Seit einiger Zeit hat die zuständige Arbeitsgruppe der ISO nun an einer Erweiterung der international anerkannten Norm ISO/IEC 27001:2013 (Anforderungen an Informationssicherheits-Managementsysteme) gearbeitet, die das Gros der Anforderungen der europäischen Datenschutzgrundverordnung erfüllen soll. Damit sollen Unternehmen die Möglichkeit erhalten, ggf. bereits bestehende organisatorische Strukturen zu nutzen, um die Compliance mit dem geltenden Datenschutzrecht herzustellen (wir erinnern uns: Die Datenschutzgrundverordnung hatte Mitte des letzten Jahres viele Unternehmen in Panik versetzt).

Dieser neue ISO-Standard, im Entwurf noch als ISO 27552 bezeichnet, wurde nun Anfang August als ISO/IEC 27701:2019 ("Security Techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines") veröffentlicht und kann bei den einschlägigen nationalen Verlegern sowie der ISO käuflich erworben werden.

Datenschutz-Management als Ergänzung von Informationssicherheits-Management

Es wird das Prinzip der Ergänzungsnormen aus der ISO 27000-Reihe aufgegriffen, das bereits aus den branchenspezifischen Sicherheitsstandards bekannt ist. ISO 27001 besteht aus zwei Teilen: den Anforderungen an das Managementsystem selbst und Referenzmaßnahmen im Annex A, die bedarfsgerecht und risikoorientiert ausgewählt werden können. Die Idee ist, dass Organisationen nur jene Sicherheitsmaßnahmen auswählen, die zur Behandlung von vorhandenen Risiken notwendig sind. Daher rührt auch die englische Bezeichnung Control im englischen Original der Norm. Diese wird im Kontext der ISO 31000 als Bezeichung für Behandlungsmaßnahme für Risiken eingeführt (Risiken werden sozusagen kontrolliert oder gesteuert). Dieser Ansatz spart Ressourcen, Kosten und Zeit.

Beim Blick in den Annex A der ISO 27001 fällt jedoch auf, dass alle Controls sehr allgemeingültig sind und viele Feinheiten aus bestimmten Branchen nicht berücksichtigt werden (immerhin ist der Standard in mehr als 190 Ländern der Erde in allen Branchen und in Organisationen jeder Größe anwendbar). Außerdem könnte es organisatorische Eigenarten geben, die im Managementsystem berücksichtigt werden müssen, um die effektive Steuerung und Kontrolle von Informationssicherheit in einigen Branchen zu gewährleisten, die in der Grundfassung der ISO 27001 nicht ausreichend behandelt werden. Hier kommen die Ergänzungsnormen ins Spiel. Diese ergänzen sowohl das Managementsystem als auch die Controls im Annex A um branchenspezifische Anforderungen und Referenzmaßnahmen; so zum Beispiel in der ISO/IEC 27019:2017, in der spezifische Anforderungen und Controls für die Energiebranche beschrieben werden.

Denselben Ansatz verfolgt die ISO nun mit dem neuen Datenschutz-Standard. ISO 27701 ergänzt den Managementsystem-Teil der ISO 27001 um Anforderungen an ein Datenschutz-Managementsystem (im Englischen Privacy Information Management System oder kurz: PIMS). Der Annex A wird um Controls ergänzt, die den Datenschutz sicherstellen sollen und zur Behandlung von Datenschutz-Risiken herangezogen werden können.

Integration verschiedener Managementsysteme nun auch mit Datenschutz

Der große Vorteil, die datenschutzrechtlichen Anforderungen mithilfe eines ISO-Managementsystems zu berücksichtigen, liegt auf der Hand: Solche Managementsysteme sind in den meisten Organisationen bereits vorhanden und Synergien können somit ausgenutzt werden. Betreibt ein Unternehmen beispielsweise ein Qualitätsmanagementsystem (ISO 9001), ein Energiemanagementsystem (ISO 50001) oder ein Business Continuity Management System (ISO 22301), sind im Grundsatz die meisten Strukturen für die erfolgreiche Umsetzung weiterer Managementsysteme bereits geschaffen, denn: alle ISO-Managementsysteme folgen demselben schematischen Aufbau, der im Annex SL der ISO beschrieben steht. Somit lassen sich prinzipiell auch alle ISO-Managementsysteme miteinander integrieren; dies spart Aufwand im Betrieb und auch im Rahmen einer Zertifizierung.

Welche Art der Zertifizierung wird es geben?

