Praxisbericht
/ 22. April 2025

ISO 27001: Das bringt die Zertifizierung für den Datenschutz

Datenschutz und Informationssicherheit verfolgen ähnliche Ziele, werden aber oft getrennt behandelt. Das gilt es zu ändern. Denn gerade die ISO 27001 bietet DSB wertvolle Unterstützung – von der Risikoanalyse bis zur DSFA. Sie erleichtert die Arbeit, schafft Transparenz und stärkt die Datenschutz-Compliance.

Früher galten materielle Werte wie Maschinen, Rohstoffe und Immobilien als das Wertvollste im Unternehmen. Das hat sich grundlegend verändert. Heute dienen fast überall Daten als Geschäftsgrundlage.

Daher haben viele Unternehmen eines gemeinsam: Sie sind darauf angewiesen, über aktuelle und korrekte Informationen zu verfügen. Informationen sind dabei alle Daten, die Geschäftsprozesse in den Unternehmen sowie die Kontakte mit Geschäftspartnern und anderen Externen abbilden und die Grundlage für Entscheidungen bilden.

Die ISO/IEC 27001:2022 ist die international anerkannte Norm für Informationssicherheit und der führende Standard, wenn es um Informationssicherheitsmanagementsysteme (ISMS) geht. Ein zentraler Begriff der ISO 27001 sind dabei die Assets. Jede Ressource, die für ein Unternehmen oder eine Organisation von Wert und zu schützen ist, zählt zu den Assets – also deutlich mehr als personenbezogene Daten allein.

Vermögenswerte bzw. Assets können sowohl physisch als auch digital sein und betreffen sowohl die Informationssicherheit als auch den Datenschutz. Viele Datenschutzbeauftragte (DSB) gehen davon aus, dass nur personenbezogene Daten zu den wirklich schützenswerten Daten gehören. Aus der Sicht des Datenschutzes ist das richtig. Die Informationssicherheit geht aber deutlich weiter. Hier spielen Assets und deren Beschreibung eine große Rolle.

Praxis-Tipp
Die Anforderungen der Informationssicherheit und des Datenschutzes sind vom Grundsatz her identisch. Es geht um Vertraulichkeit. Nur Personen, die den Zugriff benötigen, erhalten ihn. Es geht um Verfügbarkeit. Unterlagen müssen immer dann zur Verfügung stehen, wenn man sie benötigt. Und es geht um Integrität von Daten. Daten lassen sich nur befugt verändern. Die Besonderheit beim Datenschutz besteht darin, dass es sich um personenbezogene oder auf Personen beziehbare Daten handelt. Zwar ist so gut wie kein Geschäftsprozess denkbar, bei dem sich aufgrund der IT-Struktur nicht auf beteiligte Personen schließen lässt. Dennoch ist das nicht allen bewusst. Viel zu oft laufen Informationssicherheit und Datenschutz nebeneinander her. Der Datenschutz betrifft den Teil der Informationen, für den die Regelungen der Datenschutz-Grundverordnung (DSGVO) gelten. Die Informationssicherheit folgt anderen Regularien wie z.B. der Norm ISO/IEC 27001.

DSB profitieren von gut ­beschriebenen Assets

Für DSB sind gut beschriebene Assets in vielerlei Hinsicht von Vorteil. Nachfolgend sind einige Beispiele aufgeführt.

Personenbezogene Daten identifizieren

  • Die Beschreibung von Assets (z.B. IT-Systeme, Datenbanken, Anwendungen, Dokumente) zeigt, wo welche personenbezogenen Daten vorliegen und verarbeitet werden.
  • DSB können schneller nachvollziehen, wo und in welchem Umfang das Unternehmen personenbezogene Daten speichert, verarbeitet oder weitergibt.
  • Dadurch lässt sich die Kategorisierung nach Schutzbedarf (z.B. Gesundheitsdaten, Finanzdaten, Kundendaten) leichter vornehmen.

