Anschluss unter 27701

Diese Nummer sollte man sich merken: ISO 27701. Und nein, kein Tippfehler – gemeint ist nicht ISO 27001, sondern ISO/IEC 27701. Dies ist die neue Ergänzungsnorm für ein Datenschutz-Managementsystem.

Nanu, darüber wurde doch schon am 04. März 2019 hier berichtet. Was ist neu? Neu ist, dass die vormals im Draft ISO/IEC 27552 genannte Norm final veröffentlicht worden ist und ihre endgültige Nummer erhalten hat: ISO/IEC 27701:2019-08 „Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“. Wie immer erhältlich im Normen-Shop Ihres Vertrauens.

Doch zurück zur ISO 27701. Ansätze, Datenschutzanforderung in ein Managementsystem zu integrieren, gibt es schon seit geraumer Zeit. Mit der ISO/IEC 27701 liegt jetzt aber ein neuer vielversprechender Ansatz vor.

Wie funktioniert diese Ergänzungsnorm?

Basis ist mit der ISO/IEC 27001 ein Managementsystem für Informationssicherheit. Typischerweise werden im Rahmen der Risikoanalyse Maßnahmen aus dem Annex der ISO/IEC 27001 herangezogen, die in der Norm ISO/IEC 27002 näher erläutert werden. Genauso wie bei ISO/IEC 27017 und ISO/IEC 27018 für spezielle Anforderungen an Cloud-Dienste oder ISO/IEC 27019 für die Energiebranche, erweitert auch die ISO/IEC 27701 die Controls der ISO/IEC 27001 um Datenschutz-Anforderungen, die dann im Kontext einer ISO/IEC 27001-Auditierung mitbetrachtet werden können.

Kurzum: Das nach ISO/IEC 27001 zu zertifizierende Informationssicherheits-Managementsystem wird um Datenschutz-Aspekte erweitert.

Kann man dazu ein akkreditiertes Zertifikat erhalten?

Zunächst einmal nein. Denn ISO/IEC 27701 ist keine Zertifizierungsnorm. Zertifiziert wird stets ein ISMS gem. ISO/IEC 27001. Es ist aber möglich, in seinem ISMS über das Statement of Applicability (SOA-Dokument) weitere normative Anforderungen, wie etwa die ISO/IEC 27701, hinzuzufügen – und diese auch im Rahmen eines Audits mit überprüfen zu lassen.

Trotzdem bleibt es dabei – zertifiziert wird nur das ISMS. Denkbar wäre, dass eine Zertifizierungsstelle ein eigenes Programm durch die zuständige Aufsichtsbehörde (hier die DAkkS) erstellt, um Zertifikate gemäß ISO/IEC 27701 für Datenschutz-Managementsysteme erteilen zu können. Gegenwärtig ist allerdings noch kein solches Programm veröffentlicht.

Ist ISO/IEC 27701 konform zur DSGVO und kann damit das langersehnte DSGVO-Zertifikat realisiert werden?

Leider nein. Auch wenn der Ansatz, ein Managementsystem für Datenschutz zu zertifizieren, sehr charmant ist, es unterliegt leider dem falschen Akkreditierungs-Regime. Denn: Die EU-Datenschutz-Grundverordnung (DSGVO) sieht in Artikel 42 Zertifizierungsverfahren für Verarbeitungsvorgänge vor, die von akkreditierten Zertifizierungsstellen durchgeführt werden können; als Akkreditierungsnorm wird ISO/IEC 17065 für Produkte und Dienstleistungen vorgegeben. Da ISO/IEC 27701 eine Managementsystemnorm ist – deren Zertifizierungsstellen typischerweise gem. ISO/IEC 17021-1 bzw. ISO/IEC 27006 akkreditiert werden –, liegt hier schlicht und ergreifend eine falsche Akkreditierungsnorm vor.

Der Vorteil, ein „offizielles“ DSGVO-Zertifikat für seinen Verarbeitungsvorgang vorlegen zu können, darf jedoch nach wie vor nicht unterschätzt werden:

  1. Unterstützung bei der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO, auch bei Einbeziehung von Auftragsverarbeitern
  2. Wettbewerbsvorteil für Auftragsverarbeiter, die selber ein Zertifikat vorweisen können
  3. Haftungsreduzierung
  4. Reduktion Rückstellungen bzgl. Geldbußen

DSGVO-Zertifikate sind also weiterhin nur in Vorbereitung. Dazu werden wir demnächst (hoffentlich) mehr sagen können.

 

Autor: Dr. Sönke Maseberg

Haben Sie Fragen?

Dann kontaktieren Sie uns!