Wie schon in einem früheren Beitrag von uns geschrieben, werben viele Unternehmen mit einem DSGVO Zertifikat welches aber nicht auf einem Standard oder einer Norm beruht sondern auf hauseigenen Regeln. Für Unternehmen, welche bereits eine ISO 27001 Zertifizierung besitzen gibt es nun eine Lösung.
ISO/IEC 27701 als Ergänzungsnorm
Die ISO/IEC 27701 dient als Ergänzung zur ISO/IEC 27001 und fokussiert sich auf Datenschutz-Aspekte. Sie kann nur in Verbindung mit einem bestehenden ISMS zertifiziert werden. Diese Erweiterung ermöglicht es Unternehmen, ihr Datenschutzmanagement zu standardisieren und zu verbessern. Dabei werden weitere Anforderungen aufgenommen und können im Rahmen eines Audits geprüft und zertifiziert werden.
Datenschutz vs. Informationssicherheit
Es ist wichtig zu verstehen, dass die ISO/IEC 27701 keine eigenständige Zertifizierungsnorm ist. Sie zertifiziert ein ISMS gemäß ISO/IEC 27001 unter Einbeziehung von Datenschutzaspekten. Im Gegensatz zu einem DSGVO-Zertifikat liegt der Fokus hier nicht auf der Datenverarbeitung, sondern auf einem Managementsystem mit Prozessen für den Datenschutz.
Relevanz und Nutzen eines zertifizierten Datenschutz-Managementsystems
Ein zertifiziertes Datenschutz-Managementsystem dient nicht nur der Einhaltung von Datenschutzvorschriften, sondern auch der Identifizierung und Vermeidung von Datenschutzverletzungen. Es trägt zur Erfüllung von Rechenschafts– und Nachweispflichten bei und stärkt das Vertrauen in die datenschutzrechtlichen Prozesse eines Unternehmens. Darüber hinaus kann es positive Auswirkungen auf die Einhaltung des Datenschutzes im Unternehmen haben und wird wahrscheinlich auch von Datenschutzaufsichtsbehörden positiv bewertet.
Unterschied zur Zertifizierung gemäß Artikel 42 DSGVO
Während die ISO/IEC 27701 ein Managementsystemzertifikat ist und von Zertifizierungsstellen ausgegeben wird, bezieht sich ein Zertifikat nach Artikel 42 DSGVO auf eine andere Akkreditierungsnorm. Ein DSGVO-Zertifikat bestätigt die Einhaltung der DSGVO für eine spezifische Datenverarbeitung und unterliegt einem eigenen Genehmigungsprozess, der in Deutschland noch andauert. Ob dieser Prozess in 2024 abgeschlossen ist, wir hoffen es, wissen es aber nicht.
Fazit
Ein Datenschutz-Managementsystem nach ISO/IEC 27701 stellt eine sinnvolle Erweiterung für Unternehmen dar, die bereits ein ISMS nach ISO/IEC 27001 implementiert haben. Es bietet einen strukturierten Ansatz, um Datenschutzprozesse zu verwalten und zu verbessern. Während DSGVO-Zertifikate noch in der Entwicklung sind, bietet die ISO/IEC 27701 bereits jetzt eine Möglichkeit, Datenschutzmanagement systematisch anzugehen und zu zertifizieren.