Die Internationale Organisation für Normung hat im August 2019 mit ISO 27701 eine neue Norm veröffentlicht. Sie lehnt sich eng an ISO 27001 und ergänzt, was ISO 27001 im Hinblick auf den Datenschutz fehlt.
Mit der neuen Norm ISO 27701, ihre vollständige Bezeichnung lautet ISO/IEC 27701:2019-08 „Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“, haben die International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) die ISO-27000-Familie weiter ausgebaut. Zentrale Norm ist die ISO 27001, die die Anforderungen an ein Informations Security Management System (ISMS, Managementsystem für Informationssicherheit) für die Zertifizierung beschreibt. Dazu kommen in der Reihe zahlreiche weitere Normen, die die Anforderungen an Informationssicherheit konkretisieren und bei der Umsetzung helfen.
Das ISMS definiert die Verfahren, Regeln und Maßnahmen in Unternehmen, mittels derer sie Informationssicherheit definieren, steuern, kontrollieren, aufrechterhalten und optimieren können. Informationssicherheit bezieht sich auch auf „Werte“. Darunter lassen sich alle für eine Organisation wichtigen Daten verstehen; personenbezogene Daten können, aber müssen nicht zwangsläufig darunter fallen. Das ist zu wenig, um den Schutz personenbezogener Daten sicherzustellen.
Datenschutz ergänzt Informationssicherheit
Diesen Mangel behebt ISO 27701. Sie ist eng an ISO 27001 angelehnt und ergänzt, was der Norm an Datenschutzaspekten abgeht. Statt auf Informationssicherheit bezieht sie sich auf Datenschutz und damit auf den Umgang mit personenbezogenen Daten, so dass sich in dem zu zertifizierenden Managementsystem für Informationssicherheit zusätzlich ein Managementsystem für Datenschutz integrieren lässt. ISO 27701 ist keine „richtige“ Norm insofern, als sie lediglich eine Ergänzung zu ISO 27001 darstellt und eine Zertifizierung allein nach der neuen ISO 27701 nicht möglich ist. Damit ein Unternehmen Konformität mit ISO 27701 erreicht, muss es sämtliche Anforderungen von ISO 27001 erfüllen.
Lösung für das Zertifizierungsproblem?
Obwohl ISO 27701 unter anderem die Grundsätze der DSGVO aufgreift und Unternehmen bei der Einhaltung der DSGVO unterstützt, ist mit einer Zertifizierung im Hinblick auf die DSGVO nicht alles gewonnen. Das liegt, wie einem Beitrag in datenschutzexperte.de zu entnehmen ist, am „geringeren Umfang von ISO 27701“, aber auch, laut datenschutzbeauftragter-info.de, an Formalien, die die zertifizierende Stelle betreffen: In Artikel 42 sieht die DSGVO die Möglichkeit einer Zertifizierung vor, in Artikel 43 fordert sie eine Zertifizierung nach ISO 17065, „die auf eine Zertifizierung von Produkten und Prozessen ausgerichtet ist“, während ISO 27701 als Erweiterung von ISO 27001 nach ISO 17021 zertifiziert wird, mit Schwerpunkt auf Managementsysteme.
Dennoch wird die neue Norm ISO 27701 als Erleichterung des Nachweises eines „DSGVO-konformen Umgangs mit personenbezogenen Daten“ einhellig als „Schritt in die richtige Richtung“ begrüßt, die „einen wichtigen Beitrag hin zu einem pragmatischen und effektiven Datenschutz“ leisten kann.