logo

DSGVO und ISO 27001 im Vergleich

Die DSGVO und ISO 27001 sind zwei wichtige Compliance-Standards, die viel gemeinsam haben. Beide zielen darauf ab, die Datensicherheit zu verbessern und das Risiko von Datenschutzverletzungen zu mindern. Und beide erlegen Unternehmen auf, die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Daten zu gewährleisten. ISO 27001 gehört zu den umfassendsten Standards und basiert auf Best Practices. In Artikel 24 der DSGVO ist geregelt, dass die Einhaltung von Verhaltensregeln und genehmigten Zertifizierungsverfahren wie ISO 27001 als Gesichtspunkt herangezogen werden kann, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. Es ist daher kein Wunder, dass ich häufig gefragt werde: „Erfülle ich die Anforderungen der DSGVO, wenn ich bereits nach ISO 27001 zertifiziert bin?“

Die DSGVO hat jedoch einen wesentlich größeren Geltungsbereich und ein grundlegenderes Verständnis von Datensicherheit und Datenschutz. In diesem Artikel werde ich auf Fragen eingehen, die im Zusammenhang mit ISO 27001 und der DSGVO häufig gestellt werden, damit Sie die Gemeinsamkeiten und Unterschiede dieser Standards besser verstehen. Sie können dann entscheiden, wie Sie das ISO 27001-Rahmenwerk nutzen können, um Audits zur Einhaltung der DSGVO erfolgreich zu bestehen:

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist ein Compliance-Standard zur Verbesserung des Datenschutzes. Er gilt für alle Unternehmen innerhalb und außerhalb der EU, die personenbezogene Daten von EU-Bürgern speichern oder verarbeiten. Die Verordnung ist am 25. Mai 2018 in Kraft getreten und hat seitdem spürbare Auswirkungen auf den Datenschutz in Unternehmen. Die DSGVO stärkt die Rechte der Bürger in Bezug auf ihre personenbezogenen Daten, normiert neue Konzepte (z. B. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) und sieht bei Verstößen hohe Bußgelder vor.

Zu den wichtigsten Anforderungen der DSGVO zählen:

1. Größerer Geltungsbereich der Datenschutzbestimmungen

Die DSGVO hat einen sehr großen Geltungsbereich. Sie deckt nicht nur personenbezogene Informationen wie Namen, Kennnummern und Sozialversicherungsnummern ab, sondern auch medizinische Daten, biometrische Daten, politische Meinungen und vieles mehr (Artikel 5 bis 11).

2. Ausdrückliche Einwilligung als Voraussetzung für die Datenverarbeitung

Gemäß Artikel 6 der DSGVO müssen Unternehmen die ausdrückliche Einwilligung der Personen einholen, deren Daten sie erheben und verarbeiten möchten. Um diese Anforderung zu erfüllen, müssen sie dokumentieren und nachweisen, dass die betroffenen Personen ihre Einwilligung gegeben haben und klar und verständlich dazu aufgefordert wurden.

3. Stärkere Rechte betroffener Personen

Kapitel 3 der DSGVO enthält eine lange Liste von Regelungen, die betroffenen Personen mehr Kontrolle über ihre Daten gewähren. EU-Bürger haben ein Auskunftsrecht, ob sie betreffende personenbezogene Daten verarbeitet werden (Artikel 15), ein Recht auf eine einfache Übermittlung ihrer Daten an einen anderen Serviceanbieter (Artikel 20) und ein Widerspruchsrecht in Bezug auf die Verarbeitung ihrer Daten (Artikel 21). Zu den wichtigsten Bestimmungen der DSGVO gehört das „Recht auf Vergessenwerden“ (Artikel 17). Betroffene Personen können von Unternehmen verlangen, ihre Daten aus sämtlichen Systemen zu löschen. Die DSGVO ist damit der wohl einzige Compliance-Standard, der Verbrauchern die Macht über ihre Daten gibt und ihre Interessen über die Interessen von Unternehmen stellt. Das stellt Unternehmen vielfach vor Herausforderungen:

