02671 Kurzhinweise: ISO/IEC 27701
|
Die neue ISO/IEC 27701:2025 macht aus dem bisherigen Privacy-Standard eine eigenständig zertifizierbare Managementnorm für Datenschutzmanagementsysteme. Der Beitrag zeigt, was sich gegenüber der ISO/IEC 27701:2019 geändert hat, welche Rolle PIMS und DSMS künftig spielen und warum die Norm für Unternehmen mit DSGVO-Bezug, ISO-27001-Umfeld und Auftragsverarbeitung besonders relevant ist – ein kompakter Überblick über Struktur, Zertifizierbarkeit, PDCA-Ansatz und Praxisnutzen. von: |
1 Einleitung
Die Einführung der ISO/IEC 27701 im Jahr 2019 wurde in der Praxis mit Spannung erwartet. Denn damit sollte das Thema „Informationssicherheit” international durch die Kombination mit dem „Datenschutz” auf ein neues Level gehoben werden. Ein Vorteil, den man sich in der Praxis versprach, war, dass man dank dieser Norm nur noch ein Managementsystem benötigen würde, nämlich ein ISMS, mit dem man die Anforderungen sowohl an ein ISMS als auch an ein Datenschutz-/bzw. Privacy-Information-Management-System (DSMS/PIMS) gemeinsam unter dem Regime des in der Organisation etablierten ISMS abbilden könnte.
Integriert...
Damit war mit Einführung dieser Norm zu beobachten, dass immer mehr Unternehmen/Organisationen versuchten, den Datenschutz im Rahmen der Informationssicherheit abzubilden und damit ein einheitliches Managementsystem zu betreiben.
Damit war mit Einführung dieser Norm zu beobachten, dass immer mehr Unternehmen/Organisationen versuchten, den Datenschutz im Rahmen der Informationssicherheit abzubilden und damit ein einheitliches Managementsystem zu betreiben.
Vs. eigenständig
Doch in der Praxis zeigte sich ein Problem, das den Erstellern wohl bei der Entwicklung der Norm gar nicht so bewusst gewesen sein dürfte. Denn je beliebter die Norm wurde und je mehr sie sich als eine sinnvolle Ergänzung für die Praxis erwies, desto lauter wurde der Ruf nach einer eigenen Zertifizierungsmöglichkeit des „Datenschutzes” im Rahmen der Informationssicherheit. Dienstleister (Berater), die ihre Kunden sowohl beim Datenschutz als auch bei der Informationssicherheit unterstützten, wünschten sich, beide Bereiche (getrennt voneinander) zertifizieren zu können.
Doch in der Praxis zeigte sich ein Problem, das den Erstellern wohl bei der Entwicklung der Norm gar nicht so bewusst gewesen sein dürfte. Denn je beliebter die Norm wurde und je mehr sie sich als eine sinnvolle Ergänzung für die Praxis erwies, desto lauter wurde der Ruf nach einer eigenen Zertifizierungsmöglichkeit des „Datenschutzes” im Rahmen der Informationssicherheit. Dienstleister (Berater), die ihre Kunden sowohl beim Datenschutz als auch bei der Informationssicherheit unterstützten, wünschten sich, beide Bereiche (getrennt voneinander) zertifizieren zu können.
Problem Zertifizierbarkeit
Da die ISO/IEC 27701:2019 eine Norm war, die unter dem Regime der ISO/IEC 27001 stand, war sie für sich gesehen nicht eigenständig zertifizierbar. Insbesondere beschrieb die alte ISO/IEC 27701:2019 kein eigenes, zertifizierbares Managementsystem. Der Systematik der Norm widersprechend, gab es jedoch Dienstleister, die eigenständig eine Zertifizierung des Datenschutzes unter der ISO/IEC 27701:2019 anboten. Das wiederum sorgte in der Branche, die sich weitgehend an die Systematik der Norm hielt, für Unmut und führte zu (wettbewerbsrechtlichen) Streitigkeiten. Mit der neuen ISO/IEC 27701:2025 [1] dürfte jedenfalls das Problem der fehlenden Zertifizierbarkeit der Vergangenheit angehören.
