Mit <kes>+ lesen

Add-on für den Datenschutz – ISO 27701 – Blaupause für einen systematischen und compliancekonformen Datenschutz

Die im August 2019 veröffentlichte ISO 27701 erweitert die ISO 27001 um das Thema Datenschutz – und hilft Unternehmen, ihr Informationssicherheits-Managementsystem (ISMS) um ein nachhaltiges und systematisches Privacy-Information-Managementsystem (PIMS) zu erweitern. Das bringt nicht zuletzt bei der DSGVO-Umsetzung handfeste Vorteile mit sich, betont unser Autor.

Lesezeit 6 Min.

Viele Unternehmen tun sich nach wie vor schwer damit, die Einhaltung der Vorgaben der EU Datenschutzgrundverordnung (DSGVO) sicherzustellen und systematische Ansätze für den Datenschutz zu entwickeln: Bundesweit sind etliche Fälle belegt, in denen Datenschutzverstöße mit hohen Bußgeldern geahndet wurden – sei es, weil Newsletter Hunderte von Adressen im CC anstatt im BCC führten, weil die Videoüberwachung auf dem Unternehmensgelände nicht klar ausgewiesen war oder man ausscheidenden Mitarbeitern nicht transparent Auskunft über ihre personenbezogenen Daten geben konnte.

Einer repräsentativen Bitkom-Umfrage zufolge hatte bis zum Herbst 2020 gerade einmal jedes fünfte Unternehmen die DSGVO vollständig umgesetzt und darüber hinaus auch Prüfprozesse für die Weiterentwicklung etabliert – 72 % hatten die Regeln größtenteils oder teilweise umgesetzt und 6 % gerade erst mit der Umsetzung begonnen (www.bitkom.org/Presse/Presseinformation/Jedes-2-Unternehmen-verzichtet-aus-Datenschutzgruenden-auf-Innovationen).

Dabei gibt es schon seit fast zwei Jahren einen Standard, der dabei helfen könnte, das endlich zu ändern: Denn mit der ISO 27701 „Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“ steht eine Norm (genauer: eine Normenerweiterung) zur Verfügung, die ganz auf den Datenschutz fokussiert und Unternehmen konkrete Best Practices für die Umsetzung der geltenden Datenschutzvorgaben liefert – aufsetzend auf dem robusten Fundament der ISO 27001 und der gemeinsamen Grundstruktur für Managementsystemnormen, der High-Level-Structure (HLS).

Wohlgemerkt: Eine Integration von ISO 27701 stellt nicht automatisch die DSGVO-Konformität sicher! Aber sie macht es Verantwortlichen deutlich leichter, personenbezogene Daten zuverlässig zu schützen und zu managen und die Einhaltung gesetzlicher Bestimmungen zu belegen. Das gilt unabhängig davon, ob es sich um die europäische DSGVO, das japanische Datenschutzgesetz APPI oder die strengen Vorgaben des California Consumer Privacy Act (CPPA) handelt. Hinzu kommt, dass sowohl die DSGVO als auch ISO 27701 auf derselben Basis fußen: dem Datenschutzverständnis der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) aus den 1980er-Jahren. Damit sind ISO 27701 und die DSGVO im Hinblick auf ihre Zielausrichtung weitgehend deckungsgleich, sodass die Maßnahmenkataloge von ISO 27701 einen guten Ausgangspunkt für die Umsetzung der DSGVO-Bestimmungen bilden.

Unterschätzte Vorteile

Aber auch, wenn man ISO 27701 losgelöst von der DSGVO betrachtet, bietet die Integration der neueren Norm eine Reihe von Vorteilen: Der größte – und zugleich häufig unterschätzte – Pluspunkt ist, dass Betriebe im Zuge der Umsetzung der Norm gezwungen sind, im Bereich Datenschutz klare Verantwortlichkeiten zu definieren. Ohne Privacy-Information-Managementsystem (PIMS) werden Zuständigkeiten in der Regel aus Höflichkeit und Kollegialität zu weich formuliert („Würdest Du das künftig mit übernehmen?“) oder auf mehrere Schultern verteilt („Darum kümmern wir uns zusammen!“); in der Praxis sieht sich dann am Ende niemand wirklich in der Verantwortung. Mit einem PIMS muss man klare Regeln aufstellen – und das ist unbezahlbar!

Ein zweiter großer Vorteil ist, dass Unternehmen mit der Einführung von ISO 27701 nicht umhin kommen, sich risikoorientiert mit dem Thema Datenschutz auseinanderzusetzen. Dazu gehört es beispielsweise, Risiken vollumfänglich zu definieren und zu evaluieren und sich auch Gedanken darüber zu machen, mit welcher Wahrscheinlichkeit diese eintreten werden. Diese Risikobewertung bildet dann den Ausgangspunkt, um das konkrete Schadenspotenzial auf ein tragbares Maß zu reduzieren. Diese wunderbar pragmatische Herangehensweise findet man in ähnlicher Form übrigens auch bei der DSGVO, sodass sich hier der Kreis auch in puncto Praxisnähe schließt.

