ISO 27701:2025 – Das Datenschutz-Managementsystem
Am 16. Oktober war es nach langer Wartezeit endlich so weit, die neue ISO 27701 wurde veröffentlicht. Nun kann das Datenschutz-Managementsystem auch ohne ein Informationssicherheits-Managementsystem nach ISO 27001 zertifiziert werden. Die Norm folgt dabei der harmonisierten Struktur (HS), ist also analog anderen Normen wie der 9001 aufgebaut.
© Storyblocks, Registriert auf Andreas Wisler
Wie bekannt aus anderen Normen, wird im Kapitel 1 der Anwendungsbereich definiert. Die Norm legt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Datenschutz-Informationsmanagementsystems (DSMS / englisch PIMS) fest. Der Fokus sind dabei Verantwortliche und Auftragsverarbeiter für personenbezogene Daten (PII), die für die Verarbeitung personenbezogener Daten verantwortlich und rechenschaftspflichtig sind, unabhängig von deren Art und Grösse.
Kapitel 2 enthält normative Referenzen, hier nur auf die ISO/IEC 29100, dem Rahmenwerk für den Datenschutz (aktuelle Ausgabe ist aus dem Jahr 2024). Im Kapitel 3 werden Begriffe, Definitionen und Abkürzungen eingeführt. Insgesamt sind es 25 neue Begriffe: Organisation, interessierte Partei, oberste Leitung, Managementsystem, Richtlinien, Ziel, Risiko, Prozess, Kompetenz, dokumentierte Information, Leistung, kontinuierliche Verbesserung, Wirksamkeit, Anforderung, Konformität, Nichtkonformität, Korrekturmassnahme, Audit, Messung, Überwachung, Gemeinsamer Verantwortlicher für personenbezogene Daten, Kunde, Datenschutz-Informationsmanagementsystem, Informationssicherheitsprogramm und Anwendbarkeitserklärung.
Das Managementsystem startet mit Kapitel 4, dem Kontext der Organisation. Dazu müssen die externen und internen Themen bestimmt werden. Die Norm erwähnt dabei geltende Datenschutzgesetze und Vorschriften, Gerichtsentscheidungen, Richtlinien und Verfahren, Verwaltungsentscheidungen oder vertragliche Anforderungen. Auch gehört der Klimawandel dazu (in den anderen Normen als Addendum ergänzt). Eine wichtige Definition ist das Feststellen, ob die Organisation als Verantwortlicher und/oder als Auftragsverarbeiter für personenbezogenen Daten fungiert.
Als zweites gilt es das Verständnis für die Bedürfnisse und Erwartungen der betroffenen Parteien festzuhalten. Das können Kunden, Partner, Lieferanten oder Aufsichtsbehörden sein. Die Norm verwendet den Begriff «Kunde» (leider) für drei Arten:
- eine Organisation, die einen Vertrag mit einem PII-Verantwortlichen hat
- ein PII-Verantwortlicher, der einen Vertrag mit einem PII-Auftragsverarbeiter hat
- ein PII-Verarbeiter, der einen Vertrag mit einem Subunternehmer für die PII-Verarbeitung hat
Dies macht es nicht immer einfach festzustellen, welche Rolle genau gemeint ist. Als letzten Punkt gilt es noch den Geltungsbereich des Managementsystems festzulegen und es einzurichten, zu implementieren, aufrechtzuerhalten und kontinuierlich zu verbessern.
Nachdem der Rahmen festgelegt ist, werden die Anforderungen an die Führung, die in der Norm als oberste Leitung bezeichnet wird, festgelegt. Dazu gehören die Definition der Datenschutzrichtlinien und Datenschutzziele, das Integrieren des Datenschutzes in die Geschäftsprozesse, das Bereitstellen der erforderlichen Ressourcen, das Schaffen der Awareness, dafür zu sorgen, dass die beabsichtigten Ergebnisse erzielt, die kontinuierliche Verbesserung sowie die Unterstützung alle relevanten Funktionen sicherzustellen.
Die Norm verlangt ebenfalls, dass eine Datenschutzerklärung erstellt, dokumentiert, kommuniziert und den interessierten Parteien zur Verfügung steht. Weiter sind die Rollen, Verantwortlichen und Befugnisse festzulegen.
