Alle Themen

Datenschutz International – die neue ISO/IEC 27701 Erfahrungen aus der weltweiten Pilotzertifizierung

31 Oct

  • in DSMS
  • von
  • 0

Ende Juli 2019 erschien ISO/IEC 27701 als ergänzender Datenschutz-Standard für ein Informationssicherheitsmanagementsystem (nach ISO/IEC 27001). Die Norm ergänzt das ISMS um einige Aspekte, insbesondere gibt sie zusätzliche Umsetzungshinweise für die Controls. Ergänzt wird um je einen Satz an Datenschutz-Controls für verantwortliche (Controller) und datenverarbeitende Organisationen (Processor).

Während man in Europa diskutiert, ob ISO/IEC 27701 in Kombination mit ISO/IEC 27001 (die immer als Grundlage vorhanden sein muss) nach DSGVO anerkannt werden kann oder nicht, findet bereits eine Pilotzertifizierung auf weltweiter Ebene statt. Grund der Diskussion zum Artikel 43 DSGVO ist der dort verankerte Akkreditierungsstandard ISO/IEC 17065, der sich auf Produkte, Prozesse und Dienstleistungen bezieht. ISO/IEC 27701 ist aber eine Ergänzung für ein Managementsystem, das wiederum eine Akkreditierung nach ISO/IEC 17021 benötigt.

Die weltweit erste Zertifizierung betrifft ein Unternehmen im IT-Sektor. Bereits Anfang dieses Jahres fanden erste Zertifizierungsschritte nach BS 10012 (einem nationalen britischen Datenschutzmanagementsystem-Standard) in Europa statt, die nun auf ISO/IEC 27701 umgestellt werden für Nord- und Südamerika, sowie Asien. Ich durfte mich in beiden Phasen als Auditor beteiligen.

 

Einige Lehren konnte ich, Uwe Rühl,  bereits aus dieser Pilotzertifizierung ziehen.

Wir sind bereits in der Zeit nach DSGVO

Die Welt entwickelt sich weiter und die DSGVO ist lange nicht die einzige fordernde Regulierung zum Thema Datenschutz. Weltweit entstehen Datenschutzregularien mit zum Teil drastischen Auswirkungen auf Unternehmen, wenn Anforderungen nicht eingehalten werden und es zu Datenschutzvorfällen kommt. Neben dem Californian Consumer Privacy Act entwickeln zunehmend mehr US-Bundesstaaten ihre eigenen Datenschutzgesetze (z.B. Maine und Texas). Das US-Bundesgesetz liegt zwar bis vermutlich 2022 auf Eis, aber auch hier sind Entwicklungen abzusehen. Auch in Südamerika kommen weitere Regulierung hinzu, so zum Beispiel in Brasilien.

 

Datenschutzprinzipien haben eine gemeinsame Abstammung

In ziemlich jedem Rechtsraum sehen wir eigene Begriffe und Definitionen für Datenschutzprinzipien. Am Ende beziehen sich alle mehr oder weniger auf die OECD Prinzipien zum Datenschutz, die erstmalig bereits 1980 definiert wurden. ISO/IEC 29100 hat diese aufgegriffen und für die Welt der ISO-Standards vereinheitlicht. Es macht Sinn, in einem international ausgerichtetem Datenschutzmanagementsystem diese Definitionen in der eigenen Datenschutzleitlinie zu verwenden. Ein Mapping in alle möglichen Datenschutzgesetzgebungen ist mit relativ geringem Aufwand möglich.

 

Wissen, wo Daten verarbeitet werden und wohin diese fließen

Es ist im internationalen Datenschutz wichtig zu verstehen, wo geographisch gesehen Daten verarbeitet und wohin diese übertragen werden sollen. Deshalb sollte jedes Unternehmen identifizieren:

  • Wo es selbst tätig ist durch Niederlassungen oder Vertragspartner
  • In welchen Ländern Daten von betroffenen Personen verarbeitet werden
  • In welchen Ländern Mitarbeiterinnen und Mitarbeiter ansässig sind. Der Datenschutz von Mitgliedern des Unternehmens ist in einigen Gesetzen anders geregelt, als das Verarbeiten von Kundendaten.

 

Die Rechtsgrundlagen identifizieren

Als international tätiges Unternehmen sollte man die Rechtsgrundlagen für das Erheben, Speichern und Verarbeiten von Daten genau erfassen. In einigen Ländern Südamerikas z. B. ist es nötig, auch bei vorhandener Vertragsgrundlage vor der ersten Verarbeitung eine nachweisbare Zustimmung einzuholen.

 

Datenschutzfolgenabschätzung (DPIA)

Eine Datenschutzfolgenabschätzung ist nicht nur nach DSGVO in bestimmten Fällen gefordert. Beachten Sie, dass die Definition von sensitiven oder sensiblen personenbezogenen Daten abweichen kann, was wiederum unterschiedliche Anforderungen an eine DPIA darstellen kann.

 

Datenschutz ist international!

Um mit der Komplexität der unterschiedlichen Anforderungen umzugehen, ist ein Datenschutzmanagementsystem wärmstens zu empfehlen. ISO/IEC 27701 in Zusammenhang mit ISO/IEC 27001 bietet eine gute Grundlage dafür. Allerdings muss immer das Informationssicherheitsmanagementsystem entsprechend weit und reif in der Organisation verankert sein. Eine weitere Alternative bietet der British Standard 10012 an, der auch ohne ISMS umgesetzt werden kann.

 

Kontaktieren Sie uns, wenn Sie Fragen zu Datenschutzmanagementsystemen haben. Nehmen Sie an unserem Webinar teil, in dem wir unsere internationale Erfahrung mit Ihnen teilen werden.

Über diesen Link kommen Sie einfach zur Anmeldung: http://tiny.cc/j8tffz

 

#MehrStandardsMehrSpaß #MoreStandardsMoreFun #SURVIVEANDPROSPER #PIMS #DPMS #ISO27701

 

Bildnachweis: © merznatalia von Getty Image Pro

Share on Xing
0 Kommentare

Leave a Reply

Your email address will not be published.