Datenschutz-Folgenabschätzung (DSFA)

  • Nach Art. 35 DSGVO ist eine Datenschutz-Folgenabschätzung notwendig, wenn eine Verarbeitung ein hohes Risiko für Rechte und Freiheiten von Personen darstellt.
  • Eine detaillierte Asset-Beschreibung erleichtert die Risikobewertung, indem sie zeigt, welche Daten betroffen sind, welche Verarbeitungsvorgänge wo und wie stattfinden und welche Schutzmaßnahmen bereits vorhanden sind.
  • Ohne eine gute Asset-Beschreibung kann die DSFA fehlerhaft oder unvollständig sein.
  • Auch für den Fall, dass die Asset-Beschreibung bestätigt, was der DSB bereits weiß, stellt sie eine gute Unterstützung dar und vermittelt Sicherheit.

Risikomanagement und Zugriffskontrollen

  • Die ISO 27001 erfordert ein systematisches Risikomanagement.
  • Eine genaue Asset-Liste zeigt, welche Bedrohungen und Schwachstellen für jedes Asset existieren, welche Sicherheitsmaßnahmen erforderlich sind (z.B. Verschlüsselung, Zugriffskontrollen, Backup-Strategien) und wer für das jeweilige Asset verantwortlich ist.
  • Die Asset-Dokumentation hilft, Rollen zu definieren und Verantwortung zu regeln.
  • DSB können überprüfen, wer Zugriff auf personenbezogene Daten hat, ob der Zugriff nach dem Prinzip der Erfordernis geregelt ist und ob unbefugte oder nicht erforderliche Zugriffe stattfinden.
  • Wichtig ist in diesem Zusammenhang der Punkt A.9 im Anhang der ISO 27001 (Zugriffssteuerung).

Meldung von Datenschutzverletzungen

  • Falls es zu einer Datenschutzverletzung kommt, ist gemäß Art. 33 DSGVO eine Meldung an die Aufsichtsbehörde zu prüfen.
  • Eine gute Asset-Dokumentation hilft, schnell herauszufinden, welche Daten und welche Systeme betroffen und welche Maßnahmen erforderlich sind (z.B. Zugänge sperren, Datenbestände wiederherstellen, betroffene Personen informieren).
Kurz zusammengefasst: Die Vorteile der ISO 27001 für den Datenschutz

Anders als der Datenschutz betrachtet die ISO 27001 alle Unternehmensdaten. Dazu gehören Finanzdaten, Betriebsdaten, Geschäftsgeheimnisse und technische Besonderheiten. Aufgrund der besonderen Struktur der ISO 27001 liegen dafür oft schon exakte Analysen vor, beispielsweise in der Beschreibung der Assets.

Datenschutzbeauftragte (DSB) können das Verzeichnis von Verarbeitungstätigkeiten auf diesem Weg prüfen und bei Bedarf ergänzen lassen.

Neben den Assets spielen die Controls in der ISO 27001 eine große Rolle. Controls sind konkrete Vorgaben bzw. Maßnahmen, die ein Unternehmen umsetzen sollte, um Informationssicherheit systematisch zu gewährleisten. Die aktuelle Version nennt 93 Controls. Es gibt wohl kaum einen DSB, der zu allen 93 Controls die entsprechenden Verarbeitungstätigkeiten findet. Die Controls bieten also eine hervorragende Möglichkeit, nicht nur das Verzeichnis von Verarbeitungstätigkeiten unter die Lupe zu nehmen, sondern auch die technischen und organisatorischen Maßnahmen auf Vollständigkeit zu überprüfen und bei Bedarf zu ergänzen.

Wenn DSB wollen und wenn das richtig organisiert ist, können sie auf einen großen Schatz an Informationen zugreifen. Umgekehrt können Informationssicherheitsbeauftragte oder CISOs davon profitieren, wenn die Verarbeitungstätigkeiten präzise erfasst sind.

