Datenschutz-Management nach ISO/IEC 27701

Für unser Team aus der Informationssicherheit sind Normen wie die ISO/IEC 27001 unser Tagesgeschäft. Was für Außenstehende nur wie eine Aneinanderreihung von schwammigen Regelungen aussieht, ist in Wirklichkeit der Aufbau eines strukturierten Managementsystems für die Informationssicherheit (kurz ein ISMS), individuell anpassbar auf die Branche, Größe und Kronjuwelen des jeweiligen Unternehmens.

Auch andere Bereiche haben analoge Normen dazu, die im allgemeinen Aufbau des Managementsystems (Kapitel 4 bis 10) mit der ISO/IEC 27001 übereinstimmen: das Qualitätsmanagement nach ISO 9001, das Umweltmanagementsystem nach ISO 14001 und das Datenschutzmanagement nach ISO/IEC 27701.

Letzteres wollen wir uns an dieser Stelle genauer ansehen. Die ISO/IEC 27701 beschreibt, wie ein bestehendes oder entstehendes ISMS um Datenschutz-Aspekte ergänzt werden kann. Daraus entsteht dann ein Datenschutz-Managementsystem (kurz DSMS) oder – wie es in der deutschen Übersetzung der Norm genannt wird – PIMS (für Privacy Information Management System).

Ohne die ISO/IEC 27001 geht es allerdings nicht: Die -001 ist die einzige Norm der 27er Reihe, die zertifiziert werden kann. Das DSMS nach 27701 gibt es daher nur im Zusammenhang mit einem ISMS nach ISO/IEC 27001. Die namentliche Nähe, bei der nur eine 0 in der Mitte durch eine 7 ersetzt wurde, ist bewusst gewählt worden, um diesen Zusammenhang zu verdeutlichen. Der vollständige Name der Norm macht dies noch deutlicher: ISO/IEC 27701:2021-07 „Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“. Aus Gründen der Übersichtlichkeit sprechen wir hier im Text weiterhin von der ISO/IEC 27701 und lassen den Namenszusatz weg.

Was ist ein Managementsystem?

Für alle, die weder mit ISMS noch mit DSMS vertraut sind, gibt es hier eine Erklärung.

Zu einem Managementsystem gehören Leit- und Richtlinien, Prozesse, Verfahren, Methoden, Dokumente sowie regelmäßige Überprüfungen. Das Managementsystem ist kein technisches System, wie eine Software, die einmalig installiert wird, sondern ein Grundgerüst zur Festlegung von Zielen und zur Auswahl von den nötigen Werkzeugen, um diese Ziele zu erreichen. Dafür kann eine Software durchaus unterstützend dienen. Ein Managementsystem hängt allerdings von den unternehmensinternen Prozessen ab und ist somit so individuell, dass die entsprechenden Tools zunächst ausführlich auf das eigene Unternehmen angepasst werden müssen.

Der Kern eines Managementsystem ist der PDCA-Zyklus von William Edwards Deming. PDCA steht für Plan, Do, Check und Act – also die vier Phasen, die kontinuierlich zu durchlaufen sind.

Plan

In der Planungsphase wird eine Strategie entwickelt, wie bei der Einführung oder Fortführung des Managementsystems vorzugehen ist. Dazu gehört die Verteilung von Verantwortlichkeiten sowie die Festlegung des Ressourcenbedarfs und von benötigen Kompetenzen bzw. Qualifikationen.

In der Praxis bedeutet dies, dass ein Team gebildet wird, in dem Vertreter der benötigten Fachabteilungen, wie bspw. der IT, des Qualitätsmanagements, des Datenschutzes und der Personalabteilung, sowie Mitglieder der Geschäftsführung koordiniert zusammenarbeiten. Die Ressourcen, die bei einem Managementsystem anfallen, sind größtenteils personeller, aber durchaus auch materieller Art. Wie bereits erwähnt, kann z. B. eine Software angeschafft werden, die den Managementprozess unterstützt.

Die personellen Ressourcen betreffen neben den Mitgliedern des Teams auch die übrigen Mitarbeitenden, die sich mit den neu eingeführten oder veränderten Prozessen und Richtlinien vertraut machen oder sogar bei ihrer Erstellung tatkräftig unterstützen müssen.

