Mo. - Fr. 8:00 - 18 Uhr
Die ISO 27701 als Ergänzung zur ISO 27001
Prozesse und Kommunikation finden zunehmend auf digitalem Wege statt. Aus diesem Grund ist die Informationssicherheit so wichtig, und viele halten ein gutes Managementsystem in diesem Bereich für unerlässlich.
Die ISO 27001 bietet hierfür einen guten Rahmen. Damit können Sie nachweisen, dass Sie Ihre wertvollen Informationen angemessen schützen.
Vor kurzem wurde jedoch eine zusätzliche Norm zur ISO 27001 veröffentlicht, nämlich die ISO 27701.
Diese Norm schützt nicht nur Ihre eigenen Informationen, sondern zeigt auch, dass Sie die Privatsphäre anderer schützen.
TÜV NORD ist seit 2022 als Zertifizierstelle für ISO 27701 akkreditiert. Hierdurch ist es uns möglich, bei Ihrem Unternehmen neben der ISO 27001 auch die ISO 27701 unter Akkreditierung zu zertifizieren.
Definierte Rollen im Datenschutz-Management
Die in der Norm ISO 27701 festgeschriebenen Rollen sind Controller (PII-Verantwortlicher) und Prozessor (PII-Auftragsverarbeiter). Definition der Rollen in Artikel 4 der GDPR oder in der Norm ISO 29100 :
CONTROLLER
"Natürliche oder juristische Person, Behörde, Agentur oder eine andere Stelle, die allein oder gemeinsam mit anderen, die Intentionen und Mittel der Verarbeitung von persönlichen Daten bestimmt“.
Sammelt personenbezogene Daten und bestimmt die Zwecke, zu denen sie verarbeitet werden. Dabei kann mehr als eine Organisation als PII-Verantwortlicher – gewöhnlich als gemeinsam Verantwortliche oder Joint Controller bezeichnet – auftreten. In diesem Fall können Vereinbarungen zum Datenaustausch erforderlich werden.
Vorteile PII-Verantwortlicher
- Enthält Leitlinien zu bevorzugten Arbeitsweisen
- Schafft Transparenz zwischen PII-Verantwortlichen
- Sorgt für ein effektives Management von PII-Prozessen
PROZESSOR
"Natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die personenbezogene Daten im Namen des Controllers verarbeitet“.
Verarbeitet personenbezogene Daten für den PII-Verantwortlichen und nur entsprechend dessen Anweisungen.
Vorteile PII-Auftragsverarbeiter
- Enthält Leitlinien zu bevorzugten Arbeitsweisen
- Gibt Kunden die beruhigende Gewissheit, dass PII effektiv gehandhabt werden
Vorteile einer ISO 27701 Zertifizierung
Verringerung der Risiken für die Privatsphäre der betroffenen Personen und besserer Schutz vor Datenschutzverletzungen
Der Besitz und die Nutzung personenbezogener Daten sind natürlich mit Risiken verbunden. Häufig sind diese Daten jedoch für den Geschäftsbetrieb unerlässlich und müssen daher ordnungsgemäß eingesetzt werden, um Risiken zu verringern.
Indem Sie dies mit der ISO 27701 systematisch angehen, gehen Sie aktiv gegen diese Datenschutzrisiken vor. Die daraufhin eingeführten Maßnahmen verringern die Risiken und schützen auch besser vor Datenlecks.
Erzeugt Nachweise für die Einhaltung von Datenschutzgesetzen und -vorschriften
Organisationen, die personenbezogene Daten im Auftrag ihrer Kunden (weiter) verarbeiten, müssen hinreichende Garantien dafür bieten, dass dieser Vorgang mit den Anforderungen des BDSG übereinstimmt. Mit einem Datenschutz-Informationsmanagementsystem (PIMS) erzeugen Sie einen dokumentierten Nachweis darüber, wie personenbezogene Daten verarbeitet werden. Auf diese Weise zeigen Sie, dass Sie sorgfältig darüber nachgedacht haben und welche Maßnahmen Sie ergriffen haben.
Organisationen, für die das BDSG gilt, können mit einer ISO 27701-Zertifizierung nachweisen, dass sie geeignete technische und organisatorische Maßnahmen getroffen haben, um die Einhaltung der Anforderungen des BDSG zu gewährleisten (auch wenn es sich bei dem ISO-Datenschutzzertifikat nicht um ein "BDSG-Zertifikat" handelt).
