In den ersten drei Artikeln dieser Serie ging es um eine kurze Einführung in die Struktur der ISO 27701:2021 und einen kurzen Überblick über die neuen Controls im Anhang der Norm. In diesem Artikel soll es um die Veränderungen bzw. Erweiterungen der Normkapitel der ISO 27001:2013 durch die ISO 27701:2021 gehen, insbesondere um den Kontext im DSMS.
Erweiterung der Normkapitel der ISO 27001:2013 – Kontext im DSMS
Kapitel 5 der ISO 27701 nennt die Erweiterungen der Normkapitel der ISO 27001 “PIMS-spezifische Anforderungen in Bezug auf ISO/IEC 27001”. PIMS ist die Abkürzung für Privacy Information Management System, also für ein Datenschutzmanagementsystem (DSMS).
Die allgemeinste Anforderung ist, dass überall dort, wo die ISO 27001 von “Informationssicherheit” spricht, dies durch “Informationssicherheit und Datenschutz” zu ersetzen ist.
Spezifische Änderungen, bzw. weitergehende Anforderungen werden für die Kapitel 4 und 6 der ISO 27001:2013 aufgestellt. Die anderen Normkapitel bleiben, abgesehen von der Änderung von “Informationssicherheit” zu “Informationssicherheit und Datenschutz”, unberührt.
Anforderungen zu Kapitel 4.1 der ISO 27001:2013 “Kontext der Organisation”
Zunächst wird gefordert, dass die Organisation als Teil des Kontextes sich ihrer Rolle als verantwortliche Stelle, als gemeinsame verantwortliche Stelle oder als Auftragsverarbeiter bewusst wird. Eine Organisation kann mehrere dieser Rollen gleichzeitig einnehmen.
Weitere interne und externe Themen, die datenschutzrelevant sind, sind z.B. geltende Datenschutzgesetze, geltende Vorschriften, geltende Gerichtsentscheidungen, eigene Richtlinien und Verfahren oder vertragliche Anforderungen.
Anforderungen zu Kapitel 4.2 “Erfordernisse und Erwartungen interessierter Parteien”
Zusätzlich zu den im Bereich Informationssicherheit identifizierten interessierten Parteien (Stakeholder) müssen die Parteien identifiziert werden, die Interessen oder Verantwortlichkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten haben. Das betrifft insbesondere die betroffenen Personen im datenschutzrechtlichen Sinne (vgl. Art. 4 Abs. 1 DSGVO).
Zu den Anforderungen dieser interssierten Parteine können bestimmte technische und organisatorische Maßnahmen (TOMs) gehören oder auch die Forderung des nachweisbaren Betriebs eines DSMS.
Anforderungen zu Kapitel 4.3 “Festlegung des Anwendungsbereichs”
Bei der Festlegung des Anwendungsbereichs des DSMS muss die gesamte Verarbeitung personenbezogener Daten einbezogen sein. Das bedeutet, außerhalb des DSMS dürfen keine personenbezogenen Daten verarbeitet werden. Der Anwendungsbereich kann daher den des zugrundeliegenden ISMS übersteigen oder sich teilweise oder vollständig mit diesem Decken. Im Extremfall kann es auch zu vollständig überschneidungsfreien Anwendungsbereichen kommen, wenn das ISMS einen sehr speziellen und engen Scope hat. Aus praktischen Gründen sollten im Endausbau des ISMS und des DSMS beide Anwendungsbereiche deckungsgleich sein und die gesamte Organisation umfassen.
Wie es weiter geht
Der nächste Artikel dieser Serie zur ISO 27701 beschäftigt sich mit den Themen Führung und Planung.
Was Sie auch interessieren könnte:
Seminar:
“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”
Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.
Podcast:
Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.
Hören Sie rein!