Wie in der ISO 27001 ist auch bei dieser Norm das Risiko-Management ein zentraler Punkt. Dazu muss ein Prozess zur Bewertung von Datenschutzrisiken definiert und angewendet werden. Auch müssen die Kriterien zur Bewertung der Risiken inkl. der Risiko-Akzeptanz festgelegt sein. Wichtig ist, dass wiederholte Datenschutz-Risikobewertungen konsistente, valide und vergleichbare Ergebnisse liefern. Jedes Risiko muss einem Verantwortlichen zugewiesen werden. Nicht akzeptierte Risiken gilt es entsprechend zu behandeln. Dies kann beispielsweise mit Kontrollen sichergestellt werden. Die Norm verlangt zudem ein Informationssicherheitsprogramm umzusetzen und listet dazu 15 Themen auf. Diese entsprechen den Anforderungen aus der ISO 27002. Weiter gehört das Erstellen einer Anwendbarkeitserkärung der Massnahmen aus Anhang A dazu.
Das Kapitel 6.2 verlangt die Definition von Datenschutzzielen und einen Plan zur Erreichung dieser. Sie müssen messbar sein, geltende Anforderungen berücksichtigen, überwacht, kommuniziert, aktualisiert und dokumentiert werden.
Das Kapitel 7 beschreibt die unterstützenden Themen. Dazu gehören das Bestimmen und Bereitstellen von Ressourcen, die notwendige Kompetenz festzulegen, das Bewusstsein (Awareness) der involvierten Personen sicherzustellen, die Kommunikation sowie die Dokumentation zu definieren.
Nachdem die Grundlagen geschaffen sind, wird in Kapitel 8 der Betrieb beschrieben. Es gilt die Prozesse zu planen, zu implementieren und zu kontrollieren. Damit dies möglich ist, sind die Kriterien für die Prozesse festzulegen. Änderungen sind ebenfalls zu planen. Auch müssen extern bereitgestellte Prozesse, Produkte oder Dienstleistungen kontrolliert werden.
In Kapitel 9 folgt die Leistungsbewertung. Dazu muss zuerst festgelegt werden, was überwacht und gemessen wird, die Methoden dazu sowie wann die Ergebnisse der Überwachung und Messung analysiert und bewertet werden. Ein Werkzeug dazu ist das interne Audit. Dieses muss in geplanten Abständen gemäss dem internen Audit-Programm durchgeführt werden. Das Programm definiert die Ziele, Kriterien, den Umfang sowie bestimmt objektive und unparteiische Auditoren. Die Ergebnisse sind den zuständigen Führungskräften zu melden. Der letzte Punkt legt den Rahmen für die Managementbewertung fest. Gegenüber anderen Normen sind es hier «nur» fünf Punkte.
Das vorletzte Kapitel beschreibt die Verbesserung. Die Eignung, Angemessenheit und Wirksamkeit des Managementsystems müssen kontinuierlich verbessert werden. Sollten Nichtkonformitäten festgestellt werden, ist die Ursache zu erfassen und geeignete Massnahmen zur Beseitigung umzusetzen. Im Nachgang ist die Wirksamkeit der ergriffenen Korrekturmassnahmen zu überprüfen.
Im Unterschied zu anderen Normen ist noch ein 11. Kapitel vorhanden. Es weist darauf hin, dass im Anhang C eine Zuordnung zwischen den Bestimmungen der Norm und den Datenschutzgrundsätzen aus ISO/IEC 29100, in Anhang D eine Zuordnung der Kontrollen zur Datenschutz-Grundverordnung der Europäischen Union, in Kapitel E eine Zuordnung zu den Bestimmungen aus ISO/IEC 27018 (Schutz von personenbezogenen Daten in Cloud-Diensten) und ISO/IEC 29151 (Verhaltenskodex für den Schutz personenbezogener Daten) sowie in Kapitel F ein Vergleich zur vorherigen Ausgabe der ISO 27701 aus dem Jahr 2019 abgebildet ist.
