Jessica Doering
11. September 2024
~
3
minutes reading time
Erfülle ich die Anforderungen der GDPR, wenn ich nach ISO 27001 zertifiziert bin?
Zertifizierungen dienen als Nachweis für Anforderungen, die eingehalten werden müssen. Sie sind oft ein Zeichen für Qualität, da sie von unabhängigen Zertifizierungsstellen wie dem TÜV vergeben werden. Inwieweit spielt also die ISO 27001-Zertifizierung in die Karten, wenn es darum geht, der DSGVO gerecht zu werden?
GDPR und ISO 27001 sind zwei wichtige Compliance-Standards, die viele Gemeinsamkeiten aufweisen. Beide zielen darauf ab, die Datensicherheit zu verbessern und das Risiko von Datenschutzverletzungen zu mindern.
ISO 27001 ist eine der umfassendsten Normen und basiert auf bewährten Verfahren. In Artikel 24 der Datenschutz-Grundverordnung (DSGVO) heißt es, dass die Einhaltung von Verhaltenskodizes und anerkannten Zertifizierungssystemen wie ISO 27001 als Nachweis dafür dienen kann, dass der für die Verarbeitung Verantwortliche seinen Verpflichtungen nachgekommen ist. Die Frage schlechthin ist also...
Erfülle ich die Anforderungen der allgemeinen Datenschutzverordnung, wenn ich nach ISO 27001 zertifiziert bin?
In Artikel 42 der Datenschutz-Grundverordnung wird ausdrücklich auf Zertifizierungen eingegangen. Diese können nachweisen, dass der Datenschutz eingehalten wird. Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 soll genau das leisten. Wer also nach ISO 27001 zertifiziert ist, beweist, dass er den Goldstandard des Datenschutzes einhält.
Die Datenschutz-Grundverordnung umfasst jedoch nicht nur den Datenschutz, sondern auch die Rechte der betroffenen Personen in Bezug auf ihre Daten. Dazu gehören die informierte und ausdrückliche Zustimmung zur Erhebung personenbezogener Daten oder das Recht auf Berichtigung, Migration oder sogar Löschung personenbezogener Daten. Diese Rechte werden nicht von ISO 27001 abgedeckt und müssen unabhängig davon umgesetzt werden.
Die DSGVO gilt für alle Unternehmen innerhalb und außerhalb der EU, die personenbezogene Daten von EU-Bürgern speichern oder verarbeiten. Sie stärkt die Rechte der Bürger in Bezug auf ihre personenbezogenen Daten, vereinheitlicht neue Konzepte und sieht hohe Geldstrafen im Falle von Verstößen vor.
Was ist ISO 27001?
Wie bereits bekannt, ist die ISO 27001 eine internationale Norm für Informationssicherheit, die die Anforderungen für die Einrichtung, die Umsetzung, den Betrieb und die Optimierung eines Informationssicherheitsmanagementsystems (ISMS) beschreibt.
Durch die Einhaltung von ISO 27001 sind Organisationen in der Lage, Sicherheitsrisiken zu verwalten und sensible Daten zu schützen. Außerdem legen sie den Umfang und die Grenzen ihrer Sicherheitsprogramme fest. Die Norm gilt für Unternehmen, Regierungsbehörden, akademische Einrichtungen und gemeinnützige Organisationen. Hier finden Sie weitere Informationen darüber, seit wann Unternehmen ISO 27001 benötigen.
Vergleichen wir die ISO 27001 mit der GDPR: Welche Gemeinsamkeiten gibt es?
ISO 27001 und die Datenschutz-Grundverordnung überschneiden sich in vielen Bereichen. Die meisten von ihnen betreffen die Informationssicherheit.
Die DSGVO legt die Grundsätze für die Verarbeitung personenbezogener Daten fest, wie z. B. "Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung".
Verschiedene Maßnahmen in der ISO 27001 sollen Unternehmen auch dabei helfen, die Vertraulichkeit, Verfügbarkeit und Integrität von Daten zu gewährleisten. In ISO 27001 ist geregelt, dass Unternehmen interne und externe Probleme identifizieren, die Auswirkungen auf ihre Sicherheitsprogramme haben könnten.