Zeigt Engagement, Einsicht und Kontrolle über den Datenschutz
Ein ISO 27701-Zertifikat zeigt, dass Sie klare Schritte zum angemessenen Schutz personenbezogener Daten unternommen haben. Diese Art des Engagements kann sich z. B. auf Ihre Wettbewerbsposition auswirken. Und während viele erklären, dass sie den Datenschutz ernst nehmen, haben Sie tatsächlich bewiesen, dass Sie dies tun.
Darüber hinaus verschafft Ihnen die Umsetzung der ISO 27701 Einblick und Kontrolle, wenn es um den Datenschutz geht. So behalten Sie selbst die Kontrolle darüber, wie personenbezogene Daten in Ihrem Unternehmen gehandhabt werden.
Schafft Gewissheit und Vertrauen bei den Beteiligten in der Informationskette
Die Umsetzung von ISO 27701 kann Kunden, Partnern und anderen Beteiligten zeigen, dass Ihr Unternehmen den Datenschutz sehr ernst nimmt und sich wirklich für den Schutz personenbezogener Daten einsetzt. Auf diese Weise entwickeln Sie einen positiven Ruf, der auf Transparenz beruht.
Mit einem zertifizierten PIMS können Sie verschiedenen Interessengruppen, insbesondere Ihren Kunden, zeigen, dass Sie auch deren Datenschutz(-verpflichtungen) ernst nehmen und Sicherheitsvorkehrungen treffen. Und da PIMS auch die Kontrolle über den Rest der Verarbeitungskette durchsetzt, bauen Sie das Vertrauen Ihrer Kunden in Sie auf.
Reduziert den Aufwand für Compliance-Projekte und eliminiert die Notwendigkeit von Datenschutz-Audits
Wenn Sie mit der ISO 27701 beginnen, arbeiten Sie systematisch an einem Datenschutz, der durch den Zertifizierungsprozess strukturell geprüft wird. Allein dadurch haben Sie einen guten Überblick über den Stand der Einhaltung des Datenschutzes und der Gesetzgebung bei Compliance-Projekten.
Dieser Nachweis macht die interne Überwachung durch Datenschutzbeauftragte sehr effizient. Sie sind aber auch in der Lage, im Falle einer externen Kontrolle durch eine Behörde für personenbezogene Daten einen angemessenen Nachweis zu erbringen.
In immer mehr Fällen stellen wir fest, dass Organisationen, die im Rahmen des Lieferantenmanagements bewertet werden, weniger Aufwand betreiben müssen, wenn sie zertifiziert sind. So akzeptieren beispielsweise einige Auftraggeber bei ihren Lieferantenbewertungen die ISO 27001-Zertifizierung ihrer Lieferanten anstelle des Sicherheitsteils, und die ISO 27701-Zertifizierung anstelle des Datenschutzteils. Unternehmen müssen also keine unabhängigen externen Prüfer mehr beauftragen, um dies nachzuweisen.
Beide Zertifizierungen zusammen können die Anforderungen Ihrer Auftraggeber erfüllen.
Schützt Datenschutzwissen, Reputation und Wettbewerbsfähigkeit
Weil Sie nachweislich am Schutz personenbezogener Daten arbeiten, sichern Sie auch Ihr Wissen über den Datenschutz. Da die Besorgnis über den Datenschutz in den letzten Jahren erheblich zugenommen hat, kann eine Zertifizierung nach ISO 27701 viel dazu beitragen, die öffentliche Wahrnehmung der Datenschutzpraktiken in Ihrer Organisation zu verbessern.
Ihr Ruf als Unternehmen, das den Datenschutz tatsächlich ernst nimmt, stärkt Ihre Position auf dem Markt. Eine ISO 27701-Zertifizierung ist in der Tat ein zusätzlicher Vorteil, der auf einer Garantie beruht, die Sie Ihren Kunden geben können: Während Sie Informationen sichern, arbeiten Sie systematisch daran, persönliche Daten zu schützen.
Inhalt der ISO 27701
Die ISO 27001 und ISO 27002 enthalten Anforderungen und Leitlinien für ein Informationssicherheitsmanagementsystem (ISMS). Die ISO 27701 fügt datenschutzspezifische Anforderungen und Leitlinien hinzu und erweitert sie um ein Datenschutz-Informationsmanagementsystem (PIMS).