Strittig ist zurzeit, ob es ein gesondertes Zertifikat für Unternehmen in Deutschland geben wird, das die Konformität mit ISO 27701 bestätigt, oder, ob es sich lediglich um eine Erweiterung der ISO 27001 handeln wird, für die kein spezielles Zertifikat geben wird. Ein Hinweis darauf, dass das Datenschutz-Managementsystem als solches zertifizierungfähig sein wird, geht zunächst rein aufgrund der Nummerierung des Standards hervor: 27701. In der Regel sind Managementsysteme, deren Nummer mit einer Eins endet, eigenständig und können zertifiziert werden, sofern die nationalen Akkreditierungsstellen entsprechende Schritte einleiten. Da es sich inhaltlich allerdings um eine Erweiterung der bestehenden ISO 27001 handelt, werden mindestens die dort beschriebenen Anforderungen ebenfalls umgesetzt werden müssen.

Daraus ergibt sich zurzeit das folgende Bild:

  • Unternehmen müssen in jedem Fall ISO 27001 umsetzen, um ISO 27701 ebenfalls einführen zu können.
  • Strittig ist, ob es für ISO 27701 ein separates Zertifikat geben wird, oder, ob nach wie vor lediglich die wirksame Umsetzung der ISO 27001 mit einem Zertifikat nachgewiesen werden kann.
  • Denkbar wäre auch, dass zwar die Strukturen der ISO 27001 umgesetzt werden müssen, die Organisation jedoch ausschließlich ein Zertifikat über die Erfüllung der ISO 27701 erhalten kann (auch ohne eine bestehende Zertifizierung gegen ISO 27001).

Wird die Umsetzung der ISO 27701 ausreichen, um die Konformität mit Art. 42 DSGVO herzustellen?

Die Datenschutzgrundverordnung fordert in Artikel 42 auf freiwilliger Basis eine Zertifizierung, die belegt, dass die Datenschutz-Anforderungen in einer Organisation angemessen berücksichtigt sind. Zurzeit gibt es in Deutschland keine Möglichkeit, die Compliance mit dieser Forderung herzustellen. Daher ist es für Unternehmen wichtig zu wissen, ob denn der neue Standard dazu geeignet ist, diesen Artikel der DSGVO zu erfüllen, oder nicht. Vorweg: Auch dieser Punkt ist zurzeit strittig.

Für die Akkreditierung eines Datenschutz-Prüfzeichens oder Zertifizierungsverfahrens sieht die DSGVO zwei Möglichkeiten vor.

Die erste Möglichkeit lautet, dass die zuständige Datenschutz-Behörde die Akkreditierung durchführt.

Die zweite Möglichkeit lautet, dass die nationale Akkreditierungsstelle (in Deutschland ist dies die DAkkS) die Akkreditierung unter Berücksichtigung der Anforderungen aus EN-ISO/IEC 17065 durchführt. Der vorgenannte Standard entspringt jedoch dem Feld der Produktzertifizierung und nicht der Akkreditierung von Prüfverfahren für Managementsysteme. So müsste für ein solches Prüfverfahren für Managementsysteme stattdessen der Standard ISO 17021 herangezogen werden, der jedoch in der Datenschutzgrundverordnung keine Verankerung findet.

Damit stellt es sich augenscheinlich so dar, dass die DAkkS zurzeit in Deutschland kein ISO-Managementsystem im Kontext der DSGVO akkreditieren kann und hierzulande damit ISO 27701 nicht dazu geeignet ist, die Konformität mit Artikel 42 DSGVO nachzuweisen.

Lohnt sich die Einführung von ISO 27701?

Tatsächlich bietet die ISO 27701 die Möglichkeit, den größten Teil der Anforderungen aus der Datenschutzgrundverordnung zu erfüllen. Auch, wenn es zurzeit kein Zertifikat als Nachweis für die Konformität auf dem deutschen Markt gibt, bietet der Standard somit den großen (und zurzeit einzigartigen) Mehrwert, dass er den Rahmen für die Erfüllung fast aller Datenschutz-Anforderungen bietet und sich nahtlos mit bestehenden Managementsystemen integrieren lässt. Somit wird der Datenschutz im Unternehmen kein separates Thema, sondern in bestehende Strukturen mit aufgenommen. Dies erhöht die Effektivität des gesamten integrierten Managementsystems unter gleichzeitig überschaubarem Ressourceneinsatz. Unternehmen, die sichergehen wollen, dass sie DSGVO-konform arbeiten, sollten  die Umsetzung der ISO 27701 erwägen.

ISO 27701: https://www.iso.org/standard/71670.html

ISO 27001: https://www.iso.org/standard/54534.html

Art. 42 DSGVO: https://dsgvo-gesetz.de/art-43-dsgvo/

Art. 43 DSGVO: https://dsgvo-gesetz.de/art-43-dsgvo/

ISO 17065: https://www.iso.org/standard/46568.html

ISO 17021: https://www.iso.org/standard/71102.html

Titelbild: https://pixabay.com/de/photos/regulierung-bipr-daten-schutz-3246979/