Der normative Anhang A listet im ersten Teil Kontrollziele und Kontrollen für PII-Verantwortliche auf. Sie sind unterteilt in:
- Bedingungen für die Erhebung und Verarbeitung (8 Punkte)
- Verpflichtungen gegenüber den PII-Auftraggebern (10 Punkte)
- Privacy by Design und Privacy by Default (9 Punkte)
- Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten (4 Punkte)
Der zweite Teil umfasst Kontrollziele und Kontrollen für PII-Verarbeiter. Die Kontrollen sind unterteilt in:
- Bedingungen für die Erhebung und Verarbeitung (6 Punkte)
- Verpflichtungen gegenüber den Betroffenen (1 Punkt)
- Privacy by Design und Privacy by Default (3 Punkte)
- Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten (8 Punkte)
Der dritte Teil beschreibt die Kontrollziele und Kontrollen für PII-Verantwortliche und PII-Verarbeiter. Diese wurden aus der ISO 27001, Anhang A übernommen. Die ISO 27001 umfasst 93 Massnahmen, in der ISO 27701 sind 29 davon enthalten. Diese sind (in Klammern ISO 27001:2022):
- Informationssicherheitspolitik und -richtlinien (A.5.1)
- Informationssicherheitsrollen und -verantwortlichkeiten (A.5.2)
- Klassifizierung von Informationen (A.5.12)
- Kennzeichnung von Informationen (A.5.13)
- Informationsübermittlung (A.5.14)
- Identitätsmanagement (A.5.16)
- Zugangsrechte (A.5.18)
- Behandlung der Informationssicherheit in Lieferantenvereinbarungen (A.5.20)
- Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen (A.5.24)
- Reaktion auf Informationssicherheitsvorfälle (A.5.26)
- Juristische, gesetzliche, regulatorische und vertragliche Anforderungen (A.5.31)
- Schutz von Aufzeichnungen (A.5.33)
- Unabhängige Überprüfung der Informationssicherheit (A.5.35)
- Einhaltung von Richtlinien, Vorschriften und Normen für die Informationssicherheit (A.5.36)
- Informationssicherheitsbewusstsein, -ausbildung und -schulung (A.6.3)
- Vertraulichkeits- oder Geheimhaltungsvereinbarungen (A.6.6)
- Aufgeräumte Arbeitsumgebung und Bildschirmsperren (A.7.7)
- Speichermedien (A.7.10)
- Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln (A.7.14)
- Endpunktgeräte des Benutzers (A.8.1)
- Sichere Authentisierung (A.8.5)
- Sicherung von Informationen (A.8.13)
- Protokollierung (A.8.15)
- Verwendung von Kryptographie (A.8.24)
- Lebenszyklus einer sicheren Entwicklung (A.8.25)
- Anforderungen an die Anwendungssicherheit (A.8.26)
- Sichere Systemarchitektur und Entwicklungsgrundsätze (A.8.27)
- Ausgegliederte Entwicklung (A.8.30)
- Testdaten (A.8.33)
Während die ISO 27001 in zwei Dokumente unterteilt ist, sind beide Teile in der ISO 27701 enthalten. Der Anhang B beschreibt die aus Anhang A aufgeführten Punkte, jeweils die Massnahme sowie eine Anleitung zur Umsetzung.
Gleichzeitig mit der ISO 27701 wurde auch die ISO 27706 veröffentlicht. Sie legt fest, wie akkreditierte Zertifizierungsstellen das Datenschutz-Managementsystem zu prüfen haben.
Die neue ISO/IEC 27701:2025 bringt einen deutlichen Fortschritt. Das Datenschutz-Informations-Management-System kann nun als eigenständiger Standard genutzt werden, ohne dass vorher die ISO/IEC 27001 zertifiziert werden muss. Alles in allem stellt die Revision einen ansprechenden Rahmen für Unternehmen dar, die durch Datenschutz Vertrauen aufbauen und ihre Privacy-Governance effizienter und internationaler gestalten wollen.
Vergleich der alten Anhänge A und B mit der neuen Ausgabe. In rot die veränderten Text-Stellen.
