ISO 27701 Zertifizierung

Der Besitz und die Nutzung personenbezogener Daten sind natürlich mit Risiken verbunden. Häufig sind diese Daten jedoch für den Geschäftsbetrieb unerlässlich und müssen daher ordnungsgemäß eingesetzt werden, um Risiken zu verringern.

Indem Sie dies mit der ISO 27701 systematisch angehen, gehen Sie aktiv gegen diese Datenschutzrisiken vor. Die daraufhin eingeführten Maßnahmen verringern die Risiken und schützen auch besser vor Datenlecks.

Organisationen, die personenbezogene Daten im Auftrag ihrer Kunden (weiter) verarbeiten, müssen hinreichende Garantien dafür bieten, dass dieser Vorgang mit den Anforderungen des BDSG übereinstimmt. Mit einem Datenschutz-Informationsmanagementsystem (PIMS) erzeugen Sie einen dokumentierten Nachweis darüber, wie personenbezogene Daten verarbeitet werden. Auf diese Weise zeigen Sie, dass Sie sorgfältig darüber nachgedacht haben und welche Maßnahmen Sie ergriffen haben. 

Organisationen, für die das BDSG gilt, können mit einer ISO 27701-Zertifizierung nachweisen, dass sie geeignete technische und organisatorische Maßnahmen getroffen haben, um die Einhaltung der Anforderungen des BDSG zu gewährleisten (auch wenn es sich bei dem ISO-Datenschutzzertifikat nicht um ein "BDSG-Zertifikat" handelt).

Ein ISO 27701-Zertifikat zeigt, dass Sie klare Schritte zum angemessenen Schutz personenbezogener Daten unternommen haben. Diese Art des Engagements kann sich z. B. auf Ihre Wettbewerbsposition auswirken. Und während viele erklären, dass sie den Datenschutz ernst nehmen, haben Sie tatsächlich bewiesen, dass Sie dies tun.

Darüber hinaus verschafft Ihnen die Umsetzung der ISO 27701 Einblick und Kontrolle, wenn es um den Datenschutz geht. So behalten Sie selbst die Kontrolle darüber, wie personenbezogene Daten in Ihrem Unternehmen gehandhabt werden.

Die Umsetzung von ISO 27701 kann Kunden, Partnern und anderen Beteiligten zeigen, dass Ihr Unternehmen den Datenschutz sehr ernst nimmt und sich wirklich für den Schutz personenbezogener Daten einsetzt. Auf diese Weise entwickeln Sie einen positiven Ruf, der auf Transparenz beruht.

Mit einem zertifizierten PIMS können Sie verschiedenen Interessengruppen, insbesondere Ihren Kunden, zeigen, dass Sie auch deren Datenschutz(-verpflichtungen) ernst nehmen und Sicherheitsvorkehrungen treffen. Und da PIMS auch die Kontrolle über den Rest der Verarbeitungskette durchsetzt, bauen Sie das Vertrauen Ihrer Kunden in Sie auf.

Wenn Sie mit der ISO 27701 beginnen, arbeiten Sie systematisch an einem Datenschutz, der durch den Zertifizierungsprozess strukturell geprüft wird. Allein dadurch haben Sie einen guten Überblick über den Stand der Einhaltung des Datenschutzes und der Gesetzgebung bei Compliance-Projekten.

Dieser Nachweis macht die interne Überwachung durch Datenschutzbeauftragte sehr effizient. Sie sind aber auch in der Lage, im Falle einer externen Kontrolle durch eine Behörde für personenbezogene Daten einen angemessenen Nachweis zu erbringen.

In immer mehr Fällen stellen wir fest, dass Organisationen, die im Rahmen des Lieferantenmanagements bewertet werden, weniger Aufwand betreiben müssen, wenn sie zertifiziert sind. So akzeptieren beispielsweise einige Auftraggeber bei ihren Lieferantenbewertungen die ISO 27001-Zertifizierung ihrer Lieferanten anstelle des Sicherheitsteils, und die ISO 27701-Zertifizierung anstelle des Datenschutzteils. Unternehmen müssen also keine unabhängigen externen Prüfer mehr beauftragen, um dies nachzuweisen.

Beide Zertifizierungen zusammen können die Anforderungen Ihrer Auftraggeber erfüllen.

Weil Sie nachweislich am Schutz personenbezogener Daten arbeiten, sichern Sie auch Ihr Wissen über den Datenschutz. Da die Besorgnis über den Datenschutz in den letzten Jahren erheblich zugenommen hat, kann eine Zertifizierung nach ISO 27701 viel dazu beitragen, die öffentliche Wahrnehmung der Datenschutzpraktiken in Ihrer Organisation zu verbessern.

