Compliance Blog

Kennen Sie die ISO 27701?

Geschrieben von Admin | 16.03.22 13:30

Die DIN EN ISO 27701 wurde im August 2019 erstmals in Englisch und Französisch herausgegeben und im Juli 2021 erschien sie in deutscher Fassung. Die Norm ist zertiefizierbar und enthält Anforderungen zum Aufbau, der Umsetzung, der kontinuierlichen Fortschreibung und der Weiterentwicklung eines Managementsystems für Informationen zum Datenschutz. Sie ist die Erweiterung zu den Managementsystemen ISO/IEC 27001 (ISMS – Informationstechnik – Sicherheitsverfahren) und ISO/IEC 27002 (Informationssicherheit, Cybersicherheit und Datenschutz).

Was ist Inhalt der ISO 27701 und an wen richtet sie sich?

Der Leitfaden legt die Anforderungen zum Schutz der Privatsphäre und zum Schutz personenbezogener Daten nach PIMS (en: Privacy Information Management System) fest und richtet sich an verantwortliche Stellen und Auftragsverarbeiter, die die Verarbeitung von personenbezogenen Daten vornehmen und rechenschaftspflichtig sind.

Der Standard gilt branchenübergreifend für alle Arten und Größen von Organisationen. Das schließt öffentliche und private Unternehmen, öffentliche Stellen und gemeinnützige Organisationen ein, die im Rahmen eines Informationssicherheitsmanagementsystem verantwortlich sind.

Die Norm baut vollständig auf der ISO 27001 auf. Das bedeutet, dass für eine Konformität mit der ISO 27701 alle Punkte der ISO 27001 erfüllt sein müssen. Die meisten Anforderungen der ISO 27001 gelten entsprechend ebenso für die ISO 27701. Des Weiteren wird bei der Betrachtung des Kontextes der Organisation die Einbeziehung relevanter Datenschutzgesetze, Vorschriften und geltende gerichtlicher Entscheidungen verlangt. Auch im Rahmen der Risikobeurteilung ist der Schutz der Privatsphäre und die Verarbeitung von personenbezogenen Daten zu berücksichtigen. Zusätzlich beinhaltet die ISO 27701 Ergänzungen zur ISO 27002 z.B. wird die Entwicklung separater Datenschutzrichtlinien oder die Erweiterung der Informationssicherheitsrichtlinien gefordert und gesonderte Maßnahmen für das Bewusstsein der Informationssicherheit, der Ausbildung und Schulungen von Mitarbeitende werden verlangt etc. Zudem enthält die ISO 27701 im Anhang eine informative Liste zur Zuordnung der Maßnahmen zur Datenschutz-Grundverordnung (DSGVO). Hier wird deutlich, welchen Einfluss die DSGVO auf die ISO 27701 als internationalen Standard zum Datenschutz genommen hat.

Letztlich bleibt zu sagen, dass die ISO 27701, ISO 27001 und ISO 27002 eng miteinander verwoben sind. Der Schutz personenbezogener Daten schließt immer auch die Informationssicherheit mit ein. In der Praxis ergeben sich daraus ähnliche Anforderungen. Unternehmen profitieren also aufgrund schon vorhandener Prozesse und sind in der Lage, die Anforderungen der ISO 27701 ohne großen Mehraufwand umzusetzen.