| A.7.2.1 Identify and document purpose | A.1.2.2 Identify and document purpose | The organization shall identify and document the specific purposes for which the PII will be processed. |
| A.7.2.2 Identify lawful basis | A.1.2.3 Identify lawful basis | The organization shall determine, document and be able to demonstrate compliance with the relevant lawful basis for the processing of PII for the identified purposes. |
| A.7.2.3 Determine when and how consent is to be obtained | A.1.2.4 Determine when and how consent is to be obtained | The organization shall determine and document a process by which it can demonstrate if, when and how consent for the processing of PII was obtained from PII principals. |
| A.7.2.4 Obtain and record consent | A.1.2.5 Obtain and record consent | The organization shall obtain and record consent from PII principals according to the documented processes. |
| A.7.2.5 Privacy impact assessment | A.1.2.6 Privacy impact assessment | The organization shall assess the need for, and implement where appropriate, a privacy impact assessment whenever new processing of PII or changes to existing processing of PII is planned. |
| A.7.2.6 Contracts with PII processors | A.1.2.7 Contracts with PII processors | The organization shall have a written contract with any PII processor that it uses, and shall ensure that their contracts with PII processors address the implementation of the appropriate controls in Annex A (see Table A.2). |
| A.7.2.7 Joint PII controller | A.1.2.8 Joint PII controller | The organization shall determine respective roles and responsibilities for the processing of PII (including PII protection and security requirements) with any joint PII controller. |
| A.7.2.8 Records related to processing PII | A.1.2.9 Records related to processing PII | The organization shall determine and securely maintain the necessary records in support of its obligations for the processing of PII. |
| A.7.3.1 Determining and fulfilling obligations to PII principals | A.1.3.2 Determining and fulfilling obligations to PII principals | The organization shall determine and document its legal, regulatory and business obligations to PII principals related to the processing of their PII and provide the means to meet these obligations. |
| A.7.3.2 Determining information for PII principals | A.1.3.3 Determining information for PII principals | The organization shall determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision. |
| A.7.3.3 Providing information to PII principals | A.1.3.4 Providing information to PII principals | The organization shall provide PII principals with clear and easily accessible information identifying the PII controller and describing the processing of their PII. |
| A.7.3.4 Providing mechanism to modify or withdraw consent | A.1.3.5 Providing mechanism to modify or withdraw consent | The organization shall provide a mechanism for PII principals to modify or withdraw their consent. |
| A.7.3.5 Providing mechanism to object to PII processing | A.1.3.6 Providing mechanism to object to PII processing | The organization shall provide a mechanism for PII principals to object to the processing of their PII. |
| A.7.3.6 Access, correction and/or erasure | A.1.3.7 Access, correction or erasure | The organization shall implement policies, procedures or mechanisms to meet its obligations to PII principals to access, correct or erase their PII. |
| A.7.3.7 PII controllers' obligations to inform third parties | A.1.3.8 PII controllers' obligations to inform third parties | The organization shall inform third parties with whom PII has been shared of any modification, withdrawal or objections pertaining to the shared PII, and implement appropriate policies, procedures or mechanisms to do so. |
| A.7.3.8 Providing copy of PII processed | A.1.3.9 Providing copy of PII processed | The organization shall be able to provide a copy of the PII that is processed, when requested by the PII principal. |
| A.7.3.9 Handling requests | A.1.3.10 Handling requests | The organization shall define and document policies and procedures for handling and responding to legitimate requests from PII principals. |
| A.7.3.10 Automated decision making | A.1.3.11 Automated decision making | The organization shall identify obligations, including legal obligations, to the PII principals resulting from decisions made by the organization which are related to the PII principal based solely on automated processing of PII, and be able to demonstrate how it addresses these obligations. |
| A.7.4.1 Limit collection | A.1.4.2 Limit collection | The organization shall limit the collection of PII to the minimum that is relevant, proportional and necessary for the identified purposes. |
| A.7.4.2 Limit processing | A.1.4.3 Limit processing | The organization shall limit the processing of PII to that which is adequate, relevant and necessary for the identified purposes. |
| A.7.4.3 Accuracy and quality | A.1.4.4 Accuracy and quality | The organization shall ensure and document that PII is as accurate, complete and up to date as necessary for the purposes for which it is processed, throughout the life cycle of the PII. |
| A.7.4.4 PII minimization objectives | A.1.4.5 PII minimization objectives | The organization shall define and document data minimization objectives and what mechanisms (such as de-identification) are used to meet those objectives. |
| A.7.4.5 PII de-identification and deletion at the end of processing | A.1.4.6 PII de-identification and deletion at the end of processing | The organization shall either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s). |
| A.7.4.6 Temporary files | A.1.4.7 Temporary files | The organization shall ensure that temporary files created as a result of the processing of PII are disposed of (e.g. erased or destroyed) following documented procedures within a specified, documented period. |
| A.7.4.7 Retention | A.1.4.8 Retention | The organization shall not retain PII for longer than is necessary for the purposes for which the PII is processed. |
| A.7.4.8 Disposal | A.1.4.9 Disposal | The organization shall have documented policies, procedures or mechanisms for the disposal of PII. |