ISO 27701 – Erweiterung für das Datenschutzmanagement

Innerhalb der Normreihe zu „Informationstechnik – [IT-]Sicherheitsverfahren“ ergänzt die relativ neue
ISO 27701 „Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen
und Leitfaden“ das Standard-Duo ISO 27001 „Informationssicherheits-Managementsysteme – Anforderungen“
sowie ISO 27002 „Leitfaden für das Informationssicherheits-Management“ um Datenschutzkriterien.

Als internationale Norm bietet die ISO 27701 Leitlinien für den Schutz der Privatsphäre und zum Umgang
von Unternehmen mit personenbezogenen Daten und hilft beim Nachweis der Einhaltung von Datenschutzbestimmungen weltweit. Es handelt es sich dabei nicht um eine eigenständige Norm, sondern um eine sogenannte „bereichsspezifische Ergänzung“, die auf dem gleichen Rahmenwerk und der gleichen High-Level-Structure (HLS) basiert. Anders als ISO 27001 spricht diese Managementnorm statt von „Informationssicherheit“ von „Informationssicherheit und Datenschutz“. Darüber hinaus gibt es inhaltliche Ergänzungen, die in zwei originär entwickelten Kapiteln zusammengefasst sind: Anhang A mit den Anforderungen für Verantwortliche und Anhang B mit den Anforderungen für Auftragsverarbeiter.

In absehbarer Zeit wird auch eine DAkkS-akkreditierte Zertifizierung nach ISO 27701 möglich sein
– voraussichtlich in der zweiten Jahreshälfte 2021. Einige internationale Anbieter offerieren zwar bereits heute entsprechende Siegel, Unternehmen sollten sich für den Augenblick aber ohnehin nicht auf Zertifizierung und Siegel fixieren, sondern die Norm als das wahrnehmen, was sie vorrangig ist: eine praxisnahe, auf Erfahrungswerten basierende Hilfestellung, um den Datenschutz auf eine solide Basis zu stellen.

<h2Schlüsselwort Integration

Wie aufwendig die Einführung von ISO 27701 in der Praxis ist, hängt maßgeblich von der Ist-Situation des jeweiligen Unternehmens ab. Am leichtesten tun sich erfahrungsgemäß Betriebe, die bereits ISO 27001 umgesetzt haben und nun auch den Datenschutz einbinden wollen: Da beide Normen weitgehend identische Management-, Leistungs- und Unterstützungsprozesse definieren und thematisch nahe beieinanderliegen, können sie ISO 27701 mit ungleich geringerem Zeit- und Kostenaufwand implementieren und ihr ISMS relativ unkompliziert zu einem PIMS erweitern.

Ein guter Ansatzpunkt ist dabei, die Norm zunächst mit dem Datenschutzbeauftragten aufmerksam durchzugehen und zu ermitteln, ob und inwieweit Anpassungsbedarf für etablierte Prozesse besteht. Im zweiten Schritt gilt es dann, die Implikationen der beiden Anhänge der ISO 27701 zu prüfen (siehe Kasten).

Unternehmen, die andere ISO-Normen implementiert oder zertifiziert haben, können die ISO 27701 aufgrund der identischen High-Level-Structure (HLS) erfahrungsgemäß aber ebenfalls recht einfach integrieren und dadurch Arbeitsaufwand reduzieren. Projekte, bei denen der Datenschutz beispielweise in ein Umweltmanagementsystem nach ISO 14001 oder in die sehr agile ISO 9001 eingebunden wird, sind also ohne Weiteres denkbar.

Unter dem Strich profitiert letzlich jedes Unternehmen ganz klar davon, seinen Datenschutz zu systematisieren – vom Anbieter für Gesundheitsdienstleistungen oder von Software, in der sensible personenbezogene Daten verarbeitet werden, bis hin zu Unternehmen, die auf eine makellose Online-Reputation angewiesen sind. Denn ihnen allen drohen heute unabhängig von der Branche und der Unternehmensgröße bei Datenverlusten empfindliche Strafen. Dabei muss übrigens immer öfter das Management persönlich für Schäden geradestehen und wird ungleich härter bestraft, wenn sich solche Vorkommnisse wiederholen oder der Verdacht auf Fahrlässigkeit und Organisationsverschulden besteht. Ein vermeidbarer Datenschutzvorfall kann für ein mittelständisches Unternehmen und dessen haftende Geschäftsführer durchaus das wirtschaftliche Aus bedeuten.

Fazit

Wer sicher durch die Untiefen der nationalen und internationalen Datenschutzvorgaben navigieren will, kommt nicht umhin, das Thema strukturiert und systematisch anzugehen. ISO 27701 bietet in diesem Kontext einen hohen Mehrwert, ist auch für mittelständische Unternehmen zu stemmen und liefert eine hervorragende Blaupause für einen compliancekonformen Datenschutz. Dazu gehört auch eine umfassende Sammlung von Best Practices, mit denen Unternehmen sicher dokumentieren können, dass sie beim Umgang mit kritischen Daten die gebührende Sorgfalt walten lassen.

Stephan Rehfeld ist Geschäftsführer der scope & focus Service-Gesellschaft mbH, externer Datenschutzbeauftragter und langjähriger Datenschutz-Auditor der DQS sowie stimmberechtigtes Vollmitglied des Arbeitskreises „Identitätsmanagement und Datenschutz-Technologien“ des DIN e. V. und stellvertretender Leiter des Erfa-Kreises Hannover der Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD).

Diesen Beitrag teilen: