ISO27701: DER ERSTE MEILENSTEIN FÜR EINE DATENSCHUTZZERTIFIZIERUNG

Jeder hat von der ISO Zertifizierung 27001 gehört, die im Bereich der Informationssicherheit auf die Konformität und Vollständigkeit des ISMS (Information Security Management System) achtet. Bisher gab es aber noch keine Zertifizierung zum Datenschutz, wie es Art. 42 der DSGVO vorsieht. Der erste Schritt zu dieser Zertifizierung wurde jetzt als Erweiterung der ISO27000 Normen und insbesondere der ISO27001 veröffentlicht.
Die Norm ISO27701 wird als Erweiterung der bereits bestehend ISO27001 vorgestellt mit dem Aufbau eines PIMS (Privacy Information Management System) zusätzlich zum ISMS. Dass diese Norm als Erweiterung aufgebaut wurde ist nach Ansicht der Anforderung der ISO27001 verständlich und beweist weiterhin wie verbunden Datenschutz und Informationssicherheit sind. Die neue Norm ist aber dementsprechend nicht alleinstehend; alle Anforderungen des ISMS und der ISO27001 müssen erfüllt sein, bevor eine ISO27701 Zertifizierung erteilt werden kann.
Für die Erteilung der neuen Zertifizierung wird die Einbeziehung der Datenschutzgesetze, insbesondere natürlich die DSGVO, sowie wesentlichen gerichtlichen Entscheidungen verlangt. Die Erwartungen weichen von der DSGVO nicht ab, zum Beispiel sind die Anforderungen an die technischen und organisatorischen Maßnahmen für die Verarbeitung von personenbezogenen Daten, den Aufbau einer ausführlichen Datenschutzrichtlinie mit einem Datenschutzvorfallmanagement System und Mitarbeiterschulungen identisch. Für Unternehmen, die bereits einen vollständigen und umfangreichen ISMS und eine ISO27001 Zertifizierung haben, ist der Schritt zum PIMS und zur ISO27701 nur klein und ein geringer Aufwand.
Allerdings entspricht die ISO27701 als reine Erweiterung einer bestehenden Zertifizierung, trotz Zusammenhang zwischen Informationssicherheit und Datenschutz, der Akkreditierung der ISO27000 Normen nach ISO17021 nicht den Normen nach ISO17065, und somit den Anforderungen des Art. 43 DSGVO.
Insofern ist die ISO27701 Zertifizierung noch keine vollständige, umfangreiche Datenschutzzertifizierung, aber sie stellt einen ersten Meilenstein in diesem Bereich. Sie ist definitiv ein Schritt in die richtige Richtung und es ist vorstellbar, dass zukünftige Anpassung zu einer Datenschutzreferenz für Unternehmen führen.