Konkrete Ergänzungen:
- die bestehenden Normkapitel der ISO 27001 (Kap. 4-10) samt
- Anhang A1 (Controls aus der ISO 27002 (5-18) um die ISO 27701-spezifischen Anforderungen
Die ISO 27701 ist also eine Erweiterung der Anforderungen und Kontrollen der ISO 27001 und funktioniert nicht stand-alone. Sie hat daher zwingend denselben Scope, wie das basierende ISO 27001 Managementsystem
Der Auditablauf einer ISO 27701 Zertifizierung
FAQ zur ISO 27701
Grundlagen ISO 27701 – Begriffe (englisch/deutsch)
PII personally identifiable information / pbD – personenbezogene Daten
PII controller / pbD-Beauftragter
PII principal / Betroffene Person
PII processor / pbD-Verarbeiter
privacy breach / Datenschutzverletzung
privacy principles / Datenschutzprinzipien
privacy risk / Datenschutzrisiken
privacy risk assessment / Datenschutz-Risikobeurteilung
processing of P / Verarbeitung von personenbezogenen Daten
sensitive PII / Sensible pbD
Für wen ist ein ISO 27701-Zertifikat geeignet?
Ein ISO 27701-Zertifikat ist für jede Organisation geeignet, die personenbezogene Daten (PII) verarbeitet. Unabhängig von ihrer Größe, sowohl für öffentliche als auch für private Unternehmen, Regierungsstellen und gemeinnützige Organisationen, die personenbezogene Daten (PII) als Controller und/oder Prozessor im Sinne des BDSG im Rahmen eines ISMS verarbeiten.
Vor allem wenn Sie nachweisen müssen, dass Ihre Organisation bewusst mit dieser Art von personenbezogenen Daten umgeht, bietet dieses Zertifikat eine strukturierte Lösung:
- Jedes Unternehmen, das personenbezogene Daten verarbeitet, kann unabhängig von seiner Größe und Art von der Einführung der ISO 27701 profitieren
- Organisationen, die finanzielle und regulatorische Risiken im Zusammenhang mit Verletzungen des Datenschutzes (mit-)vermindern wollen
- Private, öffentliche Unternehmen und sogar Regierungsbehörden, die einen risikobasierten Ansatz für die Aufbewahrung und Verarbeitung personenbezogener Daten verfolgen müssen
- Organisationen mit einem ISMS, die sich in ihrer Rolle als Controller und/oder Prozessor weiterentwickeln und professionalisieren wollen
Und für Unternehmen, für die die DGSVO gilt?
Unternehmen, die unter die europäische Gesetzgebung fallen, weil sie z.B. Europäer sind oder in der EU tätig sind, können die ISO 27701 nutzen, um die Einhaltung der DGSVO-Gesetzgebung genauer unter die Lupe zu nehmen. Dies gilt dann zum Beispiel für:
- Organisationen, die nach einer Möglichkeit suchen, der Verpflichtung nachzukommen, nachzuweisen, dass sie geeignete technische und organisatorische Maßnahmen ergriffen haben, um die Einhaltung der Anforderungen der DGSVO zu gewährleisten
- Organisationen, die personenbezogene Daten im Auftrag von Kunden (weiter) verarbeiten wollen, die dies per Gesetz nur an Organisationen auslagern dürfen, die hinreichend gewährleisten, dass die Verarbeitung den Anforderungen der DGSVO und dem Schutz der Rechte der Betroffenen entspricht
Voraussetzungen für eine ISO 27701 Zertifizierung
Um die ISO 27701-Zertifizierung zu erhalten, müssen Sie bereits über ein funktionierendes ISMS verfügen, welches die Anforderungen von ISO 27001 erfüllt. Das bedeutet, dass Sie bereits eine Zertifizierung nach ISO 27001 haben oder dabei sind, diese zu erlangen. Der Grund dafür ist, dass ISO 27701 diese Norm ergänzt.
Für jede Organisation, die mit datenschutzsensiblen Informationen arbeitet, insbesondere wenn diese Informationen zu einer einzelnen Person zurückverfolgt werden können, ist dieser Zusatz sicherlich relevant.
Wie ist der Auditablauf?
Wenn Sie bereits über ein ISO 27001 Zertifikat verfügen (über TÜV NORD oder eine andere Zertifizierungsstelle), werden Sie zunächst separat für ISO 27701 auditiert. Dieses Zertifikat entspricht dann hinsichtlich der Laufzeit Ihrem aktuellen ISO 27001-Zertifikat. Wenn dieses ausläuft oder wenn Sie gleichzeitig mit ISO 27001 und ISO 27701 beginnen, werden die Audits für ISO 27001 und ISO 27701 synchronisiert.
Das ISMS und das PIMS werden dann integriert und die Audits für beide Systeme werden kombiniert.
Das könnte Sie auch interessieren
Wir freuen uns auf Ihre Anfrage
Anrufe aus der Schweiz und Österreich: +49 511 998-61222
Kostenlose Service-Hotline
Tel.: 0800 2457 457
info.tncert@tuev-nord.de