[IITR – 2.10.20] Die ISO (International Organization for Standardization) hat mit dem Standard ISO27701 einen Zertifizierungs-Standard für Datenschutz-Management-Prozesse geschaffen. Unternehmen können damit in Ergänzung einer bestehenden Informations-Sicherheits-Zertifizierung nach ISO27001 künftig auch ihre Datenschutz-Prozesse überprüfen und zertifizieren lassen. Unser webbasiertes Datenschutz-Management-System Compliance-Kit 2.0 wurde in Anlehnung an ISO27701 aufgebaut. Der folgende Beitrag zeigt, wir Unternehmen mit Hilfe unseres Systems ihre Prozesse nach ISO-Standards ausrichten können.
Datenschutz als Prozess verstehen
Professioneller Datenschutz muss als Prozess verstanden werden. In gleicher Weise, in der sich Unternehmen verändern, neue Systeme einführen und auf sich verändernde Rahmenbedingungen reagieren muss auch die datenschutzrechtliche Begleitung regelmäßig nachgeführt werden. Dieses Prinzip greift auch die ISO27701 auf und verlangt von den Unternehmen einen kontinuierlichen Verbesserungsprozess (so genannter „PDCA-Zyklus“ für „Plan – Do – Check – Act“). Die französische Datenschutz-Aufsichtsbehörde CNIL hat den ISO27701 mit erarbeitet und empfiehlt diesen auch für die betriebliche Praxis.
Im Compliance-Kit 2.0 sind nicht nur entsprechende Vorlagen für die innerbetriebliche Regelung beinhaltet, es können auch entsprechende Unterlagen zur Dokumentation des Datenschutz-Geschehens aktiv gemanaged werden. Z.B. können der Bearbeitungs-Status von Dokumenten („offen“, „in Bearbeitung“, „bearbeitet“) überwacht und automatische Erinnerungsroutinen für Dokumente gesetzt werden.
„Kontext der Organisation“
Die ISO-Normvorgaben empfehlen eine Festlegung, in welchem Kontext die Organisation tätig ist. Welche internen und externen Themen stehen bei der Umsetzung der DS-GVO aus Unternehmenssicht in besonderem Focus? Daraus abgeleitet kann dann der genaue Anwendungsbereich des Datenschutz-Management-Systems bestimmt werden.
Auch hier halten wir im Compliance-Kit 2.0 entsprechende Vorlagen bereit.
Interessierte Parteien
Um im Rahmen der ISO-Vorgaben später zielgerichtet die Wirksamkeit von Maßnahmen beurteilen zu können hat zudem zu Beginn eine Analyse und Festlegung der so genannten „interessierten Parteien“ zu erfolgen.
Auch hier halten wir im Compliance-Kit 2.0 Vorlagen zur Dokumentation der externen und internen Interessensgruppen an den Datenschutz des Unternehmens bereit.
Seite „Status Dokumente“ im Compliance-Kit 2.0: zentrale Lenkung von Datenschutz-Prozessen (zum Vergrößern auf das Bild klicken).Datenschutzpolitik und Leitlinie
Neben dem Datenschutz-Handbuch mit der Definition der detaillierten Datenschutz-Prozesse beinhaltet das Compliance-Kit 2.0 auch Vorlagen für die Beschreibung der eigenen Datenschutzpolitik sowie eine Datenschutzleitlinie, um die begleitenden ISO-Vorgaben adressieren zu können.
Verpflichtung und Sensibilisierung
Die mit der Verarbeitung personenbezogenen Daten Beschäftigten müssen auf die Einhaltung des Datenschutzes verpflichtet werden sowie regelmäßig geschult und sensibilisiert werden. Je nach Tätigkeitsumfeld müssen weitergehenden Vereinbarungen mit den Beschäftigten geschlossen werden, z.B. zur E-Mail- und Internetnutzung, zu mobilem Arbeiten, zur Nutzung privater Hardware etc.
Auch hier halten wir im Compliance-Kit 2.0 Vorlagen zur Dokumentation der verschiedenen Vereinbarungen mit den mit der Verarbeitung personenbezogener Daten Beschäftigten bereit.
Durch die Nutzung des eLearning-Systems können die mit der Verarbeitung personenbezogenen Daten Beschäftigten mit einem überschaubaren Aufwand geschult werden.
