01602 Die ISO/IEC 27701 – das Privacy Information Management System
Der noch wenig verbreitete Standard ISO/IEC 27701 unterbreitet einen Vorschlag, wie die gesetzlichen Anforderungen des Datenschutzes in ein ISMS implementiert werden können. Er bietet eine Hilfestellung, mit der die immer komplexer werdenden Anforderungen an den „Schutz von Daten” praxisorientiert und ressourcensparend in einem Privacy Information Management System umgesetzt werden können. Damit wird ein weiterer Schritt hin zu einem umfänglichen und integrierten IT-Compliance-Managementsystem getan.
Der Beitrag beschreibt die Herangehensweise und Anforderungen der ISO/IEC 27701 zum Aufbau eines Managementsystems, mit dem die einschlägigen datenschutzrechtlichen Vorgaben vollumfänglich gemanagt und dokumentiert werden können. von: |
1 Herausforderungen und Herangehensweise zum Aufbau eines PIMS
Bei dem noch recht unbekannten Standard ISO/IEC 27701 [1] handelt es sich um einen Versuch, die vielfach gesetzlich geregelten Anforderungen des Datenschutzes in normativer Weise als Privacy Information Management System (PIMS) in das Informationssicherheitsmangement zu implementieren (vgl. Kap. 01601, Abschnitt 4.3). Naturgemäß unterscheiden sich jedoch die mannigfaltigen Anforderungen gerade im Datenschutz im internationalen Umfeld sehr. Das wiederum erschwert natürlich eine normative Umsetzung, die weltweit Anwendung finden soll.
Um dennoch das Ziel der normativen Umsetzung (Vereinheitlichung) zu erreichen, die weltweit Geltung beanspruchen kann, distanziert sich die ISO/IEC 27701 zunächst von den bestehenden gesetzlichen Anforderungen im Bereich Datenschutz und nimmt eine eher generische/abstrakte Sichtweise ein. Es wird versucht, die wesentliche Essenz aus diesen gesetzlichen Anforderungen zu extrahieren bzw. die gesetzlichen Regelungen zu generalisieren und in den Kontext der Informationssicherheit zu setzen.
Wie beim Lesen des Standards deutlich wird, liegt ein besonderer Fokus auf der Umsetzung bzw. Ergänzung der in der ISO/IEC 27002 enthaltenen Maßnahmen um die datenschutzrelevanten Aspekte.