ISO 27701: Erstes Datenschutz-Zertifikat mit internationaler Geltung

Als Erweiterung zu einem Informationssicherheits-Managementsystem werden bei einem Zertifizierungsaudit nach ISO 27701 die Datenschutz-Anforderungen ebenfalls auditiert. Datenschutz damit wird zum integralen Bestandteil des Gesamtsystems. [...]

Mit CIS – im Bild CIS-Prokurist Klaus Veselko – wurde nun in Österreich die erste Zertifizierungsgesellschaft für ISO 27701 durch das Wirtschaftsministerium akkreditiert.
Mit CIS – im Bild CIS-Prokurist Klaus Veselko – wurde nun in Österreich die erste Zertifizierungsgesellschaft für ISO 27701 durch das Wirtschaftsministerium akkreditiert.

Während die EU beim Thema Datenschutz hohe Strafen vorsieht, ist ein anerkanntes Datenschutz-Zertifizierungsverfahren bis heute ausständig. Besonders prekär ist die Situation, weil ein Daten-Eigentümer mithaftet, wenn bei seinem Provider eine Datenpanne passiert und er sich zuvor keinen Nachweis für sorgfältiges Vorgehen eingeholt hat. Ohne anerkannte Zertifizierung war dies bis dato schwierig.

Abhilfe soll die Zertifizierung nach ISO 27701 für Datenschutzmanagement schaffen, welche als Addon zu dem weltweit anerkannten Standard für Informationssicherheit ISO 27001 konzipiert ist. In Österreich wurde nun mit der CIS die erste Zertifizierungsgesellschaft für ISO 27701 durch das Wirtschaftsministerium akkreditiert. „Da die Datenschutzmanagement-Norm auf dem internationalen Standard für Informationssicherheit aufbaut, ist dies die bisher einzige Datenschutz-Zertifizierung mit internationaler Tragweite – anwendbar für Organisationen aller Größen und Branchen“, betont CIS-Prokurist Klaus Veselko.

Globale Vorreiter setzen auf ISO 27701

Einige Global Player sind bereits weltweite Vorreiter: So hat Microsoft jene Teile der IT-Infrastruktur für Cloud Services wie Dynamics oder Azure nach ISO 27701 zertifizieren lassen. Auch IT-Größen wie OneTrust oder Infosys setzen auf die neue Datenschutz-Zertifizierung aus dem Hause ISO.

Grundsätzlich ist der Standard eine Subnorm der ISO-27000-Familie. „Als Erweiterung zu einem Informationssicherheits-Managementsystem werden bei einem Zertifizierungsaudit die Datenschutz-Anforderungen ebenfalls auditiert. Datenschutz wird zum integralen Bestandteil des Gesamtsystems und ist dann in dieser Form zertifizierbar“, erklärt Veselko. „Das auditierte Unternehmen erhält ein eigenes Zertifikat für Datenschutzmanagement nach ISO 27701 – als Vertrauenssignal für Kunden und Lieferanten.“

Rechtssicherheit durch Sorgfaltsprinzip

Ein wichtiger Punkt ist die erzielbare Rechtssicherheit. Nach aktuellem Stand werden von der EU-Kommission jene Zertifizierungsverfahren anerkannt werden, welche gemäß Art. 42 der Datenschutz-Grundverordnung (DSGVO) auf Prozesse und Produkte abzielen – und nicht auf ein Managementsystem, wie es bei ISO 27701 der Fall ist. Allerdings hilft im Behördenverfahren oder vor Gericht letztendlich nicht das „Pickerl“ auf einem IT-Service. „Haftungsminimierend wirkt aber sehr wohl ein Nachweis, wie im Unternehmen mit dem Datenschutz tagtäglich umgegangen wird – also, welche Maßnahmen gesetzt werden und die entsprechende Dokumentation dazu“, erläutert Rechtsanwalt und Datenschutzexperte Dr. Markus Frank.

Systematisches Monitoring für DSGVO-Compliance

Vor diesem Hintergrund ist mit einer ISO-27701-Zertifizierung eine hohe Rechtssicherheit zu erzielen, wenn das System nach der Zertifizierung ernsthaft gelebt wird: Denn die DSGVO fordert „geeignete technische und organisatorische Maßnahmen und Verfahren“ für die Datenverarbeitung. „Derart systematische Anforderungen lassen sich mit einem Datenschutzmanagement-System besser erfüllen als ohne“, unterstreicht CIS-Auditor Robert Jamnik. „Die System-immanente Logik des Monitorings, der ständigen Optimierung und Dokumentation gemäß ISO 27701 ermöglichen eine höchstmögliche DSGVO-Compliance.“


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

1 Comment

  1. Ich halte die Kernaussagen des Artikels und von Herrn Jamnik für hochgradig irreführend. Die ISO-Zertifizierung ist datenschutzrechtlich völlig unverbindlich. Es handelt sich nicht (!) um ein von den Datenschutzbehörden genehmigtes „Datenschutz-Zertifikat“ nach Art. 28 Abs. 5 DSGVO. „Höchstmögliche DSGVO-Compliance“ kann man damit weder gegenüber den Aufsichtsbehörden noch gegenüber Unternehmen nachweisen.

Leave a Reply

Your email address will not be published.


*