ISO 27701 – Lohnt die Ergänzung zur ISO 27001?

Für das erste Quartal 2019 war mit der ISO 27552 eine Ergänzung zur ISO 27001/27002 angekündigt. Erweitert werden sollte diese mit Aspekten des Datenschutzes. Heute nun gibt es die neue ISO, jedoch trägt sie die Bezeichnung ISO 27701 und wird als globales Privacy Information Management System (PIMS) vorgestellt. Ziel soll dabei ein zertifizierungsfähiger Aufbau zu einer bestehenden Zertifizierung nach ISO 27001/27002 sein. Das bedeutet, dass der zertifizierte Bereich um Datenschutzaspekte erweitert wird.

Lohnt die Ergänzung?

In der Norm selbst finden sich nur spärliche und größtenteils nur wenig konkrete Informationen, wie ein Kapitel (aus der ISO 27001) oder eine Maßnahme (aus der ISO 27002) sinnvoll (im Sinne des Datenschutzes) ergänzt werden soll. Auch fehlen aus unserer Sicht wichtige Aspekte, wie die Aufgaben des Datenschutzbeauftragten. Weiterhin gilt zu bedenken, dass sich der Anwendungsbereich eines zertifizierten ISMS nach ISO 27001 auch nur auf Teile des Unternehmens beziehen kann. So werden oft Vertrieb, Buchhaltung und Personal ausgeklammert. Im Bezug auf den Datenschutz ist eine Aussparung dieser Bereiche jedoch nicht zielführend.

Die Norm ist sicherlich für Unternehmen interessant, die bereits eine Zertifizierung nach ISO 27001 erfolgreich durchlaufen haben. Wir gehen davon aus, dass es sich für zertifizierte Unternehmen zu einem “must-have” etablieren wird.

Hilft die ISO 27701 als DSGVO-Compliance-Nachweis?

Wer mit der Erfüllung der Norm und einem eventuellen Zertifikat auf den Nachweis nach Art. 42 DSGVO abzielt, wird sich sicher noch gedulden müssen, bis die DAkkS die ersten Zertifizierungsstellen akkreditiert hat. Dann könnte es sein, dass diese die Norm als Nachweis anerkennen.
In der Norm selbst findet sich ein entsprechendes Mapping, welche Artikel der DSGVO durch die entsprechende Kapitel der Norm abdeckt sind. Aus unserer Sicht sorgen die Maßnahmenbeschreibungen jedoch nicht für hinreichende Klarheit im Bezug auf den Datenschutz, so dass Unternehmen besser fahren, wenn sie ein Datenschutzmanagementsystem (DSMS) nach beispielsweise VdS 10010 etabliert haben.

Wie können wir Ihnen helfen?

Als Experten für die Einführung von ISMS und DSMS unterstützen wir Sie gerne bei der Etablierung eines ISMS nach ISO 27001 und einer Ergänzung nach ISO 27701. >Hier< erfahren sie mehr.

Erworben werden kann die Norm z.B. beim Beuth-Verlag.