Qualifikationen können dabei spezifische Datenschutz- oder Informationssicherheitsschulungen für das DSMS-Team oder gar das Einberufen externer Experten für den jeweiligen Bereich sein.

Das Team legt Ziele für das Managementsystem fest, die abbilden, was damit eigentlich erreicht werden soll. Dies können grobe Ziele wie „Einhaltung der geltenden Gesetze“, aber auch spezifische Ziele wie „Wahrung der Kunden- und Betriebsgeheimisse in Projekt XY“ sein. Zur Überprüfung der Ziele werden Kennzahlen bestimmt, die im Laufe des Prozesses gemessen werden.

Sobald diese Eckpfeiler des Managementsystems festgelegt sind, kann das Risikomanagement geplant werden. Wie dieses aufgebaut ist, hängt davon ab, welcher Art dieses Managementsystem ist. In einem ISMS bspw. müssen alle Gefährdungen betrachtet werden, die auf die Assets des Unternehmens wirken können. „Assets“ können dabei Informationen, Prozesse, Anwendungen, Server, Clients, Netzwerke, Räume und Personen sein. Im DSMS hingegen geht es ausschließlich um personenbezogene Daten: Welche Risiken gibt es für den Datenschutz?

Sobald diese Gefährdungen aufgelistet sind, kann dokumentiert werden, welche Gegenmaßnahmen getroffen werden, um zu verhindern, dass diese Gefährdungen eintreten oder um den Schaden zu vermindern. Im Anschluss sind dann die Maßnahmen herauszustellen, die noch getroffen werden müssen, aber nach aktuellem Ist-Stand noch ausstehen. Diese bilden die Grundlage für die nächste Phase.

Do

In dieser Phase sollen die risikoreduzierenden Maßnahmen, die in der Planungsphase herausgestellt wurden, umgesetzt werden. Beispiele für solche Maßnahmen könnten z. B. Schulungen und Sensibilisierungen der Mitarbeitenden sein. Aber auch die Anschaffung besserer oder redundanter Hardware, die Einführung von Löschfristen oder die Etablierung eines Prozesses für Auskunftsbegehren von Betroffenen kann zur Risikominderung beitragen.

Darüber hinaus werden in dieser Do-Phase die Managementprozesse aufgebaut: Der Datenschutzbeauftragte wird in Projekte eingebunden, bestehende Methoden werden um Datenschutz-Anforderungen ergänzt und die Datenschutz-Verantwortlichen werden geschult. Um nachzuweisen, dass die Norm-Aspekte erfüllt sind, sind alle diese Tätigkeiten zu dokumentieren.

Check

Nun ist zu prüfen, ob die Ziele des Managements erreicht wurden und ob das Managementsystem die geforderte Leistung bringt. Dies kann z. B. in Form von internen und externen Audits erfolgen. Dabei kann die Konformität mit der Norm, aber auch mit der DSGVO oder anderen Regelwerken geprüft werden. Die Kennzahlen, die in der Plan-Phase festgelegt wurden, können hier zur Bewertung der Leistung des Managementsystems herangezogen werden.

Act

Aus den Ergebnissen der vorherigen Check-Phase ergeben sich To-dos, die an dieser Stelle angegangen werden müssen. Sämtliche Abweichungen, die in den Audits oder in der Auswertung der Kennzahlen festgestellt wurden, sind zu korrigieren. Somit entsteht hier der Übergang zurück zur ersten Phase (Plan), um den Zyklus erneut durchzuarbeiten.

Einführung eines Managementsystems – aber jetzt für den Datenschutz

Wer die ISO/IEC 27001 bereits eingeführt hat, wird keine großen Probleme haben, die ISO/IEC 27701 zu verstehen. Stellenweise sind die beiden Normen exakt gleich, nur dass stets die Rede von Informationssicherheit und Datenschutz ist. Darüber hinaus sind folgende Ergänzungen zu verzeichnen:

Im Kapitel 4 „Kontext der Organisation“ werden, ergänzend zur Beschreibung in der ISO/IEC 27001, die relevanten Datenschutzgesetze sowie gerichtliche Entscheidungen explizit aufgeführt, die bei der Bestimmung interner und externer Faktoren für das Managementsystem zu berücksichtigen sind.
Es ist beschrieben, dass der Anwendungsbereich (Scope) sämtliche Verarbeitungstätigkeiten umfassen muss, in denen personenbezogene Daten verarbeitet werden. Daher muss, wenn für das ISMS bereits ein Anwendungsbereich festgelegt wurde, geprüft werden, ob es an den Grenzen dieses Bereichs ggf. noch Prozesse gibt, die personenbezogene Daten betreffen, um den Scope dementsprechend zu erweitern.
Zudem müssen im Risikomanagement (Kapitel 6 „Planung“) Aspekte der Verarbeitung personenbezogener Daten explizit berücksichtigt werden. Beispiele dafür sind die Beachtung von Löschfristen, Sicherstellung der Datenminimierung sowie Sicherstellung der Zweckbindung von Daten. Die Risiken für die Betroffenen müssen dabei im Vordergrund stehen.
Es muss offiziell eine verantwortliche Person als Kontaktstelle für Betroffene bezüglich der Bearbeitung ihrer personenbezogenen Daten ernannt werden.
Die Nutzung personenbezogener Daten in Richtlinien, Verfahren und Mechanismen ist so weit zu minimieren wie möglich (Datenminimierung).
Wenn eine neue oder die Änderung einer bestehenden Verarbeitung von personenbezogenen Daten geplant ist, muss die Notwendigkeit einer Datenschutz-Folgenabschätzung (DSFA) bewertet werden. Je nach Ergebnis ist diese dann durchzuführen, bevor die Verarbeitung der Daten beginnt.

Empfehlenswert ist die Einführung des DSMS nach Fertigstellung des ISMS, da auf diesem Weg lediglich die nötigen Datenschutzaspekte zu ergänzen sind. Es ist aber durchaus auch denkbar, beide Normen gleichzeitig anzuwenden. Aufgrund der vielen Parallelen können dieselben Tools, Richtlinien und Teams zum Einsatz kommen. Schließlich ist auch bei einem ISMS der Datenschutz nicht ganz unbeteiligt und andersherum bei einem DSMS die Informationssicherheit immer involviert.

Kein Datenschutz-Zertifikat, aber …

Ein kleines Manko gibt es – wer sich bereits gefreut hat, auf diese Weise schnell und einfach ein Datenschutz-Zertifikat gemäß Art. 42 DSGVO erwerben zu können, den müssen wir zumindest teilweise enttäuschen. Das ISO/IEC 27701 Zertifikat ist nicht gleichbedeutend mit einem solchen Datenschutz-Zertifikat.

Art. 42 der DSGVO beschreibt, dass datenschutzspezifische Zertifizierungsverfahren, -siegel und -prüfzeichen nötig sind, um nachzuweisen, dass die DSGVO bei Verarbeitungsvorgängen von Verantwortlichen und Auftragsverarbeitern eingehalten wird. Art. 43 beschreibt darauf aufbauend, welche Anforderungen die Zertifizierungsstelle einhalten muss, um nach Art. 42 zu zertifizieren. So ist z. B. eine Akkreditierung nach ISO/IEC 17065 gefordert, der Zertifizierung von Produkten und Prozessen.

Obwohl auch ein Managementsystem prozessorientiert aufgebaut ist, entspricht die ISO/IEC 27701 diesen Vorgaben leider nicht vollständig, weshalb ihre Zertifizierung nicht mit einem Datenschutz-Zertifikat gleichzusetzen ist. Es kann aber durchaus als ein erster Schritt zum Datenschutz-Zertifikat genutzt werden.

Auch interessant:

Lesen Sie unsere Blogreihe zum Zertifizierungsstandard „DSGVO – information privacy standard“. In den drei Beiträgen erfahren Sie alles Wissenswerte zum neuen DSGVO-Zertifikat.

Annika Woitke | 11. März 2025 | Informationssicherheit | Art. 42 DSGVO, Audits, Datenschutz-Managementsystem, Datenschutz-Zertifikat, DSMS, Informationssicherheit, ISMS, ISO/IEC 27001, ISO/IEC 27701, Managementsystem, PDCA-Zyklus, personenbezogene Daten, PIMS, Verarbeitungsvorgänge