Leider erachten amerikanische Gesetze den Schutz von Daten der Bürger als nicht so wichtig wie europäische Gesetze. US-Bürger haben keine Möglichkeit, von Unternehmen die Herausgabe und Löschung ihrer Daten zu verlangen. Ziel der DSGVO ist es, die Bürger zu schützen und ihnen umfassenden Einblick zu gewähren, welche Unternehmen ihre sensiblen Daten verarbeiten, wie sie diese verarbeiten und welche Daten sie konkret erheben und speichern. EU-Bürger haben damit sehr weitreichende Möglichkeiten und können verlangen, dass ihre Daten gemäß bestimmten Richtlinien gelöscht werden. Bislang hinken die amerikanischen Gesetze den Anforderungen unserer heutigen Zeit weit hinterher, was den Schutz der Bürger als ,betroffene Personen‘ betrifft. 

Kyle Reyes, Infrastruktur-Systemadministrator, Midland Information Resources

4. Hohe Bußgelder bei Verstößen

Die Geldbußen bei Verstößen gegen Bestimmungen der DSGVO können 2 bis 4 % des Jahresumsatzes eines Unternehmens oder 10 bis 20 Millionen Euro betragen, je nachdem, welcher der Beträge höher ist. Zu den schwerwiegendsten Verstößen zählen versehentliche Zerstörung, Verlust, Änderung oder Übermittlung personenbezogener Daten. Auch wenn ein Unternehmen nicht nachweisen kann, dass es die ausdrückliche Einwilligung zur Verarbeitung personenbezogener Daten eingeholt hat, drohen hohe Geldbußen (Artikel 83 und 84).

5. Strenge Regelungen zur Meldung von Datenschutzverletzungen

Gemäß Artikel 33 müssen Datenverantwortliche Verstöße gegen Datenschutzbestimmungen innerhalb von 72 Stunden, nachdem der Verstoß bekannt wurde, an die Aufsichtsbehörden melden. Erfolgt die Meldung nicht innerhalb dieser Frist, muss das Unternehmen die Verzögerung begründen. Dieser Zeitrahmen ist deutlich geringer als entsprechende Regelungen in US-amerikanischen Compliance-Standards (z. B. HIPAA oder SOX).

Was ist ISO 27001?

ISO 27001 (offizielle Bezeichnung: ISO/IEC 27001:2013) ist eine internationale Norm für Informationssicherheit, die die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren eines Informationssicherheits-Managementsystems (ISMS) beschreibt. Ein ISMS ist ein Rahmenwerk aus Richtlinien und Verfahren, die rechtliche, technische und physische Kontrollen im Rahmen der IT-Risikomanagement-Prozesse eines Unternehmens beinhalten. Bei der Implementierung eines ISMS müssen unter anderem die Geschäftsziele, die Sicherheitsanforderungen, die Größe und die Struktur des Unternehmens berücksichtigt werden.

Durch die Befolgung von Best Practices nach ISO 27001 sind Unternehmen in der Lage, Sicherheitsrisiken zu bewältigen, sensible Daten zu schützen sowie den Umfang und die Beschränkungen ihrer Sicherheitsprogramme zu bestimmen. Der Standard gilt für Unternehmen, Behörden, akademische Einrichtungen und gemeinnützige Organisationen.

Zu den wichtigsten Anforderungen von ISO 27001 zählen:

1. Management von organisationseigenen Werten

Unternehmen müssen einen angemessenen Schutz ihrer Werte sicherstellen und aufrechterhalten, d. h. sie müssen ihre Werte identifizieren und Regeln für die zulässige Nutzung von Informationen dokumentieren (Maßnahmen unter A.8). Darüber hinaus müssen alle Informationen im Hinblick darauf klassifiziert werden, wie wertvoll, sensibel und wichtig sie für das Unternehmen sind und welchen gesetzlichen Anforderungen sie entsprechen müssen.

2. Betriebssicherheit

Diese umfangreichen Maßnahmen beschreiben grundlegende Betriebsverfahren und Verantwortlichkeiten, etwa die Trennung von Entwicklungs-, Test- und Betriebsumgebungen, das Änderungsmanagement und die Dokumentation der Betriebsverfahren (A.12).

