ISO Zertifizierung am Tablett

DSGVO-konformer Unternehmens-Datenschutz durch ISO 27001 und ISO 27701?

Für eine hohe Datensicherheit empfiehlt sich für Unternehmen ein Informationssicherheits-Management-System (ISMS). Ein solches ISMS kann durch die Norm ISO 27001 zertifiziert werden. Vorteile einer solchen Zertifizierung und der Unterschied zwischen ISO 27001 und ISO 27701.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2019-11-04

Logo
  • Autorin: Maike Weiss | Datenschutzexperte
    Maike hat einen interdisziplinären medialen Background. Als Trainee bei datenschutzexperte.de nimmt sie sich leidenschaftlich den Themen rund um Datenschutz & Digitalisierung an.
  • Autorin: Kathrin Strauß
    Ursprünglich aus dem Fotografie- & Medien-Bereich kommend, beobachtet Kathrin nun als TÜV-zertifizierte Datenschutzbeauftragte für datenschutzexperte.de alle Entwicklungen der digitalen Datenschutzwelt und macht auch schwierige juristische Sachverhalte zugänglich.

 

Die ISO 27001 ist eine Norm der Internationalen Organisation für Normung (kurz ISO), die Anforderungen an ein Informationssicherheits-Management-System (ISMS) von Unternehmen, öffentlichen oder gemeinnützigen Organisationen definiert. Ein ISMS etabliert Prozesse und Richtlinien, mit denen Informationen (und damit auch personenbezogene Daten) verwaltet und geschützt werden sollen.

Aufgaben eines ISMS sind z.B.:

  • Prozesse und Richtlinien für Datenverarbeitung im Unternehmen aufstellen

  • Informationssicherheit / Datenschutz regeln, steuern, dokumentieren und kontrollieren

  • Technische und organisatorische Maßnahmen (TOM) realisieren

  • Sicherheitsrisiken aufdecken und reduzieren

 

Nach Art. 32 DSGVO sind Unternehmen bereits verpflichtet, ein Managementsystem für die Verarbeitung von personenbezogenen Daten zu etablieren. Zur Effizienzsteigerung ist es dabei sinnvoll, ein Managementsystem für alle Informationen – egal, ob personenbezogen oder nicht, digital oder in Papierform – einzuführen. Für ein solches ISMS definiert die ISO 27001 rund 150 Anforderungen und Maßnahmen, die allerdings je nach Art des Unternehmens oder der Organisation individuell angepasst werden können.

 

Was sind die Vorteile einer ISO 27001-Zertifizierung?

Sind die Anforderungen der Norm umgesetzt, besteht die Möglichkeit einer Zertifizierung durch eine unabhängige durch die Deutsche Akkreditierungsstelle (DAkkS) bestätigte Zertifizierungsstelle. Entweder kann direkt nach ISO 27001 zertifiziert werden oder es wird eine "ISO 27001-Zertifizierung auf Basis IT-Grundschutz" durchgeführt. Die zweite Möglichkeit ist etwas aufwendiger, aber auch aussagekräftiger.

 

 Für Unternehmen bietet die Zertifizierung folgende Vorteile:

  • Vertrauliche Daten werden zuverlässig vor Missbrauch, Verlust und Offenlegung geschützt

  • Sicherheitsrisiken können mit einem zertifizierten ISMS schnell erkannt werden

  • Haftungsrisiken werden minimiert

  • Das Zertifikat schafft einen Vertrauens- und Imagegewinn

  • Mitarbeiter werden für Informationssicherheit sensibilisiert

  • Prozesse zur Informationsverarbeitung sind optimiert, wenn sie nach ISO 27001 ablaufen.

 

Worum geht es bei der Erweiterung ISO 27701?

Die Normen ISO 27001 und ISO 27701 unterscheiden sich namentlich nur durch eine Ziffer und sind auch inhaltlich eng miteinander verbunden. ISO 27701 kann als Erweiterung von ISO 27001 um Datenschutzaspekte gesehen werden. In ihr ist nicht mehr nur von Informationssicherheit, sondern zusätzlich von Datenschutz die Rede. Damit bezieht sich die ISO 27701 auf die Verarbeitung von personenbezogenen Daten. Für die Konformität mit der ISO 27701 müssen alle Punkte der ISO 27001 erfüllt sein. Hier zeigt sich die enge Verschränkung von Informationssicherheit und Datenschutz.

 

Mit der ISO 27701 zum zertifizierbaren Datenschutz?

Könnte eine Zertifizierung nach ISO 27701 den lang ersehnten Nachweis der Einhaltung datenschutzrechtlicher Vorschriften bringen? Art. 42 der DSGVO sieht nämlich die Einführung einer Zertifizierung vor, die bescheinigt, dass datenschutzrechtliche Anforderungen im Unternehmen eingehalten werden. Wie diese Zertifizierung genau aussehen soll, klärt der Artikel jedoch nicht, weshalb Datenschutzaufsichtsbehörden seit Einführung der DSGVO ein länderübergreifendes Zertifizierungsverfahren mit einheitlicher Bewertung fordern. Dieses Problem wird leider auch die ISO 27701 nicht vollständig lösen, da die Norm nicht mit der gesamten DSGVO gleichzusetzen ist. ISO 27701 wurde zwar stark von der DSGVO geprägt, ist aber weniger umfangreich. Allerdings ist die ISO 27701 als wichtiger Schritt hin zu einem pragmatischen und zertifizierbaren Datenschutz zu sehen.

Autorinnen: Maike Weiss und Kathrin Strauß
Artikel veröffentlicht am: 04. November 2019

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr