwendbarkeit (Statement of Applicability – SoA) muss neben den Maßnahmen aus dem Anhang A der ISO 27001 ebenso die Maßnahmen der ISO 27701 berücksichtigen.
Anwendbarkeit der ISO 27002
Darüber hinaus legt die ISO 27701 fest, welche Hinweise zur Umsetzung der Maßnahmen aus der ISO 27002 direkt gelten und welche Maßnahmen angepasst werden müssen. So sind zum Beispiel die bestehenden Richtlinien zur Informationssicherheit um Aspekte des Datenschutzes zu ergänzen, oder eigenständige Richtlinien zur Verarbeitung von personenbezogenen Daten zu verabschieden.
Im Rahmen der Festlegung von Verantwortlichkeiten und Rollen soll die Organisation eine Person benennen, die für die Entwicklung, Einführung, Pflege und Überwachung eines organisationsweiten Datenschutzprogramms verantwortlich ist.
Warum sollten Unternehmen die ISO 27701 implementieren?
Die ISO 27701 bietet Unternehmen die Möglichkeit, die Anforderungen aus der Datenschutzgrundverordnung hinsichtlich der Dokumentation der Abläufe und der Rechenschaftsverpflichtung bezüglich der Einhaltung der Anforderungen, umsetzen zu können.
So werden unter anderem die spezifischen Anforderungen an den Verantwortlichen für die Verarbeitung von personenbezogenen Daten konkret formuliert. Im Wesentlichen beschreibt die internationale Norm die Grundsätze der Verarbeitung von personenbezogenen Daten und berücksichtigt dabei die entsprechenden Aspekte der Datenschutzgrundverordnung.
So muss der Verantwortliche Prozesse planen, umsetzen und aufrechterhalten, um zum Beispiel den Zweck der Verarbeitung zu berücksichtigen (Art. 5 Abs. 1 lit b) DS-GVO) und die Rechtmäßigkeit der Verarbeitung zu legitimieren (Art. 6 Abs. 1 DS-GVO). Auch für die Umsetzung der Betroffenenrechte nach Kapitel 3 der DS-GVO müssen entsprechende Vorkehrungen und Prozeduren geschaffen werden. Außerhalb des Anwendungsbereichs der DS-GVO, wo die ISO 27701 genauso umgesetzt werden kann, müssen diese auch losgelöst von den gesetzlichen Anforderungen der DS-GVO implementiert werden.
Das PIMS muss neben den Risiken, die im Rahmen des ISMS betrachtet werden, auch Risiken für die Grundrechte und Grundfreiheiten der betroffenen Person berücksichtigen, die sich aus der Verarbeitung von personenbezogenen Daten ergeben können. Dabei kann das Risikomanagement zum Schutz von personenbezogenen Daten entweder in das bestehende ISMS – Risikomanagement integriert oder auch separat dargestellt werden.
Neben dem Verantwortlichen wird auch der Auftragsverarbeiter mit eindeutigen Anforderungen angesprochen. Die Anforderungen an den Auftragsverarbeiter beinhalten neben Unterstützungspflichten für den Verantwortlichen – zum Beispiel in Bezug auf Betroffenenrechte und Zusammenarbeit mit den Aufsichtsbehörden – auch konkrete Maßnahmen im Hinblick auf die Rückgabe und die Vernichtung von personenbezogenen Daten, die im Auftrag verarbeitet werden.
Was sind die Vorteile einer ISO 27701 Implementierung?
Die Vorteile eines Datenschutzmanagementsystems oder eines Privacy Information Management Systems nach der ISO 27701 liegen auf der Hand.
Die ISO 27001, die die Anforderungen an ein Managementsystem für Informationssicherheit (ISMS) festlegt, ist seit vielen Jahren bekannt und viele Unternehmen haben sich bereits nach der ISO 27001 zertifizieren lassen, um ihren Kunden aufzuzeigen, dass sie sich strukturiert mit den Grundwerten Vertraulichkeit, Verfügbarkeit und Integrität beschäftigen und somit die Sicherheit von Information verbessern. In einigen Branchen, wie zum Beispiel dem Betrieb von Rechenzentren, sind Geschäftsmodelle ohne den Nachweis einer Zertifizierung nahezu undenkbar. Dieser Bonus hinsichtlich Bekanntheit und Akzeptanz der ISO 27001 kann auch für ein PIMS übernommen werden, da die ISO 27701 ja „nur“ eine Erweiterung darstellt.
Durch die konkreten Vorgaben zum Datenschutz der ISO 27701 – in Form von eindeutigen Maßnahmen – ist es sehr viel einfacher notwendige Punkte zu identifizieren und umzusetzen und die Wirksamkeit der Maßnahmen zu überwachen und zu bewerten.
