ISO 27701 Beratung

Wie mit der DSGVO umgehen, wenn es gar keine passende Zertifizierung gibt?

Die Datenschutzgrundverordnung DSGVO hat 2018 viel Staub aufgewirbelt. Große Ängste – sogar Panik – wurden geschürt, viel Arbeit (und Kosten) verursacht und letztendlich ist bis heute nur wenig passiert. Bis Mai 2019 gab es laut Auskunft der Datenschutzbeauftragten der Bundesländer lediglich 75 Fälle, in denen wegen der DSGVO ein Bußgeld verhängt wurde. Auch die Gesamtsumme der Bußgelder ist mit knapp 450.000 Euro in diesen 75 Fällen noch sehr überschaubar. Viele Unternehmen können sicherlich sagen, dass diese im Schnitt 6.000 Euro Bußgeld je Fall geringer ausfallen, als ihre Kosten bei der Umsetzung der DSGVO.

Ganz so einfach ist es aber natürlich nicht. Die DSGVO wimmelt nur so von juristischen Fein- und Unklarheiten, die zunächst einer klaren Rechtsprechung bedürfen. Sind diese Fälle einmal geklärt, dann werden sich Verfahren wegen Verstößen gegen die DSGVO sicher auch häufen.

Datenschutz ist langfristig nicht vernachlässigbar für ein Unternehmen oder auch Einzelunternehmen und Dienstleister. War es lange Zeit vielen Internetnutzern und Konsumenten recht egal, was mit ihren Daten geschieht, so kommt inzwischen eine Generation nach, die mit dem Laptop und dem Smartphone wie selbstverständlich aufgewachsen ist und insofern auch sensibilisiert ist, was die Verwendung ihrer Daten angeht. Datenschutz ist also nicht nur rechtlich von Bedeutung, sondern heute auch ein klares Qualitätsmerkmal für Anbieter eines Produktes oder einer Dienstleistung. Schlampiger und fahrlässiger Umgang mit Daten kann schnell dazu führen, dass man auf hart umkämpften Märkten keine Chance mehr hat.

Aktuell stellt sich aber noch ein ganz besonderes Problem: Man kann sich aktuell gar nicht „DSGVO-zertifizieren“ lassen. Die DSGVO beschreibt zwar recht klar die Randbedingungen für eine geeignete Zertifizierung (Art 42+43), aber dennoch gibt es bis heute keine offiziell anerkannte und genehmigte Zertifizierung. Heißester Anwärter für eine kommende Zertifizierung, die auch der DSGVO genügen könnte, ist heute die ISO/IEC 27701, die als Entwurf noch unter der Bezeichnung ISO/IEC 27552 entwickelt wurde.
Die ISO/IEC 27701 ist ganz konkret als Ergänzung für die Normen ISO 27001 (Informationssicherheit) und ISO 27002 (Kontrollmechanismen für die Informationssicherheit) gedacht, um datenschutzspezifische Aspekte in diese zu integrieren.

ISO 27701 als eine mögliche zukünftige „DSGVO Zertifizierung“

Der englische Originaltitel „Extensions to ISO/IEC 27001 and ISO/IEC 27002 for privacy management“ erläutert schon sehr deutlich, welcher Hintergrund der ISO 27701 zugedacht werden soll. Sie definiert sowohl Anforderungen als auch Empfehlungen für eine Umsetzung der Normen ISO 27001 und ISO 27002 unter dem Gesichtspunkt des Datenschutzes. Außerdem definiert die ISO 27701 gegenüber der ISO 27001 auch neue Ziele und Maßnahmen. Praktisch liefert die Norm umfangreiche Vorschläge für die Umsetzung einer Datenerhebung und -verarbeitung, eine datenschutzfreundliche technische Umgebung, Informationspflichten gegenüber Betroffenen und Dritten sowie der Übertragung und Übermittlung personenbezogener Daten.

Da die ISO 27701 eine Ergänzung der ISO 27001 darstellt, liegt ihr Fokus weniger auf der Datensicherheit, sondern in der Kontrolle der Daten bei gleichzeitiger Einhaltung von gültigen rechtlichen Vorgaben (wie etwa der DSGVO).

ISO 27701 Beratung mit PeRoBa München

Das Thema ISO 27701 ist noch relativ jung. Daher gibt es für die Praxis auch noch nicht besonders viele best-practices für ihre Umsetzung, insbesondere in enger Anlehnung an die DSGVO. Mittel- bis langfristig erscheint die ISO 27701 aber als deutlich aussichtsreichster Kandidat für eine zertifizierbare Umsetzung von Datenschutz im eigenen Unternehmen oder der eigenen Organisation. In jedem Fall kann die ISO 27701 auch schon heute sinnvoll eingesetzt werden, wenn große Mengen personenbezogener Daten erfasst, verarbeitet und benutzt werden müssen. Im Zweifel ist die ISO 27701 (ISO 27552) heutzutage die beste Voraussetzung, um die eigene Sorgfaltspflicht im Umgang mit Personendaten belegen zu können. Für Unternehmen, die bereits nach ISO 27001 zertifiziert sind, halten sich die notwendigen Anpassungen in der Praxis zumeist in Grenzen.

Wir von der PeRoBa Unternehmensberatung München helfen ihnen mit unserer langjährigen Expertise im Aufbau von komplexen Qualitätsmanagementsystemen auch in diesem noch recht neuen Themenbereich individuell und zielgerichtet weiter. Mit uns können sie Vorreiter sein, in einem Bereich, der zukünftig immer wichtiger werden wird – ganz unabhängig von rechtlichen Vorgaben und Vorschriften. Ein belegbarer Datenschutz schafft Vertrauen und stärkt das Image der eigenen Marke.

ISO 27001 Beratung und Zertifizierung
– (Foto: Olivier Le Moal @fotolia.com)

Datenschutz mit ISO 27701 ... was können wir für Sie tun?