ISO 27701: Erweiterung der ISO 27001 um den Datenschutz
Überall da, wo im Unternehmenskontext (personenbezogene) Daten fließen, ist Datenschutz von entscheidender Bedeutung. Grund dafür sind strengere gesetzliche Vorgaben, aber auch eine zunehmende Bedrohungslage.
Mit einer Zertifizierung nach ISO 27701 ergänzen Sie Ihr bereits bestehendes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 um relevante datenschutzspezifische Anforderungen. Dabei kann der internationale Standard ISO 27701 auch als systematische Grundlage dienen, um die Anforderungen der DSGVO erfolgreich in das Management des Datenschutzes zu integrieren.
Erfolgreiches Datenschutz-Informationsmanagement
Mit der ISO 27701 erweitern Sie Ihr bestehendes Informationssicherheits-Managementsystem (ISMS) um wichtige Datenschutzanforderungen.
Personenbezogene Daten bestmöglich geschützt
Im Rahmen der ISO 27701-Zertifizierung ergreifen Sie effektive Maßnahmen für den Schutz der Privatsphäre & zum Umgang mit personenbezogenen Daten.
Gute Integration in ein bestehendes ISMS
Da die ISO 27701 der sogenannten High-Level-Structure (HLS) folgt, lässt sie sich gut in ein bestehendes (zertifiziertes) ISMS nach ISO 27001 integrieren.
Was ist die ISO 27701?
Die ISO 27701 ist eine Erweiterung der ISO 27001 um das Thema Datenschutz. Sie enthält Anforderungen sowie Leitlinien für den Schutz der Privatsphäre und zum Umgang mit personenbezogenen Daten.
Auf diese Weise bildet die ISO 27701, aufbauend auf der ISO 27001, einen Rahmen für ein Datenschutz-Informationsmanagementsystem (PIMS), das sowohl die Sicherheit von Informationen als auch den Schutz der durch die Verarbeitung personenbezogenen Daten umfasst.
Die ISO 27701 ist keine direkte DSGVO-Zertifizierung, kann aber als Basis genutzt werden, um die DSGVO-Anforderungen in das Managementsystem zu integrieren.
Vorteile einer ISO 27701 Zertifizierung
Unabhängiger Datenschutz-Nachweis
Mit einer Zertifizierung nach ISO 27701 belegen Sie objektiv, dass Sie spezifische Datenschutzanforderungen erfüllen.
Erhöhtes Vertrauen bei Kund:innen
Durch eine Zertifizierung nach ISO 27701 zeigen Sie, dass Datenschutz bei Ihnen großgeschrieben wird.
Einhaltung gesetzlicher Bestimmungen
Sie weisen nach, dass Sie geeignete technische & organisatorische Datenschutzmaßnahmen getroffen haben.
Schutz vor finanziellen & Reputationsschäden
Durch das frühzeitige Identifizieren von Risiken beugen Sie Datenschutzpannen – und damit auch Schäden – vor.
Erfolgreiche Risikominderung
Durch das systematische Aufdecken potenzieller Datenschutzlücken reduzieren Sie Datenschutzrisiken.
Verbesserte interne Prozesse
Im Rahmen der ISO 27701-Zertifizierung werden klare Rollen & Verantwortlichkeiten innerhalb des Unternehmens festgelegt.
Sensibilisierung von Mitarbeitenden
Mit der Zertifizierung einhergehend fördern Sie das Bewusstsein Ihrer Mitarbeitenden für Datenschutz.
International anerkannt
Mit einer ISO 27701-Zertifizierung erfüllen Sie international anerkannte Anforderungen an den Datenschutz.
ZERTIFIZIERUNGSSTANDARDS IM VERGLEICH
ISO 27701 vs. Art. 42 DSGVO vs. ISO 27001
ISO 27701
■ Beschreibt ein Datenschutz-Managementsystem, das zertifiziert werden kann
■ Erweiterung der ISO/IEC 27001 & ISO/IEC 27002 um Datenschutzaspekte
■ Konformität mit ISO 27701 setzt immer auch die Erfüllung der Anforderungen aus der ISO 27001 zwingend voraus
■ Stellt keine Zertifizierung im Sinne von Art. 42 DSGVO dar
Art. 42 DSGVO
■ Abs. 1: „[…] datenschutzspezifischen Zertifizierungsverfahren […], die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird."
■ folglich keine Zertifizierung für:
- Produkte
- Unternehmen
- Personen
- Managementsysteme
■ Aussagen über die Datenschutzkonformität
ISO 27001
■ bildet die notwendige Voraussetzung für eine Zertifizierung nach ISO 27701
■ Norm-Fokus liegt auf Informationssicherheit
■ Breiterer Anwendungsbereich mit umfassenderen Anforderungen als die ISO 27701
Ablauf einer ISO 27701 Zertifizierung
1.