In der Praxis lässt sich einerseits oft beobachten, dass die technischen und organisatorischen Maßnahmen der DSB intensiver formuliert und untersucht sind als die der Informationssicherheitsbeauftragten. Andererseits profitieren DSB davon, dass die Dokumentation der Informationssicherheit technische Prozesse beschreibt, von denen sie normalerweise nichts oder nur wenig erfahren. Für DSB sind vorhandene oder einzuführende Informationssicherheits-Zertifizierungen also von großem Vorteil. Einmal erfasste Dokumente sind nur noch geringfügig zu ergänzen, um beiden Systemen zu genügen.

Vertragsprüfungen bei Auftragsverarbeitern und Dienstleistern

  • In Art. 28 DSGVO sind Auftragsverarbeiter und Verträge mit Dienstleistern geregelt.
  • Die Asset-Beschreibung zeigt, welche Daten Dienstleister erhalten.
  • DSB können gezielt prüfen, ob ein Auftragsverarbeitungsvertrag (AVV) vorliegt, ob der Dienstleister alle erforderlichen Schutzmaßnahmen erfüllt und ob Daten in Drittstaaten gelangen.

Erleichterung von Audits und Nachweisen

  • Eine vollständige Asset-Liste zeigt auf einen Blick, welche Systeme personenbezogene Daten enthalten und welche technischen sowie organisatorischen Maßnahmen (TOMs) vorhanden sind.
  • Das ist eine Hilfe für DSB im Rahmen ihrer Überwachungspflicht, bei Anfragen von Aufsichtsbehörden (Nachweispflicht gemäß Art. 5 Abs. 2 DSGVO) und bei Kundennachfragen zum Datenschutz.

Speicherfristen und Löschprozesse

  • Nach Art. 5 Abs. 1 Buchst. e DSGVO dürfen Unternehmen personenbezogene Daten nicht länger als nötig speichern.
  • Eine Asset-Dokumentation hilft Datenschutzbeauftragten, zu prüfen, ob es eine automatische Löschung oder Anonymisierung gibt, wer verantwortlich ist, Daten zu löschen, und ob Backup-Daten nach Ablauf der Fristen ebenfalls zu löschen sind.

Die Vorteile des Business Continuity Management

Business Continuity Management (BCM) ist ein systematischer Ansatz, der sicherstellen soll, dass ein Unternehmen kritische Geschäftsprozesse auch im Fall von Störungen, Krisen oder Katastrophen schnell wiederherstellen kann. Beim Datenschutz heißt das „die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen“ (Art. 32 Abs. 1 Buchst. c DSGVO).

Synergien zwischen Datenschutz und Informationssicherheit

Datenschutz und Informationssicherheit sind eng miteinander verwoben und können gegenseitig profitieren, wenn sie gut zusammenarbeiten. Eine enge Kooperation zwischen DSB und Informationssicherheitsverantwortlichen (ISMS-Manager, CISO) kann zu vielen Vorteilen führen.

Synergien im Detail

  • Minimierung von Risiken: Ein gemeinsames Risikomanagement deckt sowohl Datenschutz- als auch Informationssicherheitsrisiken ab. Dadurch lassen sich Schwachstellen früher erkennen und schließen.
  • Bessere Compliance: Die Maßnahmen aus der ISO 27001 wie Zugriffskontrollen, Verschlüsselung und Logging unterstützen dabei, die DSGVO-Vorgaben einzuhalten.
  • Bessere Notfallvorsorge: Die Integration von Business Continuity (siehe auch ISO 22301) und Datenschutz-Anforderungen (Art. 32 DSGVO) gewährleistet im Ernstfall die schnelle Wiederherstellung von Systemen und Daten.
  • Unterstützung bei Audits: Ein gemeinsames Dokumentationssystem sorgt für Nachweise gegenüber Datenschutzbehörden, Auditoren und Kunden.
  • Stärkung des Bewusstseins im Unternehmen: Schulungen und Sensibilisierung zur Informationssicherheit unterstützen die DSGVO-Compliance und reduzieren menschliche Fehler als Ursache für Datenschutzverletzungen.

Hier können Datenschutzbeauftragte ebenfalls profitieren, wenn sie mit den Personen, die für die Informationssicherheit zuständig sind, gut zusammenarbeiten.