Sowohl ISO 27001 als auch die DSGVO sehen einen risikobasierten Ansatz für die Datensicherheit vor. Gemäß Artikel 35 der Datenschutz-Grundverordnung müssen Unternehmen die Risiken für die Daten natürlicher Personen mit Hilfe einer Datenschutz-Folgenabschätzung ermitteln und bewerten. ISO 27001 empfiehlt außerdem, dass Organisationen eine gründliche Risikobewertung durchführen, um Bedrohungen und Schwachstellen zu ermitteln, die ihr Geschäftsvermögen gefährden könnten. Nach der ISO 27001-Norm müssen Organisationen festlegen, welche Datenverarbeitungsvorgänge ausgelagert werden, und sicherstellen, dass sie die Kontrolle über diese Vorgänge behalten.Die Datenschutz-Grundverordnung enthält vergleichbare Vorschriften. Die für die Datenverarbeitung Verantwortlichen müssen sicherstellen, dass die Datenverarbeitung durch Auftragsverarbeiter auf der Grundlage eines Vertrags erfolgt.
Nach der Datenschutz-Grundverordnung sind Unternehmen verpflichtet, den Behörden eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden zu melden. Die ISO 27001 beschreibt zwar die Maßnahmen für den Umgang mit Informationssicherheitsvorfällen, gibt aber keinen genauen Zeitrahmen für die Meldung von Datenschutzverletzungen vor. Unternehmen müssen auch Sicherheitsvorfälle unverzüglich melden, damit rechtzeitig Gegenmaßnahmen ergriffen werden können.
Nach der DSGVO müssen Unternehmen in jeder Phase der Projektplanung technische und organisatorische Maßnahmen ergreifen, die sicherstellen, dass der Datenschutz von Anfang an gewährleistet ist. Unternehmen müssen durch entsprechende Voreinstellungen sicherstellen, dass nur Daten verarbeitet werden, die für einen jeweils spezifischen Zweck erforderlich sind. Ähnliche Anforderungen stellt auch die Norm ISO 27001. Demnach müssen Unternehmen den Umfang und Kontext der von ihnen erhobenen und verarbeiteten Daten kennen. Ein regelmäßiger Abgleich mit Sicherheitsrisiken gewährleistet die Wirksamkeit des Sicherheitsmanagementprogramms.
Die DSGVO verlangt von den Unternehmen, dass sie ein Verzeichnis ihrer Datenverarbeitungstätigkeiten führen, z. B. die Kategorie der personenbezogenen Daten. Dies beinhaltet den Zweck der Verarbeitung dieser Daten und eine allgemeine Dokumentation der relevanten technischen und organisatorischen Sicherheitsmaßnahmen, die mit diesem Vorgang verbunden sind. ISO 27001 schreibt außerdem vor, dass Organisationen ihre Sicherheitsprozesse und die Ergebnisse ihrer Sicherheitsrisikobewertung und -behandlung dokumentieren.
Die Einhaltung der Datenschutzgrundverordnung kann mit einer ISO 27001-Zertifizierung vereinfacht werden!
Die GDPR ist ein globaler Standard mit einer strategischen Vision, wie Organisationen den Datenschutz gewährleisten sollten. ISO 27001 hingegen besteht aus bewährten Praktiken, die sich auf die Informationssicherheit konzentrieren und festlegen, wie Informationen geschützt und Cyber-Bedrohungen abgewehrt werden können.
Genauer gesagt: Die Datenschutz-Grundverordnung konzentriert sich auf den Datenschutz und insbesondere auf den Schutz personenbezogener Daten. Unternehmen sind verpflichtet, bei der Erhebung von Daten eine ausdrückliche Zustimmung einzuholen. Ebenso muss eine rechtmäßige Datenverarbeitung gewährleistet sein. Sie regelt jedoch nicht die technischen Details, wie die notwendige Datensicherheit gewährleistet werden kann oder wie interne und externe Bedrohungen reduziert werden können. Hier kommt ISO 27001 ins Spiel. Die Norm bietet praktische Ratschläge für die Entwicklung klar definierter, umfassender Richtlinien zur Minimierung von Sicherheitsrisiken, die möglicherweise zu schwerwiegenden Sicherheitsvorfällen führen könnten.
