Prüfung eines Datenschutz-Managementsystems gem. ISO/IEC 27701

Die ISO 27701 erweitert die international anerkannten Informationssicherheits-Normen ISO/IEC 27001 und ISO/IEC 27002 um Anforderungen und Richtlinien für das Datenschutz-Management. Es besteht somit die Gelegenheit, das Managementsystem in Anlehnung an die Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu erweitern. Hierbei steht insbesondere der Nachweis der Rechenschaftspflicht im Fokus. Dieser Nachweis kann mit dem Aufbau und Betrieb eines entsprechenden Managementsystems wesentlich erleichtert werden. Um Grundlagen für den Aufbau eines Datenschutzmanagementsystems (DSMS) zu schaffen, wurden hierbei die Anforderungen der DSGVO in die Struktur der bestehenden ISO Managementsystem-Normen eingepasst.

Hierbei richtet sich diese Norm explizit an die Datenschutzorganisation sowohl von „Verantwortlichen“ als auch an „Auftragsverarbeiter“ i. S. d. DSGVO. Im Fokus steht das Management des Datenschutzes. Durch den Betrieb eines DSMS können die Anforderungen der DSGVO strukturiert, organisiert und effizient umgesetzt werden. Durch den Ansatz des zentral gesteuerten Prozesses kann die Unternehmensstrategie durch einheitliche Vorgaben effizient in allen Unternehmensbereichen umgesetzt werden.

Vorteile eines funktionierenden DSMS nach ISO/IEC 27701:

  • Zentral gesteuerte und effiziente Umsetzung von Anforderungen der DSGVO
  • Risikoüberblick
  • Deutliche Verbesserung der internen Prozesse und Verfahren
  • Verbesserte und gesteuerte Identifizierung und Reduzierung von Bedrohungen
  • Professioneller Umgang mit personenbezogenen Daten und dem Schutz von Betroffenen
  • Reduzierung von Haftungs- und Geschäftsrisiken
  • Betrieb eines Prozesses zur kontinuierlichen Verbesserung und Effizienzsteigerung

Die UIMCert bietet Ihnen ein proprietäres Gütesiegel zur Bestätigung der Umsetzung der Anforderungen der ISO 27701 an Ihr DSMS.

Vorteil einer Auditierung und Gütesiegelung Ihres DSMS:

  • Unabhängige Überprüfung/ Bestätigung des Datenschutzes durch Dritte
  • Nachweisfähigkeit der Umsetzung der Anforderungen der DSGVO
  • Aufzeigen von Verbesserungspotential
  • Vertrauensgewinn gegenüber Dritten
  • Wettbewerbsvorteil, z. B. bei Ausschreibungen

Formaler Hinweis:Bei einer Gütesiegelung der UIMCert gem. ISO 27701 handelt es sich nicht um eine Zertifizierung i. S. d. Art. 42 DSGVO.

Warum sollte die UIMCert mit der Durchführung einer solchen Prüfung und Gütesiegelung beauftragt werden?

Die UIMCert ist seit rund 20 Jahren ein führendes Unternehmen im Bereich der Datenschutz-Gütesiegelung und der Informationssicherheits-Zertifizierung und war bis zur Einführung der DS-GVO bei dem „Unabhängiges Landeszentrum für Datenschutz in Schleswig-Holstein“ für das „ULD-Gütesiegel akkreditiert. Darüber hinaus sind wir bei der DAkkS für die Durchführung von Zertifizierungen gem. ISO 27001 akkreditiert. Alle unsere Prozesse zur Erteilung von Gütesiegeln und Zertifizierungen durchlaufen unsere hohen Qualitätssicherungsstandards und werden an unsre Akkreditierungsstandards angelehnt. Somit können wir stetig eine hohe Fachkenntnis und Prüfungsqualität sicherstellen. Durch unsere Erfahrung können wir Sie so gerne durch den Auditierungsprozess begleiten.
 

Wie sieht ein solcher Ablauf aus?

Vorbereitenden Tätigkeiten:

  1. Die Organisation richtet sich nach der ISO/IEC 27701 aus und baut ein DSMS auf.
  2. Anfrage der Organisation (Auditee) nach einer Gütesiegelung bei der UIMCert
  3. Ausfüllen des Fragebogens zur Angebotsermittlung durch den Auditee
  4. Aufwandskalkulation und Angebotserstellung durch die UIMCert
  5. Angebotsannahme durch den Auditee
  6. Vertragsabschluss zwischen Auditee und UIMCert

Auditierungsprozess

Der Prozess zur Erlangung eines Gütesiegels besteht aus 3 Schritten.