3. Zugangssteuerung

Diese Maßnahmen (A.9) enthalten Richtlinien zur Kontrolle der Datennutzung im Unternehmen und zur Vermeidung unerlaubter Zugriffe auf Betriebssysteme, Netzwerkdienste, Einrichtungen zur Datenverarbeitung usw. Hierzu gehören Regeln für die Verwaltung von Benutzerzugriffen, die Verwaltung von privilegierten Zugriffsrechten, Verantwortlichkeiten der Benutzer sowie die Zugriffssteuerung für Systeme und Anwendungen.

4. Handhabung von Informationssicherheitsvorfällen

Die Maßnahmen unter A.16 regeln die Meldung von IT-Sicherheitsereignisse und Schwachstellen, die Handhabung von IT-Sicherheitsvorfällen und die Optimierung der entsprechenden Prozesse. Unternehmen müssen sicherstellen, dass Sicherheitsvorfälle so kommuniziert werden, dass eine zeitnahe und wirksame Reaktion möglich ist.

5. Personalsicherheit

Gemäß den Maßnahmen unter A.7 müssen Unternehmen sicherstellen, dass ihre Mitarbeiter und Auftragnehmer ihre Pflichten im Hinblick auf die Informationssicherheit kennen und diesen nachkommen. Sie müssen Mitarbeiter durch Schulungen für das Thema Informationssicherheit sensibilisieren und disziplinarische Maßnahmen ergreifen, wenn ein Mitarbeiter die Informationssicherheit verletzt.

6. Sicherstellung des Geschäftsbetriebs (Business Continuity)

Diese Maßnahmen (A.17) beschreiben Informationssicherheitsaspekte beim Business-Continuity-Management. Demnach müssen Unternehmen festlegen, wie sie bei Notfällen das Informationssicherheitsmanagement aufrechterhalten, sowie Sicherheitskontrollen dokumentieren, durchführen und regelmäßig überprüfen, um das erforderliche Maß an Business Continuity sicherzustellen.

Mapping ISO 27001 to the GDPR: What are the similarities?

ISO 27001 und die DSGVO überschneiden sich in vielen Bereichen. Die meisten davon betreffen die Informationssicherheit: ISO 27001 enthält ähnliche Datenschutzbestimmungen wie die Artikel 5, 24, 25, 28, 30 und 32 der DSGVO. Hier sind einige Beispiele für Übereinstimmungen zwischen den beiden Standards:

Vertraulichkeit, Verfügbarkeit und Integrität von Daten

In Artikel 5 der DSGVO sind Grundsätze für die Verarbeitung personenbezogener Daten definiert, beispielsweise der „Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“. Ausführlichere Bestimmungen finden sich in Artikel 32, der geeignete technische und organisatorische Maßnahmen vorsieht, um die Sicherheit von Daten zu gewährleisten. Hierzu gehören Verschlüsselung, die Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung, die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten rasch wiederherzustellen, sowie weitere Maßnahmen.

Auch verschiedene Maßnahmen nach ISO 27001 sollen Unternehmen dabei unterstützen, die Vertraulichkeit, Verfügbarkeit und Integrität von Daten zu gewährleisten. Ab Abschnitt 4 ist geregelt, dass Unternehmen interne und externe Probleme identifizieren, die sich auf ihre Sicherheitsprogramme auswirken könnten. Abschnitt 6 sieht vor, dass Unternehmen ihre Ziele für die IT-Sicherheit definieren und ein Sicherheitsprogramm entwickeln, das sie bei der Umsetzung dieser Ziele unterstützt. Abschnitt 8 legt Standards für die Aufrechterhaltung des Sicherheitsprogramms fest und regelt, dass Unternehmen ihr Sicherheitsprogramm zum Nachweis der Einhaltung von Vorschriften dokumentieren müssen.

