Ihre Vorteile
-
Experten für Datenschutz und Informationssicherheit
Die vielen unterschiedlichen Qualifikationen unserer Beratenden im Datenschutz und IT‑Sicherheits‑Bereich sind in der Branche einzigartig.
-
Großer Erfahrungsschatz
Wir verfügen über jahrelange Erfahrung beim Aufbau von Managementsystemen. Unsere Kunden profitieren von dem gewonnenen Praxiswissen.
-
Maßgeschneiderte Lösungen
Unsere Beratenden bieten passgenaue, pragmatische Lösungen für Unternehmen unterschiedlicher Größen, Branchen und Strukturen.
Nutzen einer Zertifizierung nach ISO 27701
Ein Datenschutzmanagementsystem ist mittlerweile unerlässlich, um die gesetzlichen und betrieblichen Anforderungen des Datenschutzes im Unternehmen systematisch zu planen, zu organisieren, zu steuern und zu kontrollieren. Die ISO 27701 ist Bestandteil der Informationssicherheits-Normfamilie (ISMS) und erweitert die ISO 27001 um die Aspekte des Datenschutzes. Das bedeutet, im Unternehmen kann ein integriertes Managementsystem für Informationssicherheit und Datenschutz implementiert werden.
Eine Zertifizierung nach ISO 27701 hat für Unternehmen folgende Vorteile:
- Stärkt das Vertrauen in das Unternehmen in Bezug auf Datenschutz
- Schafft Transparenz zwischen den Beteiligten
- Erleichtert die Vertragsverhandlungen
- Klärt Rollen und Verantwortlichkeiten
- Unterstützt die Einhaltung der Datenschutzbestimmungen insbesondere nach der DSGVO
- Nutzt Synergien zwischen Informationssicherheitsmanagementsystem (ISMS) und Datenschutzmanagementsystem
Unsere spezialisierten Consultants helfen Ihnen bei der Erweiterung des bestehenden bzw. noch zu implementierenden ISMS um die Datenschutzaspekte und unterstützen Sie so bei dem Aufbau eines effizienten Managementsystems für Informationssicherheit und Datenschutz nach ISO 27001 und ISO 27701. Wir begleiten Sie dabei fachkundig und sorgen für eine erfolgreiche Vorbereitung auf die Zertifizierung.
Im Rahmen unserer Tätigkeit gestalten wir gemeinsam mit Ihnen Unternehmensprozesse gemäß der ISO 27701 und passen die Prozesse der ISO 27001 an den Datenschutz an. Hierzu entwickeln wir Lösungen ohne unnötigen Zusatzaufwand, mit denen Sie unter Einhaltung aller datenschutzrechtlichen Vorgaben Ihre Ziele effizient erreichen.
So können wir Sie unterstützen
- Fachliche Expertise für komplexe Vorgaben der ISO 27001, ISO 27701 und DSGVO
- Aufbau eines Informationssicherheits- und Datenschutzmanagementsystems (ISO 27001 und ISO 27701)
- Unterstützung bei der Erstellung von Unternehmensrichtlinien sowie weiterer Dokumente zum Datenschutz und der Informationssicherheit
- Beratende Begleitung bei der Umsetzung von ISO 27701-Maßnahmen und Durchführung von internen Audits
- Schulung oder Workshop zum gesamten Themenkomplex
- Vorbereitung auf die Zertifizierung nach ISO 27701
Vorbereitung auf die Zertifizierung nach ISO 27701
Wir bieten mit unserem Angebot die passende Lösung für Unternehmen, die bereits eine ISO 27001-Zertifizierung haben, aber auch für Unternehmen, für die die ISO 27001 und ISO 27701 noch gänzlich unbekannt sind.
Sie können bei uns mehrere Leistungen in einem Angebot bündeln oder einzelne Dienstleistungen buchen:
- GAP-Analyse ISO 27701 inklusive Ergebnisdokumentation
- GAP-Analyse ISO 27001 und ISO 27701 inklusive Ergebnisdokumentation
- Erweiterung des bereits bestehenden ISMS um die ISO 27701
- Aufbau eines Managementsystems gemäß ISO 27001 und ISO 27701
- Projektbezogene Unterstützung bei der Erstellung und Implementierung von Prozessen im Rahmen des Informationssicherheits- und Datenschutzmanagements, z. B. Auftraggeber-Management, Auftragnehmer-Management, Handhabung von Betroffenenrechte, Umgang mit IT-Sicherheits- und Datenschutzvorfall (Vorfalls-Management)
Die Zertifizierung des Managementsystems nach ISO 27701 wird durch eine unabhängige z. B. durch die DAkkS akkreditierte Zertifizierungsstelle bestätigt.