Da die ISO/IEC 27701:2019 eine Norm war, die unter dem Regime der ISO/IEC 27001 stand, war sie für sich gesehen nicht eigenständig zertifizierbar. Insbesondere beschrieb die alte ISO/IEC 27701:2019 kein eigenes, zertifizierbares Managementsystem. Der Systematik der Norm widersprechend, gab es jedoch Dienstleister, die eigenständig eine Zertifizierung des Datenschutzes unter der ISO/IEC 27701:2019 anboten. Das wiederum sorgte in der Branche, die sich weitgehend an die Systematik der Norm hielt, für Unmut und führte zu (wettbewerbsrechtlichen) Streitigkeiten. Mit der neuen ISO/IEC 27701:2025 [1] dürfte jedenfalls das Problem der fehlenden Zertifizierbarkeit der Vergangenheit angehören.
Rechenschaftspflicht erfüllen
Wie auch ihre Vorgängernorm adressiert die ISO/IEC 27701:2025 (siehe hierzu auch Normanhang D) alle wesentlichen Bereiche der DSGVO. Daher kann, wenn eine Organisation ein solches PIMS/DSMS umgesetzt hat, durchaus eine Vermutungswirkung dafür bestehen, dass sie mit der Umsetzung der Norm auch die wesentlichen Anforderungen der DSGVO adressiert und abgebildet hat. Durch die Einführung eines PIMS entsprechend der ISO/IEC 27701 lassen sich damit nach Ansicht des Verfassers wesentliche Aspekte der sog. Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO erfüllen. Gerade bei etwaigen Bußgeldfällen könnte sich das Etablieren eines solchen Systems daher durchaus positiv für den „beschuldigten” Verantwortlichen/Auftragsverarbeiter auswirken, da er damit theoretisch in der Lage sein sollte nachzuweisen, dass er alles „richtig” gemacht hat.
Wie auch ihre Vorgängernorm adressiert die ISO/IEC 27701:2025 (siehe hierzu auch Normanhang D) alle wesentlichen Bereiche der DSGVO. Daher kann, wenn eine Organisation ein solches PIMS/DSMS umgesetzt hat, durchaus eine Vermutungswirkung dafür bestehen, dass sie mit der Umsetzung der Norm auch die wesentlichen Anforderungen der DSGVO adressiert und abgebildet hat. Durch die Einführung eines PIMS entsprechend der ISO/IEC 27701 lassen sich damit nach Ansicht des Verfassers wesentliche Aspekte der sog. Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO erfüllen. Gerade bei etwaigen Bußgeldfällen könnte sich das Etablieren eines solchen Systems daher durchaus positiv für den „beschuldigten” Verantwortlichen/Auftragsverarbeiter auswirken, da er damit theoretisch in der Lage sein sollte nachzuweisen, dass er alles „richtig” gemacht hat.
2 Herausforderungen, Herangehensweise sowie Adressatenkreis
Ziel: zertifizierbares Managementsystem
Wie vorstehend angesprochen, war eine der maßgeblichen Intentionen der Ersteller der neuen ISO/IEC 27701:2025, die alte Norm in die Form eines zertifizierbaren Managementsystems zu transformieren. Daher mussten insbesondere auch die Anforderungen des Deming-Zyklus und damit das bekannte Prinzip Plan-Do-Check-Act (PDCA) auf den Datenschutz konsequent übertragen werden.
Wie vorstehend angesprochen, war eine der maßgeblichen Intentionen der Ersteller der neuen ISO/IEC 27701:2025, die alte Norm in die Form eines zertifizierbaren Managementsystems zu transformieren. Daher mussten insbesondere auch die Anforderungen des Deming-Zyklus und damit das bekannte Prinzip Plan-Do-Check-Act (PDCA) auf den Datenschutz konsequent übertragen werden.