1. Stufe-1-Audit:

  • Zur-Verfügung-Stellung der angeforderten Dokumentation (Auditee)
  • Dokumentationsprüfung (UIMCert)
  • Übersendung der Auditergebnisse an den Auditee (UIMCert)

2. Stufe-2-Audit

  • Auditierung der Wirksamkeit der Maßnahmen vor Ort
  • Erstellung des Auditberichts
  • Empfehlung über Gütesiegelerteilung durch den Auditleiter

3. Entscheidung über Gütesiegelvergabe durch den Prüfstellenleiter

Im Stufe-1-Audit findet eine grundsätzliche Betrachtung des Managementsystems auf Basis der Dokumentation als Vorbereitung auf das Stufe-2-Audit dar. Innerhalb des Stufe-1-Audits wird auch die Bereitschaft des Auditees für die Durchführung des Stufe-2-Audits ermittelt.Der Auditee erhält einen Auditbericht mit einem Voting, ob das Stufe-2-Audit durchgeführt werden kann, einschließlich der Hinweise zu identifizierten Schwachstellen, die während des Audits der Stufe 2 als Nichtkonformität eingestuft werden könnten.

Das Stufe-2-Audit beinhaltet das eigentliche Vor-Ort-Audit. Hierbei wird die Umsetzung einschließlich der Wirksamkeit des Datenschutzmanagementsystems des Kunden unter Berücksichtigung der verschiedenen Standorte bewertet – sofern relevant. Ob alle Standorte auditiert werden müssen, oder eine Stichprobenprüfung möglich ist, muss im Vorfeld überprüft werden. Der Auditee erhält die Auditergebnisse sowie das Voting des Auditleiters über die Erteilung des Gütesiegelung in Berichtsform.

Auf Basis des abschließenden Prüfberichts wird durch die Prüfstellenleitung die Entscheidung über die Erteilung (Initialaudit) bzw. Aufrechterhaltung (Überwachungsaudits) oder Verlängerung (Reaudit) des Gütesiegelung getroffen. Ein Gütesiegel ist drei Jahre gültig.

Im Anschluss an das initiale Gütesiegelungsaudit muss die Gütesiegelung über die drei Jahre ihrer Gültigkeit überwacht werden, um die Gütesiegel aufrecht erhalten zu können. Dies geschieht in Form von jährlichen Überwachungsaudits, sodass ein Gütesiegelungszyklus im Regelfall aus einem Gütesiegelungs- bzw. Rezertifizierungsaudit besteht, sowie aus zwei Überwachungsaudits, jeweils eins in den beiden Folgejahren. Das erste Überwachungsaudit ist innerhalb von 12 Monaten nach der Gütesiegelungserteilung, das zweite Überwachungsaudit ist im folgenden Kalenderjahr durchzuführen.

Nach drei Jahren verliert das Gütesiegel seine Gültigkeit. Eine Verlängerung des Gütesiegelung ist durch eine Reauditerung möglich. Das Reauditierungsverfahren muss vor Ablauf der Gültigkeit des Gütesiegels abgeschlossen sein.

Zur Beseitigung erkannter Nichtkonformitäten werden der Organisation entsprechende Fristen gesetzt, um diese zu beheben. Wie bei dem Initialaudit und den Überwachungsaudits wird auch bei dem Reaudit ein Auditbericht erstellt, der die Grundlage für die Entscheidung über die Erneuerung des Gütesiegels durch die Prüfstellenleitung bildet.

Kosten

Für eine Gütesiegelung gem. ISO/IEC 27701 lassen sich die Kosten nicht pauschal beziffern. Die Kosten richten sich nach dem notwendigen Aufwand für die Gütesiegelung. Der Aufwand wird von vielen Faktoren beeinflusst. Diese reichen u. A. von der Anzahl der im Geltungsbereich tätigen Personen über die Risikosituation bis zum Stand der Etablierung des DSMS. Auch die Frage, ob die Erfüllung der Anforderungen gem. ISO 27001 Teil der Audits ist oder nur die Erweiterungen der ISO 27701 die Prüfgrundlage bilden, entscheidet über den notwendigen Auditierungsaufwand und damit über die anfallenden Kosten.

Aus diesem Grund ist der erste Schritt für die Aufwandskalkulation das Ausfüllen unseres „Fragebogens zu Angebotskalkulation“ durch den Auditee.