Risikobewertung

Sowohl ISO 27001 als auch die DSGVO sehen einen risikobasierten Ansatz für die Datensicherheit vor. Gemäß Artikel 35 der DSGVO müssen Unternehmen mithilfe einer Datenschutz-Folgenabschätzung Risiken für die Daten einzelner Personen identifizieren und bewerten. Diese Risikobewertung nach den Vorgaben der DSGVO muss vor der Verarbeitung besonders gefährdeter Daten (z. B. der systematischen Überwachung hochgradig sensibler Daten) zwingend durchgeführt werden.

Auch ISO 27001 empfiehlt Unternehmen die Durchführung einer sorgfältigen Risikobewertung, um Bedrohungen und Schwachstellen zu identifizieren, die ihre Werte gefährden könnten (Abschnitt 6.1.2). In Abschnitt 6.1.3 wird außerdem empfohlen, auf der Grundlage der Ergebnisse dieser Risikobewertung geeignete Maßnahmen zur Gewährleistung der Datensicherheit zu ergreifen.

Zusammenarbeit mit externen Dienstleistern

Gemäß Abschnitt 8 von ISO 27001 müssen Unternehmen festlegen, welche Prozesse für die Datenverarbeitung ausgelagert werden, und sicherstellen, dass sie die Kontrolle über diese Prozesse behalten. Abschnitt A.15 enthält konkrete Leitlinien zu den Lieferantenbeziehungen und sieht vor, dass Unternehmen die Erbringung von Dienstleistungen durch Lieferanten überwachen und überprüfen.

Artikel 28 der DSGVO beinhaltet vergleichbare Regelungen. Demnach müssen Datenverantwortliche dafür sorgen, dass die Datenverarbeitung durch Auftragsverarbeiter auf der Grundlage eines Vertrags erfolgt.

Meldung von Datenschutzverletzungen

Gemäß den Artikeln 33 und 34 der DSGVO sind Unternehmen verpflichtet, eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden den Behörden zu melden. Auch die betroffenen Personen müssen unverzüglich benachrichtigt werden, jedoch nur, wenn die Datenschutzverletzung ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen darstellt.

Abschnitt A.16 von ISO 27001 beschreibt die Maßnahmen zur Handhabung von Informationssicherheitsvorfällen, gibt jedoch keinen genauen Zeitrahmen für die Meldung von Datenschutzverletzungen vor. Es wird lediglich festgelegt, dass Unternehmen Sicherheitsvorfälle umgehend melden und so kommunizieren müssen, dass zeitnah Gegenmaßnahmen ergriffen werden können.

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Gemäß Artikel 25 der DSGVO müssen Unternehmen in der Gestaltungsphase aller Projekte technische und organisatorische Maßnahmen ergreifen, damit das Recht auf Datenschutz von Anfang an gewährleistet ist („Datenschutz durch Technikgestaltung“). Zudem müssen Unternehmen durch entsprechende Voreinstellungen sicherstellen, dass ausschließlich Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist („Datenschutz durch datenschutzfreundliche Voreinstellungen“).

Ähnliche Anforderungen sind in den Abschnitten 4 und 6 von ISO 27001 definiert. Abschnitt 4 sieht vor, dass Unternehmen den Umfang und Kontext der von ihnen erhobenen und verarbeiteten Daten kennen, während Abschnitt 6 empfiehlt, dass durch eine regelmäßige Beurteilung der Sicherheitsrisiken die Wirksamkeit des Sicherheitsmanagement-Programms gewährleistet wird.

Aufzeichnungen

Artikel 30 der DSGVO regelt, dass Unternehmen ein Verzeichnis ihrer Verarbeitungstätigkeiten führen müssen, das unter anderem die Kategorien der personenbezogenen Daten, der Zweck der Verarbeitung und eine allgemeine Beschreibung der relevanten technischen und organisatorischen Sicherheitsmaßnahmen beinhaltet.

ISO 27001 sieht ebenfalls vor, dass Unternehmen ihre Sicherheitsprozesse sowie die Ergebnisse ihrer Beurteilung von Sicherheitsrisiken und deren Behandlung dokumentieren (Abschnitt 8). Gemäß den Maßnahmen unter A.8 müssen Informationen inventarisiert und klassifiziert werden. Darüber hinaus müssen Unternehmen Verantwortliche für diese Werte bestimmen und Vorgehensweisen für die zulässige Verarbeitung dieser Daten definieren.