Dabei galt es jedoch stets zu gewährleisten, dass diese internationale Norm weiterhin auch konform zu den jeweils geltenden (nationalen) gesetzlichen Anforderungen bleibt, insbesondere denen der DSGVO.
Adressat: Verantwortliche und Verarbeiter
Wie auch ihre Vorgängerin richtet sich die neue ISO/IEC 27701:2025 (entsprechend den DSGVO-Begrifflichkeiten) zum einen an Datenschutzverantwortliche, einschließlich jener, die die Betroffenendaten in gemeinsamer Verantwortlichkeit verarbeiten, darüber hinaus aber auch an Auftragsverarbeiter, inkl. etwaiger Unterauftragsverarbeiter, die für den Auftragsverarbeiter Datenverarbeitungsleistungen erbringen, die letztlich auch den Verantwortlichen und seine Daten betreffen.
Wie auch ihre Vorgängerin richtet sich die neue ISO/IEC 27701:2025 (entsprechend den DSGVO-Begrifflichkeiten) zum einen an Datenschutzverantwortliche, einschließlich jener, die die Betroffenendaten in gemeinsamer Verantwortlichkeit verarbeiten, darüber hinaus aber auch an Auftragsverarbeiter, inkl. etwaiger Unterauftragsverarbeiter, die für den Auftragsverarbeiter Datenverarbeitungsleistungen erbringen, die letztlich auch den Verantwortlichen und seine Daten betreffen.
Relevanz des Nachweises
Mit der Umsetzung der Norm und ggf. einer darauf aufbauenden entsprechenden Zertifizierung soll eine Organisation nachweisen können, dass sie die Anforderungen der Norm erfüllt und gemäß den (normativen) Anforderungen mit den ihr überlassenen Betroffenendaten umgeht. Eine Zertifizierung kann laut der Norm bspw. verwendet werden, um Vertragsverhandlungen mit Geschäftspartnern zu erleichtern, bei denen die Verarbeitung von personenbezogenen Daten für beide Seiten relevant ist. Im Geltungsbereich der DSGVO (insbesondere in der EU) ist dies praktisch immer der Fall, weshalb ein solcher Nachweis mit einem Zertifikat immer von Relevanz sein und sich positiv auswirken dürfte.
Mit der Umsetzung der Norm und ggf. einer darauf aufbauenden entsprechenden Zertifizierung soll eine Organisation nachweisen können, dass sie die Anforderungen der Norm erfüllt und gemäß den (normativen) Anforderungen mit den ihr überlassenen Betroffenendaten umgeht. Eine Zertifizierung kann laut der Norm bspw. verwendet werden, um Vertragsverhandlungen mit Geschäftspartnern zu erleichtern, bei denen die Verarbeitung von personenbezogenen Daten für beide Seiten relevant ist. Im Geltungsbereich der DSGVO (insbesondere in der EU) ist dies praktisch immer der Fall, weshalb ein solcher Nachweis mit einem Zertifikat immer von Relevanz sein und sich positiv auswirken dürfte.
Die Norm ermöglicht es einer Organisation ferner, ihr Datenschutz-Informationsmanagementsystem (PIMS) an den Anforderungen anderer Managementsysteme auszurichten, insbesondere an denen eines ISMS gemäß ISO/IEC 27001. Somit wird deutlich, dass es nach der neuen ISO/IEC 27701:2025 nun nicht mehr zwingend notwendig ist, dass die Organisation ein zertifiziertes ISMS betreibt. Vielmehr ist die ISO/IEC 27701:2025 nun selbst eine eigenständige, zertifizierbare Managementnorm, weshalb es in Normkapitel 1 auch nur noch heißt, dass ein (weiteres) Managementsystem, insbesondere ein ISMS gemäß ISO/IEC 27001, sinnvoll ist. Zwingende Voraussetzung wie in der alten ISO/IEC 27701:2019 ist ein ISMS jedoch nicht mehr.