Die ISO/IEC 27701 als Leitfaden (kurz: ISO 27701)

Die „ISO/IEC 27701:2019-08 – Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“ stellt den vollen Namen der „zertifizierbaren“ Norm dar.

Sie wurde im Jahr 2019 geschaffen, um den Nachweis erbringen zu können, dass gewisse datenschutzrechtliche Vorschriften eingehalten werden. Sie gilt als Erweiterung der ISO/IEC 27001. Die Norm ergänzt den Standard für Informationssicherheitsmanagementsysteme (ISMS) und den Praxisleitfaden ISO/IEC 27002 um eine Reihe wesentlicher Datenschutzaspekte.  

Nicht nur der Titel zeigt die thematische Zusammengehörigkeit innerhalb der ISO 27000 Normenfamilie und wie eng die Informationssicherheit (Maßnahmen) und Datenschutz (Anforderungen) miteinander verbunden sind. Das gemeinsame Managementsystem basiert auf den Prinzipien der Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Informationen. So ist das Zusammenspiel dieser ISO Normen nicht überraschend und die gemeinsame Implementierung ist schon aus Synergiegründen sehr empfehlenswert.

Warum ist Datenschutz aktuell so wichtig?

Durch den Digitalisierungsschub sind immer mehr sensible Daten online verfügbar und potenziellen Cyberangriffen ausgesetzt. Seit dem Inkrafttreten der DSGVO gelten zusätzliche Anforderungen und es drohen Strafen bei Vernachlässigung.

Wodurch kann eine DSGVO-Rechtssicherheit mittels ISO 27701-Zertifizierung realisiert werden?

Eine Zertifizierung wird von der DSGVO nicht zwingend vorgeschrieben. Was hier letztlich zählt, ist der stichhaltige Nachweis, wie sorgfältig in der Organisation mit den Datenschutz-Anforderungen tatsächlich umgegangen wird.

Somit ist mit einer ISO 27701-Zertifizierung ein erhöhtes Maß an Rechtssicherheit (mit hoher Konformität und Compliance) zu erzielen – wenn das System tagtäglich ernsthaft gelebt wird.

Die strukturierte Dokumentation sowie die technischen Protokollierungen ermöglichen ein Erbringen der erforderlichen Nachweise für die Sorgfaltspflichten.

Das ist für Bußgeld- und Haftungsfragen (OwiG, AktG) sicherlich mit von Bedeutung.

Was sind die Vorteile einer ISO 27701 Zertifizierung?

  1. Kontrolle,
  2. Steuerung,
  3. Positionierung:

Der risikobasierte Ansatz hilft Haftungsfelder und Probleme aufzuspüren und zu vermeiden. Gesetzliche Vorgaben werden eingehalten. Die Norm ist international gültig.

Was ist der Unterschied zwischen ISO 27701 vs. ISO 27001

Eine Zertifizierung nach ISO 27701 für Datenschutzmanagement gilt als Add-On für den international anerkannten Standard ISO 27001 für Informationssicherheit. Beide gehören zur gleichen Normenfamilie und folgen der High Level Structure (HLS).

Aufbauend auf einer bestehenden ISO 27001 Zertifizierung sind einige zusätzliche Normpunkte sowie ein Set von Controls für Datenverantwortliche und Auftragsverarbeiter zu implementieren.

Wie lange dauert eine Zertifizierung nach ISO 27701?

Das hängt stark von der Größe der Organisation und den vorhandenen Managementsystemen ab. Im Gegensatz zu einer ISO/IEC 27001 Zertifizierung erhöht sich der Zeitaufwand lediglich um 30-40%. Ein Zertifikat orientiert sich an der Gültigkeit i.S.d. ISO/IEC 17021 für Managementsysteme. Es ist grundsätzlich 3 Jahre gültig und wird jährlich auf Wirksamkeit durch ein Überwachungsaudit überprüft.

Gerd Grimberger, 01. Juni 2022

Rechtsinformatiker