Mit ISO/IEC 27701 Datenschutzaspekte ins Managementsystem integrieren

Durch die zunehmende Digitalisierung und die regulatorischen Vorgaben müssen sich Unternehmen zwingend mit dem Datenschutz auseinandersetzen. Es gilt, Verfahrensverzeichnisse zu schreiben, Auftragsverarbeitungsverträge abzuschliessen, technische und organisatorische Massnahmen (TOM) zu formulieren, Betroffenenrechte zu wahren usw. Die grundlegenden Anforderungen, die das Schweizer Datenschutzgesetz (DSG) oder die europäische Datenschutz-Grundverordnung (EU-DSGVO) an ein Unternehmen stellen, sind allgemein bekannt – und trotzdem scheitert die Umsetzung im Unternehmen oftmals. Es gilt, die Umsetzung der Datenschutzziele durch die geeignete Verteilung der Aufgaben zu gewährleisten. Während es in kleinen Unternehmen ausreichen kann, einen einzelnen Verantwortlichen für den Bereich Datenschutz zu benennen, benötigen andere Unternehmen eine umfassende Datenschutzorganisation mit etablierten Prozessen. Hier kommt die ISO-27701-Norm ins Spiel.

Mit ISO 27701 auf dem richtigen Weg

Nach Artikel 32 in der EU-DSGVO sind Unternehmen verpflichtet, ein Managementsystem für die Verarbeitung von personenbezogenen Daten zu etablieren. Zur Effizienzsteigerung ist es dabei sinnvoll, ein Managementsystem für alle Informationen einzuführen – egal, ob personenbezogen oder nicht, digital oder in Papierform. Für die Einführung, Aufrechterhaltung und kontinuierliche Verbesserung eines Privacy Information Management Systems (kurz PIMS) empfiehlt es sich, die ISO-27701-Norm beizuziehen.

Basierend auf den Anforderungen der ISO 27001 enthält die Norm eine Reihe von datenschutzspezifischen Anforderungen, Kontrollen und Kontrollzielen. Aber das ist natürlich nicht alles – darüber hinaus gibt es eine Vielzahl von inhaltlichen Ergänzungen. So wird bei der Betrachtung des Kontextes eines Unternehmens explizit der Einbezug relevanter Datenschutzgesetze sowie entsprechender gerichtlicher Entscheide verlangt. Auch im Rahmen der Risikobeurteilung sind Aspekte der Verarbeitung von personenbezogenen Daten zu berücksichtigen.

Zusätzlich beinhaltet die ISO-27701-Norm Ergänzungen, wie etwa die Ernennung eines Verantwortlichen, die Schulung der Mitarbeitenden bezüglich Datenschutz, die Protokollierung von Zugriffen und Veränderungen, die Verschlüsselung von personenbezogenen Daten, die Berücksichtigung des «Privacy by Design»-Grundsatzes oder die Überprüfung von Sicherheitsvorfällen auf Datenschutzverletzungen.

ISO 27701 ist keine Zertifizierungsnorm

Auch wenn die ISO 27701 keine Zertifizierung gemäss EU-DSGVO ermöglicht, bietet sie dennoch die Möglichkeit, den Nachweis des DSGVO-konformen Umgangs mit personenbezogenen Daten zu erleichtern. So ergibt die Implementierung eines PIMS nach ISO 27701 trotzdem Sinn, denn die Konformität ist für die Wirtschaft von grosser Bedeutung und kann durchaus als Wettbewerbsvorteil von Nutzen sein, aber auch für eine verminderte Haftung des Unternehmens beziehungsweise der Geschäftsführung bei möglichen Verstössen und deren Ahndung durch die Aufsichtsbehörden.

Somit ist klar: Die ISO 27701 ist nicht der Befreiungsschlag, der den Nachweis der Einhaltung des Datenschutzes durch Vorlegen eines Zertifikats ermöglicht. Dennoch liefert die ISO-27701-Norm einen wichtigen Beitrag hin zu einem pragmatischen und effektiven Datenschutz. Dieser ist in Zeiten der Digitalisierung unerlässlich. Denn eine erfolgreiche Digitalisierung erfordert den Einbezug des Datenschutzes und ist somit ein strategisch wichtiges Thema – und zwar für jedes Unternehmen.