Ein effektives Risikomanagement ist das Herzstück von Datenschutz und Informationssicherheit.
Unternehmen, die sich mit der ISO 27701 und der Datenschutz-Grundverordnung (DSGVO) befassen, stehen vor der Aufgabe, die Begriffe Risikobeurteilung und Risikobehandlung korrekt zu verstehen und praktisch umzusetzen. In diesem Beitrag beleuchten wir die Anforderungen beider Regelwerke, zeigen Unterschiede auf und erklären, wie eine erfolgreiche Integration gelingen kann.
Was bedeuten Risikobeurteilung und Risikobehandlung nach ISO 27701?
Die ISO 27701 erweitert das bekannte Informationssicherheits-Managementsystem (ISMS) der ISO 27001 um spezifische Anforderungen an den Datenschutz. Der Risikobegriff ist hier klar definiert als die Auswirkung von Unsicherheit auf Ziele. Im Datenschutzkontext bezieht sich dies auf Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten.
Die Norm verlangt von einer Organisation eine zweigleisige Risikobeurteilung:
1. Bewertung von Informationssicherheitsrisiken:
Identifikation von Risiken für Vertraulichkeit, Integrität und Verfügbarkeit von Informationen im Rahmen des Privacy Information Management Systems (PIMS).
2. Bewertung von Datenschutzrisiken: Identifikation von Risiken, die speziell bei der Verarbeitung personenbezogener Daten entstehen.
Ein zentraler Punkt ist die Forderung, Risiken für die Rechte und Freiheiten betroffener Personen zu identifizieren und passende Maßnahmen zur Behandlung festzulegen.
Zur Risikobehandlung bietet die ISO 27001 verschiedene Optionen, darunter die Reduktion, Akzeptanz, Verlagerung oder vollständige Beseitigung eines Risikos. Um dies zu erreichen, können technische (z. B. Verschlüsselung), organisatorische (z. B. Schulungen), rechtliche (z. B. Verträge) und infrastrukturelle Maßnahmen (z. B. Zugangskontrollen) ergriffen werden.
Welche Vorgaben macht die DSGVO?
Die DSGVO verpflichtet Verantwortliche laut Artikel 32, technische und organisatorische Maßnahmen zu ergreifen, die dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessen sind. Der Fokus liegt hier eindeutig auf den möglichen negativen Folgen für die betroffenen Personen, wie Diskriminierung, Identitätsdiebstahl oder finanzielle Verluste.
Entscheidend ist die Perspektive:
Die Bewertung der Risiken muss ausdrücklich aus der Sicht der betroffenen Person erfolgen, nicht aus der des Unternehmens. Um dies zu gewährleisten, verlangt die DSGVO eine dokumentierte Risikoanalyse als Grundlage für alle weiteren Schutzmaßnahmen.
Die wesentlichen Unterschiede: ISO 27701 vs. DSGVO
Obwohl beide Regelwerke den Schutz personenbezogener Daten zum Ziel haben, gibt es wichtige Unterschiede im Ansatz:
• Perspektive: Die DSGVO fokussiert sich ausschließlich auf die Risiken für betroffene Personen, während die ISO 27701 auch Risiken für das Unternehmen selbst (über die ISO 27001) berücksichtig.
• Zielsetzung: Die ISO 27701 strebt ein systematisches Managementsystem an, wohingegen die DSGVO ein dem Risiko angemessenes Schutzniveau fordert, ohne ein spezifisches System vorzuschreibe.
• Methodik: Die DSGVO gibt keine konkrete Methodik für die Risikoanalyse vor, fordert aber deren Nachvollziehbarkeit. Die ISO 27701 verlangt einen strukturierten Prozess zur Identifikation, Bewertung und Behandlung von Risiken.
• Risikoakzeptanz: Ein nach der DSGVO identifiziertes hohes Risiko (z. B. in einer Datenschutz-Folgenabschätzung) muss durch Maßnahmen behandelt werden. Es kann nicht einfach akzeptiert werden, wie es im Rahmen eines ISMS nach ISO 27001 unter Umständen möglich wär.
Integration als Schlüssel zum Erfolg: So verbinden Sie beide Welten
Anstatt die Anforderungen getrennt zu betrachten, bietet ein integrierter Ansatz erhebliche Vorteile. Die ISO 27701 sieht explizit die Möglichkeit vor, die Risikobeurteilung für Informationssicherheit und Datenschutz in einem gemeinsamen Prozess zu vereinen.
Empfohlene Vorgehensweise für eine praktische Integration:
1. Bilden Sie ein interdisziplinäres Team aus den Bereichen Datenschutz, IT und Management.
2. Erfassen Sie alle relevanten Prozesse und identifizieren Sie potenzielle Risiken für die Unternehmensziele und die Rechte der Betroffenen.
3. Führen Sie eine integrierte Risikobewertung durch, die beide Perspektiven abdeckt.
4. Wählen und implementieren Sie Maßnahmen, die sowohl die Informationssicherheit stärken als auch den Datenschutz gewährleisten.
5. Überwachen Sie die Wirksamkeit der Maßnahmen kontinuierlich und passen Sie diese bei Bedarf an neue Bedrohungen an.
Chancen und Vorteile eines ganzheitlichen Ansatzes
Ein integriertes Risikomanagement ist mehr als nur die Erfüllung von Vorschriften. Es schafft Synergien, die zu effizienteren Prozessen und einem ganzheitlichen Schutz personenbezogener Daten führen. Unternehmen können dadurch nicht nur ihre Compliance verbessern und das Risiko von Datenschutzverletzungen senken, sondern auch das Vertrauen von Kunden und Partnern nachhaltig stärken.
Die Zusammenführung der Anforderungen ermöglicht eine wirtschaftlichere Behandlung von Risiken und hilft, potenzielle Konflikte zwischen IT-Sicherheit und Datenschutz frühzeitig zu erkennen. Letztlich ist ein integriertes Managementsystem, das ISO 27001, ISO 27701 und die DSGVO berücksichtigt, der Schlüssel zu einem wirksamen und nachhaltigen Datenschutz.
