Am 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) für Unternehmen wirksam. Unternehmen müssen ab diesem Tag entsprechende Maßnahmen umgesetzt haben, um die Verordnung zu erfüllen. Dabei formuliert die DSGVO in Artikel 1 ein wichtiges Ziel: Das Recht natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten sicherzustellen. Für das Erreichen dieses Ziels sind Unternehmen gefordert, verschiedene Maßnahmen umzusetzen. So gilt es für jene Aktivitäten, bei denen personenbezogene Daten in irgendeiner Weise verarbeitet werden, Prozesse und Verantwortlichkeiten zu definieren und diese zu dokumentieren. „Die Definition von Abläufen und zugehörigen Verantwortlichkeiten sowie die Dokumentationspflicht sind typische Anforderungen an ein Managementsystem“, erklärt Sven Reinhold, Auditor für die ISO 27001 bei TÜV Rheinland. Entsprechend fordert die DSGVO nicht weniger als den Aufbau eines Datenschutz-Managementsystems, das dabei unterstützt, personenbezogene Daten zu sichern.
Beim Aufbau dieses Datenschutz-Managementsystems haben es Unternehmen einfacher, wenn Sie bereits ein Managementsystem einsetzen. Dieses kann als Schablone für ein Datenschutzmanagementsystem dienen und bei der Erfüllung der DSGVO helfen. Ein Qualitätsmanagementsystem nach ISO 9001 bietet hierfür eine Grundlage. Insbesondere aber ist die ISO 27001 für Informationssicherheit eine optimale Basis, an die das Datenschutz-Managementsystem anknüpfen kann.
Inhaltliche Schnittstellen zwischen ISO 27001 und DSGVO
Das Informationssicherheits-Managementsystem nach ISO 27001 liefert zum einen strukturelle Anhaltspunkte, wie ein Datenschutz-Managementsystem aufgebaut werden kann. Zum anderen existieren auch inhaltliche Schnittstellen zwischen der ISO 27001 und der DSGVO, die einen effizienteren Aufbau eines Datenschutz-Managementsystems begünstigen. Unternehmen, die beispielsweise die ISO 27001 eingeführt haben, verfügen bereits über eine Klassifikation ihrer Daten. Diese werden – je nach Datenwert und Eintrittswahrscheinlichkeit eines Vorfalls – bestimmten Risikoklassen zugeordnet. „Ein solches Raster hilft natürlich dabei, auch die Anforderungen der DSGVO zu erfüllen, die eine ähnliche Klassifizierung personenbezogener Daten fordert“, erläutert Sven Reinhold.
Auch unterstützt die ISO 27001 bei der Erfüllung von DSGVO-Vorgaben, die sich auf die Lieferanten eines Unternehmens beziehen. Die ISO 27001 sieht in A. 15. Lieferantenbeziehung vor, dass Unternehmen Checks bzw. Audits bei ihren Lieferanten durchführen müssen, um Informationssicherheit über ihre eigene Unternehmensgrenze hinaus sicherstellen zu können. Diese ISO 27001-Anforderung kommt der DSGVO sehr entgegen, die ebenfalls Unternehmen verpflichtet, dass die DGSVO bei ihren Auftragsverarbeitern umgesetzt wird.
Unternehmen haben demnach bei der Umsetzung der DSGVO Vorteile, wenn sie bereits die ISO 27001 einsetzen. Aber auch der umgekehrte Weg ist denkbar. „Für Unternehmen, die bereits Maßnahmen zur Erfüllung der DSGVO umgesetzt haben, ist es einfacher, auch einige ISO 27001-Kriterien zu erfüllen“, erklärt Sven Reinhold abschließend. Entsprechend unterstützt die DSGVO Unternehmen bei der Einführung eines Informationssicherheits-Managementsystems nach ISO 27001.
Weitere Informationen zum Thema Informationssicherheit nach ISO 27001 auf www.tuv.com/ISO27001
Beim Aufbau dieses Datenschutz-Managementsystems haben es Unternehmen einfacher, wenn Sie bereits ein Managementsystem einsetzen. Dieses kann als Schablone für ein Datenschutzmanagementsystem dienen und bei der Erfüllung der DSGVO helfen. Ein Qualitätsmanagementsystem nach ISO 9001 bietet hierfür eine Grundlage. Insbesondere aber ist die ISO 27001 für Informationssicherheit eine optimale Basis, an die das Datenschutz-Managementsystem anknüpfen kann.
Inhaltliche Schnittstellen zwischen ISO 27001 und DSGVO
Das Informationssicherheits-Managementsystem nach ISO 27001 liefert zum einen strukturelle Anhaltspunkte, wie ein Datenschutz-Managementsystem aufgebaut werden kann. Zum anderen existieren auch inhaltliche Schnittstellen zwischen der ISO 27001 und der DSGVO, die einen effizienteren Aufbau eines Datenschutz-Managementsystems begünstigen. Unternehmen, die beispielsweise die ISO 27001 eingeführt haben, verfügen bereits über eine Klassifikation ihrer Daten. Diese werden – je nach Datenwert und Eintrittswahrscheinlichkeit eines Vorfalls – bestimmten Risikoklassen zugeordnet. „Ein solches Raster hilft natürlich dabei, auch die Anforderungen der DSGVO zu erfüllen, die eine ähnliche Klassifizierung personenbezogener Daten fordert“, erläutert Sven Reinhold.
Auch unterstützt die ISO 27001 bei der Erfüllung von DSGVO-Vorgaben, die sich auf die Lieferanten eines Unternehmens beziehen. Die ISO 27001 sieht in A. 15. Lieferantenbeziehung vor, dass Unternehmen Checks bzw. Audits bei ihren Lieferanten durchführen müssen, um Informationssicherheit über ihre eigene Unternehmensgrenze hinaus sicherstellen zu können. Diese ISO 27001-Anforderung kommt der DSGVO sehr entgegen, die ebenfalls Unternehmen verpflichtet, dass die DGSVO bei ihren Auftragsverarbeitern umgesetzt wird.
Unternehmen haben demnach bei der Umsetzung der DSGVO Vorteile, wenn sie bereits die ISO 27001 einsetzen. Aber auch der umgekehrte Weg ist denkbar. „Für Unternehmen, die bereits Maßnahmen zur Erfüllung der DSGVO umgesetzt haben, ist es einfacher, auch einige ISO 27001-Kriterien zu erfüllen“, erklärt Sven Reinhold abschließend. Entsprechend unterstützt die DSGVO Unternehmen bei der Einführung eines Informationssicherheits-Managementsystems nach ISO 27001.
Weitere Informationen zum Thema Informationssicherheit nach ISO 27001 auf www.tuv.com/ISO27001