Unternehmen, die bereits heute ein Management für den Datenschutz nach ISO 27701 aufbauen und den Nachweis dafür erbringen können, haben gegenüber dem Wettbewerb einen Vorteil. Sie können ihren Kunden dokumentieren, dass sie die Belange des Datenschutzes ernst nehmen und das dies durch eine neutrale – international anerkannte – Stelle (International Organization for Standardization (ISO)) nachgewiesen wurde.
Sollte Ihr Unternehmen bereits eine Zertifizierung nach der ISO 27001 vorweisen können, ist es sinnvoll sein Datenschutzmanagementsystem nach der ISO 27701 aufzubauen. Da bereits die notwendigen Strukturen und Prozesse für die ISO 27701 implementiert und wirksam betrieben werden ist der Aufwand für eine Erweiterung der Anforderungen aus der ISO 27701 deutlich geringer als ein weiteres Managementsystem für den Datenschutz autark aufzubauen.
So werden zum Beispiel die Mitarbeiter für Themen der Informationssicherheit im Rahmen der regelmäßigen Schulungen sensibilisiert. Den Datenschutz mit seinen eigenen Aspekten in die Schulungen aufzunehmen und diese zu vermitteln wäre somit deutliche einfacher.
Auch Rollen und Verantwortlichkeiten sind bereits für Informationssicherheit etabliert und müssten gegebenenfalls nur um den Datenschutz erweitert oder ergänzt werden. Insgesamt wird der Aufwand für den Aufbau und den Betrieb eines PIMS somit sehr viel geringer.
Kunden, Mitarbeiter, Lieferanten, sowie Anteilseigner vertrauen auf die Zertifizierung für Informationssicherheit nach ISO 27001. Dieses Vertrauen wird sich auch auf die Konformitätserklärung der ISO 27701 und damit auch auf das Vertrauen in den Datenschutz in ihrem Unternehmen auswirken.
Sollten Sie bis jetzt die Notwendigkeit für eine Zertifizierung nach ISO 27001 noch nicht gesehen haben oder noch nicht entschlossen genug gewesen sein, bietet sich mit der ISO 27701 eine gute Möglichkeit „zwei Fliegen mit einer Klappe zu schlagen“.
Wie bereits erwähnt wird sich der Aufwand für die Einführung der beiden Managementsysteme (ISMS und PIMS) reduzieren, wenn man beide Systeme nach den Normen aufbaut. Einheitliche Begriffe, Abläufe und Verantwortlichkeiten minimieren den Aufwand. Mit den gesetzlichen Vorgaben der DS-GVO ein PIMS vorweisen zu müssen, haben sie ein Vehikel die Kosten auch für eine ISMS zu rechtfertigen.
Fazit
Die ISO 27701 ist eine Norm, die geeignet ist, den Anforderungen der Datenschutzgrundverordnung an ein Datenschutzmanagementsystem nachzukommen. Da die Norm international anwendbar ist, werden die Anforderungen auch in Organisationen, die nicht den gesetzlichen Bestimmungen unterliegen, das Datenschutzniveau verbessern und den Schutz der Grundrechte und der Grundfreiheiten in den Fokus rücken.
Die ISO 27701 kann allerdings nicht für sich alleine stehen. So wird es keine eigenständige Zertifizierung nach ISO 27701 geben. Grundlage für die Zertifizierung wird die ISO 27001 sein, die dann um die ISO 27701 erweitert werden kann. Wichtig ist auch zu beachten, dass dies keine Zertifizierung im Sinne des Art. 42 der DS-GVO ist, da nach der DS-GVO kein Datenschutzmanagementsystem zertifiziert werden kann.
Wir bei der migosens sind der Meinung, dass Unternehmen mit der ISO 27701 den Anforderungen der Datenschutzgrundverordnung zum Datenschutzmanagement nachkommen können. Durch die klaren Vorgaben lässt sich ein PIMS relativ einfach aufbauen. Durch die Nähe zur ISO 27001 ist es für Unternehmen, die bereits zertifiziert sind oder sich zertifizieren lassen wollen ein echter Mehrwert.
Alle interessierten Parteien oder Stakeholder bekommen einen neutralen Nachweis über den (norm-) konformen Betrieb des Managementsystem für Datenschutz und können so darauf vertrauen, dass die Daten und somit auch die Grundrechte und Grundfreiheiten geschützt sind.
In der migosens Akademie bieten wir für das kommende Jahr wieder Schulungen zur ISO 27701 an, für die es aktuell noch freie Plätze gibt. Bei Interesse melden Sie sich gerne per Mail unter seminare@migosens.de.
Zum Autor:
Markus Zechel ist seit 2004 Berater für Datenschutz und Informationssicherheit. Nach seiner Tätigkeit als selbstständiger Berater ist er seit 2011 Managing Consultant der Firma migosens GmbH. Zu den Aufgaben von Herrn Zechel gehören u.a. die Beratung, Betreuung und Schulung zu den Themen Datenschutz und Informationssicherheit, sowie die Übernahme der Funktion des externen Datenschutzbeauftragten oder des externen Informationssicherheitsbeauftragten.
