Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

ISO Zertifizierung am Tablett

DSGVO-konformer Unternehmens-Datenschutz durch ISO 27001 und ISO 27701?

Für eine hohe Datensicherheit empfiehlt sich für Unternehmen ein Informationssicherheits-Management-System (ISMS). Ein solches ISMS kann durch die Norm ISO 27001 zertifiziert werden. Vorteile einer solchen Zertifizierung und der Unterschied zwischen ISO 27001 und ISO 27701.

 

Die ISO 27001 ist eine Norm der Internationalen Organisation für Normung (kurz ISO), die Anforderungen an ein Informationssicherheits-Management-System (ISMS) von Unternehmen, öffentlichen oder gemeinnützigen Organisationen definiert. Ein ISMS etabliert Prozesse und Richtlinien, mit denen Informationen (und damit auch personenbezogene Daten) verwaltet und geschützt werden sollen.

Aufgaben eines ISMS sind z.B.:

  • Prozesse und Richtlinien für Datenverarbeitung im Unternehmen aufstellen

  • Informationssicherheit / Datenschutz regeln, steuern, dokumentieren und kontrollieren

  • Technische und organisatorische Maßnahmen (TOM) realisieren

  • Sicherheitsrisiken aufdecken und reduzieren

 

Nach Art. 32 DSGVO sind Unternehmen bereits verpflichtet, ein Managementsystem für die Verarbeitung von personenbezogenen Daten zu etablieren. Zur Effizienzsteigerung ist es dabei sinnvoll, ein Managementsystem für alle Informationen – egal, ob personenbezogen oder nicht, digital oder in Papierform – einzuführen. Für ein solches ISMS definiert die ISO 27001 rund 150 Anforderungen und Maßnahmen, die allerdings je nach Art des Unternehmens oder der Organisation individuell angepasst werden können.

 

Was sind die Vorteile einer ISO 27001-Zertifizierung?

Sind die Anforderungen der Norm umgesetzt, besteht die Möglichkeit einer Zertifizierung durch eine unabhängige durch die Deutsche Akkreditierungsstelle (DAkkS) bestätigte Zertifizierungsstelle. Entweder kann direkt nach ISO 27001 zertifiziert werden oder es wird eine "ISO 27001-Zertifizierung auf Basis IT-Grundschutz" durchgeführt. Die zweite Möglichkeit ist etwas aufwendiger, aber auch aussagekräftiger.

 

 Für Unternehmen bietet die Zertifizierung folgende Vorteile:

  • Vertrauliche Daten werden zuverlässig vor Missbrauch, Verlust und Offenlegung geschützt

  • Sicherheitsrisiken können mit einem zertifizierten ISMS schnell erkannt werden

  • Haftungsrisiken werden minimiert

  • Das Zertifikat schafft einen Vertrauens- und Imagegewinn

  • Mitarbeiter werden für Informationssicherheit sensibilisiert

  • Prozesse zur Informationsverarbeitung sind optimiert, wenn sie nach ISO 27001 ablaufen.

 

Worum geht es bei der Erweiterung ISO 27701?

Die Normen ISO 27001 und ISO 27701 unterscheiden sich namentlich nur durch eine Ziffer und sind auch inhaltlich eng miteinander verbunden. ISO 27701 kann als Erweiterung von ISO 27001 um Datenschutzaspekte gesehen werden. In ihr ist nicht mehr nur von Informationssicherheit, sondern zusätzlich von Datenschutz die Rede. Damit bezieht sich die ISO 27701 auf die Verarbeitung von personenbezogenen Daten. Für die Konformität mit der ISO 27701 müssen alle Punkte der ISO 27001 erfüllt sein. Hier zeigt sich die enge Verschränkung von Informationssicherheit und Datenschutz.

 

Mit der ISO 27701 zum zertifizierbaren Datenschutz?

Könnte eine Zertifizierung nach ISO 27701 den lang ersehnten Nachweis der Einhaltung datenschutzrechtlicher Vorschriften bringen? Art. 42 der DSGVO sieht nämlich die Einführung einer Zertifizierung vor, die bescheinigt, dass datenschutzrechtliche Anforderungen im Unternehmen eingehalten werden. Wie diese Zertifizierung genau aussehen soll, klärt der Artikel jedoch nicht, weshalb Datenschutzaufsichtsbehörden seit Einführung der DSGVO ein länderübergreifendes Zertifizierungsverfahren mit einheitlicher Bewertung fordern. Dieses Problem wird leider auch die ISO 27701 nicht vollständig lösen, da die Norm nicht mit der gesamten DSGVO gleichzusetzen ist. ISO 27701 wurde zwar stark von der DSGVO geprägt, ist aber weniger umfangreich. Allerdings ist die ISO 27701 als wichtiger Schritt hin zu einem pragmatischen und zertifizierbaren Datenschutz zu sehen.

Autorinnen: Maike Weiss und Kathrin Strauß

Datenschutz & Startups – unser neuestes Whitepaper enthält 10 wichtige To-Dos

Warum ist Datenschutz gerade auch für Startups wichtig? Welche Punkte sollten Gründer unbedingt angehen?

Datenschutz und Startup passen für viele Gründer erst einmal nicht zusammen. Meist stehen in der Gründungsphase andere Dinge im Fokus der Unternehmer. In unserem Whitepaper "10 Datenschutz-To-Dos, die jedes Startup umsetzen sollte" zeigen wir Ihnen, welche Punkte Sie als Gründer angehen sollten, sodass Datenschutz für Sie kein unnötiges Risiko darstellt.

Jetzt Whitepaper herunterladen

Aktuelle Beiträge zum Thema Datenschutz