Ihr Ruf als Unternehmen, das den Datenschutz tatsächlich ernst nimmt, stärkt Ihre Position auf dem Markt. Eine ISO 27701-Zertifizierung ist in der Tat ein zusätzlicher Vorteil, der auf einer Garantie beruht, die Sie Ihren Kunden geben können: Während Sie Informationen sichern, arbeiten Sie systematisch daran, persönliche Daten zu schützen.

PII personally identifiable  information / pbD – personenbezogene Daten
PII controller / pbD-Beauftragter
PII principal / Betroffene Person
PII processor / pbD-Verarbeiter
privacy breach / Datenschutzverletzung
privacy principles / Datenschutzprinzipien
privacy risk / Datenschutzrisiken
privacy risk assessment / Datenschutz-Risikobeurteilung
processing of P / Verarbeitung von  personenbezogenen Daten
sensitive PII / Sensible pbD

Ein ISO 27701-Zertifikat ist für jede Organisation geeignet, die personenbezogene Daten (PII) verarbeitet. Unabhängig von ihrer Größe, sowohl für öffentliche als auch für private Unternehmen, Regierungsstellen und gemeinnützige Organisationen, die personenbezogene Daten (PII) als Controller und/oder Prozessor im Sinne des BDSG im Rahmen eines ISMS verarbeiten.

Vor allem wenn Sie nachweisen müssen, dass Ihre Organisation bewusst mit dieser Art von personenbezogenen Daten umgeht, bietet dieses Zertifikat eine strukturierte Lösung:

• Jedes Unternehmen, das personenbezogene Daten verarbeitet, kann unabhängig von seiner Größe und Art von der Einführung der ISO 27701 profitieren
• Organisationen, die finanzielle und regulatorische Risiken im Zusammenhang mit Verletzungen des Datenschutzes (mit-)vermindern wollen
• Private, öffentliche Unternehmen und sogar Regierungsbehörden, die einen risikobasierten Ansatz für die Aufbewahrung und Verarbeitung personenbezogener Daten verfolgen müssen
• Organisationen mit einem ISMS, die sich in ihrer Rolle als Controller und/oder Prozessor weiterentwickeln und professionalisieren wollen

Unternehmen, die unter die europäische Gesetzgebung fallen, weil sie z.B. Europäer sind oder in der EU tätig sind, können die ISO 27701 nutzen, um die Einhaltung der DGSVO-Gesetzgebung genauer unter die Lupe zu nehmen. Dies gilt dann zum Beispiel für:

• Organisationen, die nach einer Möglichkeit suchen, der Verpflichtung nachzukommen, nachzuweisen, dass sie geeignete technische und organisatorische Maßnahmen ergriffen haben, um die Einhaltung der Anforderungen der DGSVO zu gewährleisten
• Organisationen, die personenbezogene Daten im Auftrag von Kunden (weiter) verarbeiten wollen, die dies per Gesetz nur an Organisationen auslagern dürfen, die hinreichend gewährleisten, dass die Verarbeitung den Anforderungen der DGSVO und dem Schutz der Rechte der Betroffenen entspricht

Um die ISO 27701-Zertifizierung zu erhalten, müssen Sie bereits über ein funktionierendes ISMS verfügen, welches die Anforderungen von ISO 27001 erfüllt. Das bedeutet, dass Sie bereits eine Zertifizierung nach ISO 27001 haben oder dabei sind, diese zu erlangen. Der Grund dafür ist, dass ISO 27701 diese Norm ergänzt.

Für jede Organisation, die mit datenschutzsensiblen Informationen arbeitet, insbesondere wenn diese Informationen zu einer einzelnen Person zurückverfolgt werden können, ist dieser Zusatz sicherlich relevant.

Wenn Sie bereits über ein ISO 27001 Zertifikat verfügen (über TÜV NORD oder eine andere Zertifizierungsstelle), werden Sie zunächst separat für ISO 27701 auditiert. Dieses Zertifikat entspricht dann hinsichtlich der Laufzeit Ihrem aktuellen ISO 27001-Zertifikat. Wenn dieses ausläuft oder wenn Sie gleichzeitig mit ISO 27001 und ISO 27701 beginnen, werden die Audits für ISO 27001 und ISO 27701 synchronisiert.

Das ISMS und das PIMS werden dann integriert und die Audits für beide Systeme werden kombiniert.