Wenn ein Unternehmen bereits nach ISO 27701 zertifiziert ist, ist es verpflichtet, sein integriertes Managementsystem für Informationssicherheit und Datenschutz regelmäßig zu überprüfen. Dafür bieten wir Ihnen unter anderem folgende Leistungen an:
- Internes kombiniertes Audit nach ISO 27001 und ISO 27701
- Internes Audit nach ISO 27701, sofern dies getrennt vom ISO 27001-Audit stattfinden soll
Sie können uns auch mit einem internen Audit beauftragen, wenn bei Ihnen eine erstmalige Zertifizierung bevorsteht und Sie überprüfen wollen, ob Sie alle nach der ISO-Norm geforderten Maßnahmen tatsächlich erfüllt haben.
Häufig gestellte Fragen zur ISO 27701
Wir sagen Ihnen, was Sie zur Datenschutz-Zertifizierung nach ISO 27701 wissen sollten.
Leider ist die Zertifizierung nach ISO 27701 keine Zertifizierung i.S.d. DSGVO.
Art. 42 DSGVO sieht die Möglichkeit einer Zertifizierung für Verarbeitungsvorgänge vor:
„Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.“
Die Anforderungen, die eine mögliche akkreditierte Zertifizierungsstelle dabei einhalten muss, beschreibt Art. 43 der DSGVO:
„Die Mitgliedstaaten stellen sicher, dass diese Zertifizierungsstellen von einer oder beiden der folgenden Stellen akkreditiert werden:
1. der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde;
2. der nationalen Akkreditierungsstelle, die gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates im Einklang mit EN-ISO/IEC 17065/2012 und mit den zusätzlichen von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde festgelegten Anforderungen benannt wurde.“
Da es sich bei der ISO 27701 um eine Erweiterung der ISO 27001 handelt, stehen bei der Norm die Managementsysteme sowie Anforderungen an diese im Mittelpunkt. Die Akkreditierung von Zertifizierungsstellen für Managementsysteme richtet sich nach ISO 17021. Der Art. 43 DSGVO fordert eine Akkreditierung von Zertifizierungsstellen entsprechend ISO 17065. Diese Norm ist auf eine Zertifizierung von Produkten, Prozessen und Dienstleistungen ausgerichtet. Daher entspricht ein ISO 27001-Zertifikat strenggenommen (noch) nicht den Anforderungen der DSGVO. Man kann es vorrangig für ein formales Problem halten, da Managementsysteme im Kern auch prozessorientiert aufgebaut sind. Daher wäre für die Zukunft ein DSGVO-Zertifikat auf der Basis der ISO 27701 durchaus vorstellbar. Klare Ansagen von öffentlichen Stellen hierzu fehlen noch.
Auch wenn die neue ISO 27701 nach aktuellem Stand keine Zertifizierung im Sinne der DSGVO ermöglicht, bietet sie die Möglichkeit, den Nachweis des DSGVO-konformen Umgangs mit personenbezogenen Daten zu erbringen.
Soweit ein Unternehmen in den Anwendungsbereich einer gesetzlichen Regelung fällt, muss es diese anwenden. Die technischen Normen sind keine Gesetze. Daher kann ein Unternehmen die Normen wie ISO 27701 und ISO 27001 anwenden, muss es aber nicht. Sie können allerdings dann verbindlich werden, wenn die Einhaltung der Anforderungen einer bestimmen Norm – beispielsweise ISO 27001 oder ISO 27701 – vertraglich zugesichert wird. Rechtsverbindlichkeit erlangen die ISO-Normen auch dann, wenn Gesetze oder Rechtsverordnungen auf sie verweisen (bspw. IT-Sicherheitsgesetz).