Bessere Reaktionszeit bei Sicherheits­vorfällen

  • Laut ISO 27001 müssen für Notfälle definierte Reaktionspläne vorliegen, ebenfalls erforderlich ist ein Business-Continuity-Programm.
  • Dadurch können DSB rascher Maßnahmen aufstellen, um Folgen nach Datenschutzverletzungen zu vermeiden. Haftungsrisiken und die Gefahr von Geldbußen reduzieren sich.

Bessere Datenverfügbarkeit

  • Die ISO 27001 fordert regelmäßige Backups und deren Tests, Konzepte für die Datenwiederherstellung in Notfällen und besonderen Schutz vor Angriffen.
  • Um die Geschäftskontinuität zu gewährleisten, sind definierte Maßnahmen zur Wiederherstellung von IT-Systemen, Netzwerken und Datenbanken nachzuweisen.
  • DSB können davon ausgehen, dass nach IT-Ausfällen wahrscheinlich keine Datenverluste entstehen. Außerdem verbessern sich Revisionssicherheit und DSGVO-Konformität.

Unterbrechungen der Geschäftstätigkeit

  • Es gibt geprüfte präventive Maßnahmen gegen Geschäftsunterbrechungen.
  • Durch Risikoanalysen sind kritische Prozesse besser bekannt.
  • Es ist festgelegt, wie lange Systeme maximal ausfallen dürfen.
  • Der Datenschutz profitiert, weil Unternehmen wissen, welche Daten besonders schützenswert sind und wie sich Datenschutzverstöße durch Systemausfälle vermeiden lassen.

Sichere Backups

  • Die ISO 27001 verlangt regelmäßige und getestete Backups.
  • Sie verlangt ebenfalls, kritische Daten an sicheren Orten zu speichern und Backups zu verschlüsseln.
  • Wiederanlaufpläne für kritische IT-Infrastruktur müssen getestet sein.
  • Der Datenschutz profitiert durch reduzierte Ausfallzeiten in Notfällen und eine schnellere Meldung von Datenschutzverletzungen.

93 Controls sorgen für technische und organisatorische Maßnahmen

Am meisten profitieren DSB davon, wenn die 93 Controls, die die ISO 27001 fordert, sauber ausgearbeitet sind. Die Controls gliedern sich in 37 organisatorische Maßnahmen, acht personenbezogene Maßnahmen, 14 physische Maßnahmen und 34 technische Maßnahmen.

Jede einzelne dieser Maßnahmen unterstützt eine sinnvolle Umsetzung des Datenschutzes. Die folgenden Abschnitte stellen einige dieser Controls kurz vor.

Praxis-Tipp
Auditoren wollen bei einer Zertifizierung oder Rezertifizierung die Regelungen sehen, mit denen die 93 Controls umgesetzt sind. Das bedeutet, es gibt Richtlinien, Arbeitsanweisungen, Prozessanweisungen und andere verbindliche Regelungen dieser Punkte. DSB sollten in die Formulierung dieser Regelungen einbezogen sein. Dann ist es ein Leichtes, in einem eigenen Abschnitt zusätzliche Maßnahmen zu definieren, um personenbezogene Daten zu schützen. Für die Mitarbeitenden ergibt sich der Vorteil, dass sie nicht in mehreren Richtlinien oder Arbeitsanweisungen nachsehen müssen. Für DSB ist es von Vorteil, dass Kontrollen durch kompetente Dritte (Auditoren) sichergestellt sind. Das spart Aufwand für die Überwachungstätigkeit.

A.5.9 Inventarisierung und Klassifizierung

Die Inventarisierung von Daten muss für das Verzeichnis von Verarbeitungstätigkeiten dokumentiert sein. Das unterstützt die Datenschutzbeauftragten dabei, personenbezogene Daten zu klassifizieren und Risiken zu erkennen. Es erleichtert die Kontrolle, wo Daten gespeichert und verarbeitet sind.

