Datenschutz ISO 27701 & DSGVO
Audits, Beratung und Zertifizierung

Die ISO/IEC 27701:2019-08 ist eine Erweiterung im Bereich „Informationstechnik – Sicherheitsverfahren – zur ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“. Ziel dieser Norm ist es den Datenschutz in einem Unternehmen vergleichbar zu machen. Die internationale Norm bietet Leitlinien für den Schutz der Privatsphäre und zum Umgang von Unternehmen mit personenbezogenen Daten. Sie hilft beim Nachweis der Einhaltung von Datenschutzbestimmungen weltweit.

Im Unterschied zu DIN EN ISO/IEC 27001 spricht die ISO/IEC 27701 anstelle von „Informationssicherheit“ von „Informationssicherheit und Datenschutz“. Darüber hinaus gibt es weitere inhaltliche Erweiterungen: So müssen u.a. bei der Betrachtung des Organisationskontext relevante Datenschutzgesetze und gerichtliche Entscheidungen berücksichtigt werden. Ebenso gilt es, bei der Risikobeurteilung Kriterien der Verarbeitung von personenbezogenen Daten zu berücksichtigen.

Auch wenn die ISO 27701 auf der ISO 27001 aufbaut ist diese aktuell noch nicht zertifizierbar.

Zum 25.5.2018 löste die DSGVO das bisherige Bundesdatenschutzgesetz BDSG (alt) ab. Die DSGVO gilt im Vergleich zum BDSG, welches nur für Deutschland galt, nun Europaweit und ist ein einheitliches Gesetz mit konkreten Regelungen im Umgang mit Personenbezogenen und Personenbeziehbaren Daten, sowie deren Schutz. Die “digitale” Version der DSGVO ist ab Dezember 2021 das TTDSG. Das TTDSG ist ein neues TMG unter Bezugnahme zur e-Privacy Verordnung.

Die DSGVO gilt für alle natürlichen und juristischen Personen. Jeder Bürger, aber auch Unternehmen oder Behörden, unterliegt der Einhaltung der DSGVO mit allen Rechten und Pflichten. Der Verantwortliche für den Datenschutz im Unternehmen unterliegt der Nachweisplicht. Um sicherzugehen und Geldstrafen nach dem Bußgeldkatalog der Datenschutzkonferenz zu vermeiden (oder zu verringern), können Unternehmen und Organisationen ein Datenschutzmanagementsystem implementieren und Ihr Datenschutzniveau mit einer GAP-Analyse ermitteln lassen. Dabei wird während des Datenschutzaudits geprüft, ob die wesentlichen Datenschutzaspekte der DSGVO eingehalten werden.

Ein Datenschutzmanagementsystem hilft jedem Unternehmen und jeder Kommune die Umsetzung des BDSG und der DSGVO zu gewährleisten. Ein Datenschutzmanagementsystem erfüllt alle nötigen Voraussetzungen, um jederzeit entsprechende Nachweise zur Umsetzung der Gesetze zur Hand zu haben. Darüber hinaus hilft einem ein funktionierendes Datenschutzmanagementsystem auch schnell und effektiv auf gesetzliche Auskunftsersuche und Anfragen reagieren zu können.

Um die DSGVO im Betriebsalltag umzusetzen ist es wichtig ein Datenschutzmanagementsystem zu schaffen und zu integrieren, welches einem bei der Umsetzung hilft und die gesetzlichen Anforderungen erfüllt. Der wichtigste Eckpfeiler dafür ist ein gut funktionierendes Datenschutzmanagementsystem mit den drei Kernpunkten TOMs (Technisch Organisatorische Maßnahmen gem. Artikel 32 DSGVO), VVT (Verzeichnis der Verarbeitungstätigkeiten gem. Artikel 30 DSGVO) und dem Datenschutzhandbuch als DSGVO Wegweiser zur Betriebsstruktur. Wenn Sie bei der Umsetzung Unterstützung benötigen, kommen Sie gerne jederzeit auf uns zu.

Dies ist per Gesetz genau geregelt: § 4f Abs. 2 BDSG besagt, dass derjenige zum Datenschutzbeauftragten ernannt werden darf, der „die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt“. Hierbei kann man auf einen internen Datenschutzbeauftragten zurückgreifen und einen solchen benennen oder einen Dienstleister (bspw. einen Datenschützer der varISO) als externen Datenschutzbeauftragten einsetzen. Ein interner Datenschutzbeauftragter hat den Vorteil, dass dieser in die vorhandenen Betriebsstrukturen hinein gewachsen ist und die Abläufe daher am besten kennt, was die Umsetzung der DSGVO erleichtert. Der Nachteil ist, in den meisten Fällen ist dies dann keine Vollzeit-Stelle und auch die breit gefächerte Praxiserfahrung eines externen Datenschutzbeauftragten fehlt. Ein externer Datenschutzbeauftragter hat den Vorteil, dass er diese Tätigkeit in Vollzeit und hauptberuflich ausübt, was durch vielseitige Praxiserfahrung und Fortbildungen gestützt wird. Der Nachteil eines externen Datenschutzbeauftragten beruht im ersten Moment auf der fehlenden Kenntnistiefe der Betriebsstruktur gegenüber einem internen Datenschutzbeauftragten. Diese Kenntnisse müssen erst “erlernt” werden, bis sie an das Niveau eines Internen heran reichen.

Es gibt kein einheitliches Datenschutzmanagement System und daher gibt es auch keine Alternativen. Ein gut funktionierendes Datenschutzmanagement System ist ein individuell auf die Betriebsstruktur angepasstes Managementsystem, welches die Gegebenheiten mit den gesetzlichen Vorgaben in Einklang bringt. Hierbei wird berücksichtigt, dass auch entsprechende Strukturen geschaffen werden, die eine Erfüllung der gesetzlichen Anforderungen gewährleisten und darüber hinaus Prozesse geschaffen werden, die einem ständigen Prüfzyklus unterliegen, um stets aktuell zu sein.

varISO hilft bei der Feststellung des IST-Zustandes im Kontext Datenschutz und erarbeitet gemeinsam mit Ihnen pragmatisch alle nötigen Schritte bis hin zum SOLL-Zustand. varISO prüft zuerst alle bei Ihnen vorhandenen Strukturen und Dokumente und gleicht diese mit den gesetzlichen Vorgaben ab. Im Gegensatz zu anderen Dienstleistern, bei denen Sie oftmals die benötigten Dokumentationen selbst und unter Anleitung erstellen müssen, übernimmt an diesem Punkt varISO auch dies für Sie. Sie bekommen am Ende eine vollständige DSGVO-Dokumentation zu Ihrem Unternehmen oder Ihrer Kommune.