Halten Anforderungen der ISO 27701 der Unternehmensrealität stand?
Die Cyber-Sicherheit in Unternehmen ist von größter Bedeutung. Sicherheitszertifikate, ähnlich wie Qualitätsmanagement-Zertifizierungen, helfen einem Unternehmen bei der Schaffung eines angemessenen Datenschutzniveaus. Sobald ein Unternehmen die Zertifizierung durchläuft, kann es dieses Siegel zur Außendarstellung nutzen. Damit kann es belegen, dass es gegenüber Geschäftspartnern und Kunden bestimmte Qualitätsstandards einhält. Doch wie sieht es in der Praxis tatsächlich aus?
Man muss wissen, dass für das zu verwendende Datenschutzmanagementsystem (DSMS) keinen international gültigen Standards existieren. Indirekt verlangt die EU-Datenschutzgrundverordnung (EU-DSGVO) jedoch ein organisiertes Datenschutzmanagementsystem. Unternehmen, die bereits ein Managementsystem verwenden, haben es leichter bei beim Aufbau des geforderten DSMS. Ein DSMS kann im Personalmanagement am wirksamsten werden. Beispielsweise sind Vorgaben, die sich auf Lieferanten beziehen, mithilfe des Managementsystems leichter zu erfüllen.
Da es durchaus Schnittstellen zwischen der ISO 27701 und der EU-DSGVO gibt, können Firmen es quasi als Blaupause für den Datenschutz nutzen und so der Einhaltung der Datenschutzgrundverordnung gerecht werden.
Was ist die ISO 27701?
Diese ISO ist eine internationale Norm für Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen. In Art. 42 sieht die Datenschutzverordnung ausdrücklich die Möglichkeit der Zertifizierung vor. Um die Einhaltung der EU-Datenschutzgrundverordnung kontrollieren zu können, wurde die ISO-Norm 27701 ins Leben gerufen. Bis dato war sie als Entwurf ISO 27552 bekannt. Die inhaltlichen Erweiterungen betreffen hauptsächlich aktuelle Datenschutzgesetze und die dazugehörigen Gerichtsurteile. Ferner schreibt sie Richtlinien zur Verarbeitung personenbezogener Daten vor. Die ISO 27701 kann nur in Kombination mit der ISO 27001 umgesetzt werden.
Die neue ISO ist keine Zertifizierung
Viele Unternehmen suchen verzweifelt Zertifikate, um belegen zu können, dass sie die Forderungen der EU-Datenschutzgrundverordnung einhalten. Doch die Praxis beweist, dass Datenschutz ohne Informationssicherheit nicht möglich ist. Beide Bereiche sind eng miteinander verwoben. Obwohl die DSGVO ausdrücklich die Einführung von DSGVO-Zertifizierungen anrät, handelt es sich bei der neuen ISO nicht um eine solche. Sie ermöglicht keine Zertifizierung nach DSGVO-Vorgaben, allenfalls erleichtert sie den Nachweis des einen DSGVO-konformen Umgangs mit personenbezogenen Daten.
#dsgvo #27001 #27k1 #27701