ISO 27701 als Lösung?

Odoo • A picture with a caption

Um es vorweg zu nehmen: Die neue ISO 27701 ist nach derzeitig vorherrschender Auffassung keine „DSGVO-Zertifizierung“ gemäß Art. 42 DSGVO. Sie ist eine Möglichkeit, den Nachweis des DSGVO-konformen Umgangs mit personenbezogenen Daten zu erleichtern.

Wesentliche Inhalte sind die Anforderungen an ein Informationssicherheits-Management. ISO 27001 wird somit um Datenschutzaspekte erweitert.

Einige Hinweise hierzu:

  • ISO 27701 dient als Basis einer entsprechenden Zertifizierung.
  • Der simple Name: ISO/IEC 27701:2019-08 „Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“
  • Die Norm baut vollständig auf der ISO 27001 auf, was bedeutet, dass für eine Konformität mit der ISO 27701 alle Punkte der ISO 27001 erfüllt sein müssen. Die meisten Anforderungen der ISO 27001 gelten also entsprechend ebenso für die ISO 27701. Z.B. wird bei der Betrachtung des Kontextes der Organisation die Einbeziehung relevanter Datenschutzgesetze sowie entsprechender gerichtlicher Entscheidungen verlangt. Auch im Rahmen der Risikobeurteilung sind Aspekte der Verarbeitung von personenbezogenen Daten zu berücksichtigen.

ISO 27701 enthält Ergänzungen zur ISO 27002, dem Leitfaden zur Umsetzung der Maßnahmen aus Anhang A der ISO 27001. Die Norm gibt hier unter anderem folgende Hinweise:

  • Erweiterung der Leitlinie und der Richtlinien um Aspekte des Datenschutzes
  • Ernennen eines Verantwortlichen für das „Privacy Information Management System“
  • Datenschutz-Schulung der Mitarbeiter
  • Protokollierung von Zugriffen und Veränderungen
  • Verschlüsselung, z.B. besonderer Kategorien personenbezogener Daten (bspw. Gesundheitsdaten)
  • Berücksichtigung des „Privacy by Design“ Grundsatzes
  • Überprüfung von Sicherheitsvorfällen auf Datenschutzverletzungen

ISO 27701 enthält im Anhang eine ausführliche Zuordnungstabelle der Maßnahmen zu den Anforderungen der DSGVO. Der Einfluss der DSGVO auf die ISO 27701 als internationalen Standard tritt klar hervor.
Es verdeutlicht auch, dass Informationssicherheit und Datenschutz miteinander verzahnt sind. Dies wird u.a. dadurch verdeutlicht, dass beide Bereiche die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit, von Daten teilen.

Vertiefung:
Artikel 42 der DSGVO sieht explizit die Einführung von DSGVO-Zertifizierungen vor.
Die Anforderungen, die eine mögliche Zertifizierungsstelle dabei einhalten muss, beschreibt Art. 43 DSGVO.
Da es sich bei der ISO 27701 um eine Erweiterung der ISO 27001 handelt, stehen auch hier Managementsysteme sowie Anforderungen an diese im Mittelpunkt. Deren Zertifizierung richtet sich nach ISO 17021. Art. 43 DSGVO fordert aber die Akkreditierung von Zertifizierungsstellen entsprechend ISO 17065, die auf eine Zertifizierung von Produkten und Prozessen ausgerichtet ist.
Demzufolge entspricht ein ISO 27001-Zertifikat (noch) nicht den Anforderungen der DSGVO.