Diese Nummer sollte man sich merken: ISO 27701. Und nein, kein Tippfehler – gemeint ist nicht ISO 27001, sondern ISO/IEC 27701. Dies ist die neue Ergänzungsnorm für ein Datenschutz-Managementsystem.
Nanu, darüber wurde doch schon am 04. März 2019 hier berichtet. Was ist neu? Neu ist, dass die vormals im Draft ISO/IEC 27552 genannte Norm final veröffentlicht worden ist und ihre endgültige Nummer erhalten hat: ISO/IEC 27701:2019-08 „Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“. Wie immer erhältlich im Normen-Shop Ihres Vertrauens.
Doch zurück zur ISO 27701. Ansätze, Datenschutzanforderung in ein Managementsystem zu integrieren, gibt es schon seit geraumer Zeit. Mit der ISO/IEC 27701 liegt jetzt aber ein neuer vielversprechender Ansatz vor.
Wie funktioniert diese Ergänzungsnorm?
Basis ist mit der ISO/IEC 27001 ein Managementsystem für Informationssicherheit. Typischerweise werden im Rahmen der Risikoanalyse Maßnahmen aus dem Annex der ISO/IEC 27001 herangezogen, die in der Norm ISO/IEC 27002 näher erläutert werden. Genauso wie bei ISO/IEC 27017 und ISO/IEC 27018 für spezielle Anforderungen an Cloud-Dienste oder ISO/IEC 27019 für die Energiebranche, erweitert auch die ISO/IEC 27701 die Controls der ISO/IEC 27001 um Datenschutz-Anforderungen, die dann im Kontext einer ISO/IEC 27001-Auditierung mitbetrachtet werden können.
Kurzum: Das nach ISO/IEC 27001 zu zertifizierende Informationssicherheits-Managementsystem wird um Datenschutz-Aspekte erweitert.
Kann man dazu ein akkreditiertes Zertifikat erhalten?
Zunächst einmal nein. Denn ISO/IEC 27701 ist keine Zertifizierungsnorm. Zertifiziert wird stets ein ISMS gem. ISO/IEC 27001. Es ist aber möglich, in seinem ISMS über das Statement of Applicability (SOA-Dokument) weitere normative Anforderungen, wie etwa die ISO/IEC 27701, hinzuzufügen – und diese auch im Rahmen eines Audits mit überprüfen zu lassen.
Trotzdem bleibt es dabei – zertifiziert wird nur das ISMS. Denkbar wäre, dass eine Zertifizierungsstelle ein eigenes Programm durch die zuständige Aufsichtsbehörde (hier die DAkkS) erstellt, um Zertifikate gemäß ISO/IEC 27701 für Datenschutz-Managementsysteme erteilen zu können. Gegenwärtig ist allerdings noch kein solches Programm veröffentlicht.
Ist ISO/IEC 27701 konform zur DSGVO und kann damit das langersehnte DSGVO-Zertifikat realisiert werden?
Leider nein. Auch wenn der Ansatz, ein Managementsystem für Datenschutz zu zertifizieren, sehr charmant ist, es unterliegt leider dem falschen Akkreditierungs-Regime. Denn: Die EU-Datenschutz-Grundverordnung (DSGVO) sieht in Artikel 42 Zertifizierungsverfahren für Verarbeitungsvorgänge vor, die von akkreditierten Zertifizierungsstellen durchgeführt werden können; als Akkreditierungsnorm wird ISO/IEC 17065 für Produkte und Dienstleistungen vorgegeben. Da ISO/IEC 27701 eine Managementsystemnorm ist – deren Zertifizierungsstellen typischerweise gem. ISO/IEC 17021-1 bzw. ISO/IEC 27006 akkreditiert werden –, liegt hier schlicht und ergreifend eine falsche Akkreditierungsnorm vor.
Der Vorteil, ein „offizielles“ DSGVO-Zertifikat für seinen Verarbeitungsvorgang vorlegen zu können, darf jedoch nach wie vor nicht unterschätzt werden:
- Unterstützung bei der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO, auch bei Einbeziehung von Auftragsverarbeitern
- Wettbewerbsvorteil für Auftragsverarbeiter, die selber ein Zertifikat vorweisen können
- Haftungsreduzierung
- Reduktion Rückstellungen bzgl. Geldbußen
DSGVO-Zertifikate sind also weiterhin nur in Vorbereitung. Dazu werden wir demnächst (hoffentlich) mehr sagen können.
ISO 27701: Zertifizierungs-Standard für ein Privacy Management System
26. August 2019 @ 10:45
[…] Anschluss unter 27701 […]
23. August 2019 @ 12:11
Ist ja schon ein Bißchen kurios, wenn man sich die gesetzestreue zertifizieren lassen will/muss/kann. Was will man der Öffentlichkeit denn damit mitteilen? Wir sind eigentlich zu blöd, das Gesetz einzuhalten, aber nun haben wir es uns doch zertifizieren lassen…?
Ich sehe ja ein, dass eine solche internationale Norm interessant sein kann für Länder ohne DSGVO (Japan, Südkorea, China etc.). Aber bei uns dürfte das doch nur Geldmacherei für Auditoren/Berater sein.