ISO-Norm für Datenschutz - FAST! Es wäre zu schön gewesen
Arnold Redhammer | 08.December 2019Artikelinhalt
Es gibt sie... es gibt sie nicht... es..., nein es gibt Sie nicht die ISO-Zertifizierung für DSGVO aber es gibt die ISO/IEC 27701:2019 mit dieser kann zumindest das DSMS (Datenschutzmanagementsystem) zertifiziert werden. Wir empfehlen auf jeden Fall diese Norm zu berücksichtigen wenn Sie ohnehin vor haben die ISO 27001 einzuführen und sich zertifizieren zu lassen da diese schön ineinander greifen und sich der Mehraufwand in bescheidenen Grenzen hält.
Eine Kurze Auflistung von Datenschutzgesetzten die Sie vielleicht ich irgendeiner Form betreffen oder von welcher Sie vielleicht schon mal gehört haben:
- Der Data Protection Act
- DSG (das Österreichishe Datenschutz Gesetz)
- BDSG (das Bundes Datenschutz Gesetz in Deutschland)
- DSGVO
- California Consumer Privacy Act
- LGPD (Lei Geral de Protecao de Dados in Brasilien ab Februar 2020)
Und das sind nur einige der weltweit gültigen Datenschutzgesetze, welche allesamt den Schutz von personenbezogenen Daten verfolgen.
Doch wie so oft gibt es teils diverse Unterschiede im Detail.
Um Unternehmen allgemein gültige Handlungsempfehlungen vorzugeben wurde von der Organisation Internationale de Normalisation ein neuer ISO-Standard erlassen. Während in der Entwurfsphase immer von der Norm 27552 gesprochen wurde, lautet die finale Version nun ISO/IEC 27701:2019. Bereits aus den Namensgebungen erkennt man, dass es sich um eine Norm aus der Informationssicherheitsfamilie handelt.
Die Norm selbst behandelt nicht den Datenschutz von bestimmten Produkten oder Dienstleistungen, sondern den Aufbau eines funktionierenden Datenschutzmanagementsystems (DSMS). Durch die seit 2012 eingeführte High Level Structure lässt sich das DSMS sehr leicht in bereits bestehende ISO Normen integrieren, insbesondere wenn bereits eine ISO 27001 Zertifizierung vorliegt.
Spätestens wenn eine ISO 27001 Zertifizierung angestrebt wird, sollte aufgrund des überschaubaren (Zusatz-)Aufwandes auch die ISO 27701 implementiert werden.
Der Vorteil besteht am Ende darin, dass bei Einhaltung der Norm Anfragen von Betroffenen oder einer Datenschutzbehörde durch vordefinierte Prozesse und Richtlinien leicht und gesetzeskonform abgearbeitet werden und man ebenso den aus Art 32 DSGVO geforderten Stand der Technik erfüllt und nachweisen kann.