Erstgespräch & Scope-Bestimmung
Im Rahmen eines Erstgesprächs legen wir gemeinsam mit Ihnen den Prüfumfang (Scope) der Zertifizierung fest.
2.
Voraudit (optional)
Durch ein Voraudit ermitteln wir die aktuelle Zertifizierungsreife (Erfüllung der Anforderungen, Aufdecken von Nichtkonformitäten & Unklarheiten).
3.
Zertifizierungsaudit (Stufe 1)
Das Stufe-1-Audit umfasst die Dokumentenprüfung, die Standort-Beurteilung sowie die Feststellung der Bereitschaft für das Audit der Stufe 2.
4.
Zertifizierungsaudit (Stufe 2)
Im Stufe-2-Audit betrachten wir die Wirksamkeit Ihrer Maßnahmen, die Konformität zur Norm & prüfen bestehende Dokumente noch einmal intensiver.
5.
Erfolgreiche Zertifikatserteilung
Bei Erfüllung der Anforderungen erfolgt die Zertifikatserteilung durch unseren Zertifizierungspartner TÜV NORD Nederland.
6.
Überwachungsaudit
Jeweils im ersten und im zweiten Jahr nach erfolgreicher Zertifizierung ist ein Überwachungsaudit durchzuführen, um die Zertifizierung aufrechtzuerhalten.
7.
Re-Zertifizierung
Alle 3 Jahre nach erfolgter Zertifizierung findet eine Re-Zertifizierung statt, um die Gültigkeit des Zertifikates zu verlängern.
Häufig gestellte Fragen (FAQ):
Grundsätzlich richtet sich die ISO 27701 an jede Organisation, die personenbezogene Daten verarbeitet, unabhängig von ihrer Größe und Art.
Besonders relevant ist der internationale Standard jedoch für Organisationen, die:
- das Risiko von Datenschutzverletzungen und ihrer Konsequenzen (zum Beispiel hohen Geldbußen und Imageschäden) minimieren möchten,
- einen risikobasierten Ansatz für die Verarbeitung personenbezogener Daten verfolgen oder
- ein ISMS betreiben und sich als Controller und/oder Prozessor weiterentwickeln möchten.
Die Zertifizierung nach ISO 27701 stellt keine direkte Zertifizierung nach Art. 42 DSGVO dar. Sie kann jedoch als systematischer Rahmen betrachtet werden, um die Anforderungen der DSGVO erfolgreich in das bestehende Managementsystem zu integrieren.
Das ISO 27701 Zertifikat hat eine Gültigkeit von maximal 3 Jahren.
Im ersten und zweiten Jahr nach erfolgreicher Zertifizierung ist jeweils ein Überwachungsaudit durchzuführen. Nach 3 Jahren erfolgt das Rezertifizierungsaudit, in dem überprüft wird, ob die Voraussetzungen für eine Verlängerung des Zertifikates weiterhin gegeben sind.
Da jedes Unternehmen andere Voraussetzungen mitbringt und auch die Anforderungen an ein Managementsystem variieren, kann die Frage nach den Kosten für eine ISO 27701 Zertifizierung nicht pauschal beantwortet werden.
Grundsätzlich ist die Anzahl der benötigten Tage für die beiden Zertifizierungsaudits maßgeblich. Während bei kleineren und mittleren Unternehmen in der Regel weniger Tage benötigt werden, sollten größere Unternehmen und Konzerne entsprechend mehr Zeit und Budget einplanen.
Gerne erstellen wir Ihnen ein individuelles Angebot.
Da die ISO 27701 eine Erweiterung der ISO 27001 um das Thema Datenschutz darstellt, kann sie nur gemeinsam mit der ISO 27001 zertifiziert werden.
Notwendige Voraussetzung für die ISO 27701 Zertifizierung ist demnach ein bestehendes ISMS, das die Anforderungen der ISO 27001 erfüllt oder bereits nach dieser zertifiziert ist.
Sie verfügen bereits über ein ISO 27001 Zertifikat?
In diesem Fall wird Ihr Datenschutz-Managementsystem separat nach ISO 27701 auditiert. Das daraus resultierende Zertfikat entspricht dann der Laufzeit Ihres ISO 27001 Zertifikates.
Ihr ISO 27001 Zertifikat läuft aus?
Hier bietet es sich an, die Audits für ISO 27001 und ISO 27701 zu synchronisieren.
Sie streben eine gemeinsame Zertifizierung nach ISO 27001 & ISO 27701 an?
Wenn Sie gleichzeitig mit ISO 27001 und ISO 27701 beginnen, werden die Audits für die beiden Standards aufeinander abgestimmt.