A.5.10 Das Prinzip der geringsten Rechte

Es muss sichergestellt sein, dass ausschließlich befugte Personen auf personenbezogene Daten zugreifen können. Das erleichtert die Kontrolle von Rollen, Berechtigungen und Zugriffskonzepten in IT-Systemen. Dies sind alles Punkte, die DSB im Rahmen ihrer Überwachungstätigkeit prüfen müssen.

A.5.23 Lieferanten und externe Dienstleister

Das Management von Lieferanten und externen Dienstleistern unterstützt DSB dabei, Verträge zur Auftragsverarbeitung zu erkennen und richtig umzusetzen. Da auch im Rahmen der ISO 27001 für den Nachweis gesicherter Lieferketten eine Überprüfung zu erfolgen hat, lässt sich durch eine gemeinsame Kontrolle von Datenschutz und Informationssicherheit der Aufwand reduzieren.

Erfahrungsgemäß finden jedoch nur selten solche gemeinsamen Kontrollen statt. Die Folgen sind erhöhter Aufwand, Frust und Ärger im eigenen Unternehmen und bei Lieferanten.

A.8.12 Datensicherung (Backup & Recovery)

Mit diesem Control haben DSB den Vorteil, dass sich die Verfügbarkeit personenbezogener Daten deutlich verbessert, die Art. 32 Abs. 1 Buchst. b DSGVO fordert. Das unterstützt dabei, Datenschutzverletzungen zu untersuchen, und liefert Beweisgrundlagen im Rahmen der Protokollierung kritischer Systeme. Umgekehrt können DSB zur Beweislage bei Audits beitragen.

A.8.25 Schutz vor Malware

Hier ist von Vorteil, dass die Daten vor Schadsoftware wie Ransomware besser geschützt sind. Außerdem ist die Umsetzung technischer Maßnahmen nach Art. 32 DSGVO gegeben. Es ist somit sichergestellt, dass alle Endgeräte und Systeme regelmäßig auf Schadsoftware geprüft werden.

A.8.28 Verschlüsselung personenbezogener Daten

Die in der DSGVO geforderten Pseudonymisierung und Verschlüsselung personenbezogener Daten ist genauso wie der Schutz personenbezogener Daten bei einer Datenübertragung an Dritte und intern zu gewährleisten. Datenschutzverletzungen durch unbefugtes Auslesen von Daten lassen sich damit vermeiden. Können sich DSB darauf verlassen, sinkt der Aufwand für ihre Überwachungstätigkeit.

A.5.7 Sensibilisierung zur Informations­sicherheit

Da die Anforderungen für die Informationssicherheit und den Datenschutz nahezu identisch sind – außer dass beim Datenschutz der Personenbezug hinzukommt –, ist hier eine Schulungspflicht für Mitarbeitende sinnvoll. Der Schulungsaufwand insgesamt sinkt, wenn man sich zusammentut. Sinnvoll ist auch eine gemeinsame Dokumentation der Schulungen. Die Wahrscheinlichkeit, dass es durch Fehlverhalten oder mangelndes Wissen zu Datenschutzverletzungen kommt, verringert sich somit. Außerdem erfahren die Teilnehmer, was sich hinter den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO verbirgt.

Zusammenfassung

Dies war nur ein kleiner Auszug der Vorteile, die die ISO 27001 in Kombination mit dem Datenschutz mit sich bringt. DSB tun gut daran, in Teamarbeit mit den für die Informationssicherheit Verantwortlichen dafür zu sorgen, Überschneidungen zu systematisieren. Es genügt in vielen Fällen, nur einmal zu dokumentieren. Das spart Aufwand für Organisation, Dokumentation und Überprüfung.

Eberhard Häcker

URL zum Beitrag: https://www.datenschutz-praxis.de/zertifizierung/iso-27001-das-bringt-die-zertifizierung-fuer-den-datenschutz/
Beitrag gedruckt von Datenschutz PRAXIS: https://www.datenschutz-praxis.de

Copyright © Datenschutz PRAXIS. All rights reserved.

Klicken zum Drucken