Auch dann, wenn eine Norm weder von den Vertragsparteien zum Inhalt eines Vertrages gemacht worden ist, noch durch den Gesetzgeber verbindlich vorgeschrieben wurde, kann sie sich als sehr nützlich zeigen. Diese kann im Streitfall als Entscheidungshilfe, beispielsweise in Gerichtsprozessen, herangezogen werden.
Im Gegensatz zu Normen stehen die Gesetze nicht zur Disposition. Ein Unternehmen, das in den Anwendungsbereich der DSGVO fällt, muss die Vorgaben der DSGVO zwingen einhalten.
Das Standard-Datenschutzmodell (SDM) ist eine Vorgehensweise, mit der die rechtlichen Anforderungen aus der Datenschutz-Grundverordnung (DSGVO) in konkrete technische und organisatorische Maßnahmen übertragen werden können.
Im Gegensatz zu ISO 27001 und ISO 27701 liegt der Fokus jedoch nicht primär auf der Schaffung eines Managementsystems / Prozesses für den Betrieb inklusive kontinuierliche Verbesserung, sondern mehr auf der Auswahl einzelner Maßnahmen. Die Maßnahmen aus dem SDM können allerdings gut in das Managementsystem integriert werden, da sie bei der Erfüllung der Anforderungen der Norm hilfreich sind.
Der wichtigste Unterschied zwischen dem DMS und der ISO 27701 ist jedoch, dass das SDM nicht zertifizierungsfähig ist. Außerdem ist das SDM noch nicht fertig. Die Aufsichtsbehörden arbeiten schon seit 2016 an der Entwicklung des Modells und veröffentlichen regelmäßig neue Bausteine.
Eine erfolgreiche Zertifizierung nach ISO 27701 setzt zwingend eine Zertifizierung nach ISO 27001 voraus. Das bedeutet, neben den Anforderungen der ISO 27701 müssen auch alle Anforderungen der ISO 27001 erfüllt werden. Dabei spielt es keine Rolle, ob beide Normen zeitgleich im Unternehmen etabliert werden oder ob ein bestehendes ISMS nachträglich um die ISO 27701 erweitert wird.
Wichtig ist vor allem auch die Integration der Themen Informationssicherheit und Datenschutz in einem gemeinsamen Managementsystem. Es genügt also nicht, getrennte, parallel existierende Prozesse für beide Bereiche zu implementieren. Vielmehr müssen diese an den entsprechenden Stellen verzahnt werden. Eine enge Zusammenarbeit der Verantwortlichen für Informationssicherheit und Datenschutz ist unerlässlich.
Kompetenz von mehr als 70 Consultants
- Volljuristen (2 Staatsexamina), darunter promovierte Rechtsanwälte
- Fachanwälte für IT‑Recht, gewerblichen Rechtsschutz, Urheber- und Medienrecht, Versicherungsrecht und Sozialrecht
- Master of Laws in IT‑Recht, Medienrecht, Immaterialgüterrecht, Gewerblichen Rechtsschutz und Recht des geistigen Eigentums
- Bachelor of Laws für Informationsrecht und Wirtschaftsrecht
- ISO 27701 Lead Implementer
- TÜV‑zertifizierte Datenschutzbeauftragte und Datenschutzauditoren
- Certified Information Privacy Manager (CIPM), Certified Information Privacy Professional (CIPP/E)
- IT‑Compliance-Manager (ISACA) und Compliance-Officer (TÜV)
- Datenschutzbeauftragte nach Verbandkriterien verpflichtet (BvD)
- BSI-zertifizierte Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz
- ISO/IEC 27001 Lead Auditor, ISO/IEC 27001 Implementer, ISO/IEC 27001 Practitioner
- GIAC Certified Forensic Examiner, GIAC Certified Forensic Analyst, GIAC Battlefield Forensics and Acquisition
- IT-Sicherheitsbeauftragte (TÜV)
- Business Continuity Manager (TÜV)
- Informatiker und Wirtschaftsinformatiker
- Master of Science Informationsmanagement
- Bachelor of Science Informatik
- Cyber Security Practitioner (ISACA), IT Information Security Practitioner (ISACA)
- Cloud Information Security (ISO 27017/27018)
Referenzen
Standorte
Kontaktieren Sie uns
PDF-Download