Risikomanagement
Durch ihre Dokumentation können die identifizierten Risiken transparent gemacht, bewertet und der obersten Leitung des Unternehmens vermittelt werden. Damit ist die oberste Leitung in der Lage, eine strukturierte Risikobearbeitung zur Verbesserung des implementierten Datenschutz-Management-Systems vorzunehmen.
Auch hier halten wir im Compliance-Kit 2.0 Vorlagen zur Dokumentation der Risiken und der damit einhergehenden Maßnahmen bereit.
Verarbeitungstätigkeiten
Um eine datenschutzkonforme Verarbeitung von personenbezogenen Daten zu gewährleisten müssen alle Verarbeitungstätigkeiten gemäß den Vorgaben der DS-GVO dokumentiert werden. Dabei stehen Fragen zu den von der Verarbeitung Betroffenen, den verarbeiteten Datenkategorien, den Zugriffsberechtigten und Empfängern, den Löschfristen, der Rechtsgrundlage zur Verarbeitung, den Dienstleistern und den technischen und organisatorischen Maßnahmen im Mittelpunkt.
Auch hier halten wir im Compliance-Kit 2.0 Vorlagen zur Dokumentation der Verarbeitungstätigkeiten bereit.
Externe Dienstleister
Externe Dienstleister müssen durchgängig gesteuert und überwacht werden. Dazu müssen entsprechenden Vereinbarungen mit den Dienstleistern geschlossen werden. Sofern ein Dienstleister als Auftragsverarbeiter tätig wird, müssen vor der Auftragsvergabe und sodann regelmäßig die beim Auftragsverarbeiter eingerichteten technischen und organisatorischen Maßnahmen geprüft werden.
Auch hier halten wir im Compliance-Kit 2.0 Vorlagen zur Dokumentation der Verpflichtung von Dienstleistern bereit.
Technische und organisatorische Maßnahmen
Das Unternehmen muss nachweisen, dass die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten angemessene und wirksam sind. Dabei ist mit einem risikobasierten Ansatz der Umstand zu berücksichtigen, dass die Maßnahmen immer auf die Wahrung der Schutzrechte der von der Verarbeitung Betroffenen abzustellen sind.
Auch hier halten wir im Compliance-Kit 2.0 Vorlagen zur Dokumentation der technischen und organisatorischen Maßnahmen bereit.
Alternative zu ISO27701 für kleine Unternehmen: PSE der IITR Datenschutz GmbH
Eine Zertifizierung nach ISO27001 mit dem Zusatz der ISO27701 stellt gerade für kleinere Unternehmen häufig einen unvertretbar hohen zeitlichen wie finanziellen Aufwand dar. Dennoch sind auch kleinere Unternehmen von einer professionellen Struktur der eigenen Maßnahmen zum Datenschutz und zur Informationssicherheit abhängig. Diese Unternehmen unterstützen wir bei Bedarf mit unserem webbasierten Audit-System Privacy Status Evaluation, kurz PSE genannt. Mit dessen Hilfe kann der eigene Prozess-Status in Bezug auf den Datenschutz und die Informationssicherheit auditiert werden. Weitere Informationen zu unserem Audit-System PSE und den verschiedenen Prüfstandards finden Sie hier.
Fazit: Compliance-Kit 2.0 zur Erfüllung der DSGVO-Rechenschaftspflicht
Über die zentrale Ablage der Datenschutz-Unterlagen im Compliance-Kit 2.0 können sämtliche Unterlagen versioniert und mit Zeitstempel versehen verwaltet werden. So können Änderungen nachverfolgt und die Einhaltung der eigenen Prozess-Vorgaben auditfähig hinterlegt werden.
Unter diesem Link können Sie einen kostenfreien Testzugang für das Compliance-Kit 2.0 erhalten.
Autoren:
Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer DatenschutzbeauftragterTelefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
Begriffserklärungen PSE und CPS
- Bei PSE (Privacy Status Evaluation) handelt es sich um ein webbasiertes Datenschutz-Audit-Werkzeug, mit Hilfe dessen Datenschutz messbar gemacht werden kann.
- Bei CPS (Certified Privacy Standard) handelt es sich um Prüf- und Zertifizierungsstandards, nach deren Maßgabe über PSE der Datenschutz abgefragt werden kann. Die Zertifizierungs-Standards verfügen noch begleitend über ein Konformitätsbewertungs-Programm.
- PSE und CPS sind eingetragene Marken der IITR Datenschutz GmbH.
The post Datenschutz-Management und ISO27701: Compliance-Kit 2.0 first appeared on Das Datenschutz-Blog.