| A.7.4.9 PII transmission controls | A.1.4.10 PII transmission controls | The organization shall subject PII transmitted (e.g. sent to another organization) over a data-transmission network to appropriate controls designed to ensure that the data reaches its intended destination. |
| A.7.5.1 Identify basis for PII transfer between jurisdictions | A.1.5.2 Identify basis for PII transfer between jurisdictions | The organization shall identify and document the relevant basis for transfers of PII between jurisdictions. |
| A.7.5.2 Countries and international organizations to which PII can be transferred | A.1.5.3 Countries and international organizations to which PII can be transferred | The organization shall specify and document the countries and international organizations to which PII can possibly be transferred. |
| A.7.5.3 Records of transfer of PII | A.1.5.4 Records of transfer of PII | The organization shall record transfers of PII to or from third parties and ensure cooperation with those parties to support future requests related to obligations to the PII principals. |
| A.7.5.4 Records of PII disclosure to third parties | A.1.5.5 Records of PII disclosures to third parties | The organization shall record disclosures of PII to third parties, including which PII has been disclosed, to whom and at what time. |
| B.8.2.1 Customer agreement | A.2.2.2 Customer agreement | The organization shall ensure, where relevant, that the contract to process PII addresses the organization's role in providing assistance with the customer's obligations (taking into account the nature of processing and the information available to the organization). |
| B.8.2.2 Organization's purposes | A.2.2.3 Organization's purposes | The organization shall ensure that PII processed on behalf of a customer are only processed for the purposes expressed in the documented instructions of the customer. |
| B.8.2.3 Marketing and advertising use | A.2.2.4 Marketing and advertising use | The organization shall not use PII processed under a contract for the purposes of marketing and advertising without establishing that prior consent was obtained from the appropriate PII principal. The organization shall not make providing such consent a condition for receiving the service. |
| B.8.2.4 Infringing instruction | A.2.2.5 Infringing instruction | The organization shall inform the customer if, in its opinion, a processing instruction infringes applicable legal requirements. |
| B.8.2.5 Customer obligations | A.2.2.6 Customer obligations | The organization shall provide the customer with the appropriate information such that the customer can demonstrate compliance with their obligations. |
| B.8.2.6 Records related to processing PII | A.2.2.7 Records related to processing PII | The organization shall determine and maintain the necessary records in support of demonstrating compliance with its obligations (as specified in the applicable contract) for the processing of PII carried out on behalf of a customer. |
| B.8.3.1 Obligations to PII principals | A.2.3.2 Comply with obligations to PII principals | The organization shall provide the customer with the means to comply with its obligations related to PII principals. |
| B.8.4.1 Temporary files | A.2.4.2 Temporary files | The organization shall ensure that temporary files created as a result of the processing of PII are disposed of (e.g. erased or destroyed) following documented procedures within a specified, documented period. |
| B.8.4.2 Return, transfer or disposal of PII | A.2.4.3 Return, transfer or disposal of PII | The organization shall be able to return, transfer or dispose of PII in a secure manner. It shall also make its policy available to the customer. |
| B.8.4.3 PII transmission controls | A.2.4.4 PII transmission controls | The organization shall subject PII transmitted over a data-transmission network to appropriate controls, which are designed to ensure that the data reaches its intended destination. |
| B.8.5.1 Basis for PII transfer between jurisdictions | A.2.5.2 Basis for PII transfer between jurisdictions | The organization shall inform the customer in a timely manner of the basis for PII transfers between jurisdictions and of any intended changes in this regard, so that the customer can object to such changes or terminate the contract. |
| B.8.5.2 Countries and international organizations to which PII can be transferred | A.2.5.3 Countries and international organizations to which PII can be transferred | The organization shall specify and document the countries and international organizations to which PII can possibly be transferred. |
| B.8.5.3 Records of PII disclosure to third parties | A.2.5.4 Records of PII disclosures to third parties | The organization shall record disclosures of PII to third parties, including which PII has been disclosed, to whom and when. |
| B.8.5.4 Notification of PII disclosure requests | A.2.5.5 Notification of PII disclosure requests | The organization shall notify the customer of any legally binding requests for disclosure of PII. |
| B.8.5.5 Legally binding PII disclosures | A.2.5.6 Legally binding PII disclosures | The organization shall reject any requests for PII disclosures that are not legally binding, consult the corresponding customer before making any PII disclosures and accept any contractually agreed requests for PII disclosures that are authorized by the corresponding customer. |
| B.8.5.6 Disclosure of subcontractors used to process PII | A.2.5.7 Disclosure of subcontractors used to process PII | Before use, the organization shall disclose whether any subcontractors are used to process PII to the customer. |
| B.8.5.7 Engagement of a subcontractor to process PII | A.2.5.8 Engagement of a subcontractor to process PII | The organization shall only engage a subcontractor to process PII according to the customer contract. |
| B.8.5.8 Change of subcontractor to process PII | A.2.5.9 Change of subcontractor to process PII | The organization shall, in the case of having general written authorization, inform the customer of any intended changes concerning the addition or replacement of subcontractors to process PII, thereby giving the customer the opportunity to object to such changes. |
When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.
Comments