Garantiert die Einhaltung von ISO 27001 die Einhaltung der DSGVO?

Wie Sie sehen können, lässt sich die Einhaltung der DSGVO durch eine Zertifizierung nach ISO 27001 vereinfachen. Es gibt jedoch einige Unterschiede zwischen diesen Standards. Die DSGVO ist ein globaler Standard mit einer strategischen Vision, wie Unternehmen den Schutz von Daten zu gewährleisten haben. ISO 27001 hingegen besteht aus Best Practices, deren Schwerpunkt auf der Informationssicherheit liegt. Die Norm beinhaltet praktische Ratschläge, wie Informationen geschützt und Cyberbedrohungen abgewehrt werden können. Die in Kapitel 3 der DSGVO (Rechte betroffener Personen) beschriebenen Datenschutzaspekte werden durch ISO 27001 nicht direkt abgedeckt:

  • Einwilligung – Datenverantwortliche müssen nachweisen, dass betroffene Personen ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten gegeben haben (Artikel 7 und 8). Die Bitte um Einwilligung muss in leicht zugänglicher Form übermittelt werden und auch den Zweck der Datenverarbeitung beinhalten. Betroffene Personen haben außerdem das Recht, ihre Einwilligung zur Datenverarbeitung jederzeit zu widerrufen.
  • Datenübertragbarkeit – Betroffene Personen haben das Recht, die sie betreffenden personenbezogenen Daten zu erhalten und für eigene Zwecke weiterzuverwenden sowie ohne Behinderung an einen anderen Verantwortlichen zu übermitteln (Artikel 20).
  • Das Recht auf Vergessenwerden – Betroffene Personen haben das Recht, die unverzügliche Löschung ihrer personenbezogenen Daten zu verlangen oder die Weitergabe dieser Daten zu untersagen (Artikel 17).
  • Recht auf Einschränkung der Verarbeitung – Betroffene Personen haben das Recht, von Unternehmen die Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen, wenn die Daten unrechtmäßig verarbeitet wurden oder die Richtigkeit der Daten von der betroffenen Person bestritten wird (Artikel 18).
  • Widerspruchsrecht – Betroffene Personen haben das Recht, Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten für Direktwerbung, die Durchführung rechtlicher Aufgaben oder Forschungszwecke und statistische Zwecke einzulegen (Artikel 21).
  • Internationale Übermittlung personenbezogener Daten – Unternehmen müssen sicherstellen, dass die internationale Datenübermittlung gemäß den von der Europäischen Kommission erlassenen Bestimmungen erfolgt (Artikel 46).

Zusammenfassung

Wie deutlich wurde, liegt der Schwerpunkt der DSGVO auf dem Datenschutz und insbesondere auf dem Schutz personenbezogener Informationen. Sie verlangt von Unternehmen mehr Anstrengungen, was das Einholen der ausdrücklichen Einwilligung zur Erhebung von Daten und das Gewährleisten einer rechtmäßigen Datenverarbeitung betrifft. Nicht geregelt sind darin jedoch die technischen Details, wie ein angemessenes Maß an Datensicherheit gewährleistet oder interne und externe Bedrohungen gemindert werden können. Hilfestellung bietet hier ISO 27001: Die Norm gibt praktische Ratschläge zur Entwicklung klar definierter, umfassender Richtlinien, mit denen sich Sicherheitsrisiken minimieren lassen, die Sicherheitsvorfälle nach sich ziehen könnten.

Zwar wird durch die Einhaltung von ISO 27001 die Einhaltung der DSGVO nicht garantiert, doch ist dies ein wichtiger Schritt. Für Unternehmen empfiehlt sich deshalb eine Zertifizierung nach ISO 27001, um sicherzustellen, dass ihre Sicherheitsmaßnahmen einen ausreichenden Schutz sensibler Daten gewährleisten.

Datenschutz-Management  nach der DSGVO