Sind ISO 27001 und Datenschutz das gleiche?

Die ISO 27001 Norm beschäftigt sich mit der Informationssicherheit. Hier sollen alle schützenswerten Daten in digitaler und nicht digitaler Form (z.B. auf Papier,  Blechschildern, Mikrofilm, Dias, Speicherchips, Karteikarten, Lochkarten) berücksichtigt werden. Die hier gemeinten Daten können Betriebsgeheimnisse (z.B., Rezepturen, Quellcode, Herstellverfahren), personenbezogene Daten (z.B. Geburtsdatum, Bankdaten) sowie sonstige Arten von Informationen (z.B. Mitgliederlisten, Bestellhistorie) sein.

Hingegen betrachtet der Datenschutz vornehmlich personenbezogene Daten, wie etwa Geburtsdatum, Namen, Wohnanschrift, E-Mail Adresse, Telefonnummern und andere kritische Daten einer natürlichen Person. Diese schützenswerten Daten beinhalten auch Informationen über Kreditwürdigkeit, sexuelle Neigungen, religiöse Angehörigkeit, politische Entscheidungen eines Wählers oder dem Gesundheitszustand einer Person. 

Seit der Aktualisierung der ISO 27001 Norm, berücksichtigt die ISO27001-2022 nun auch Aspekte des Datenschutz. Da aber in jedem Land andere rechtliche Vorgaben in Bezug auf Datenschutzrechte existieren, kann eine internationale Norm nicht die individuelle nationale Rechtsprechung berücksichtigen. Datenschutzgesetze in Kanada stimmen nicht 100% überein mit der DSGVO oder anderen Gesetzen im Ausland. 

Wie unterscheidet sich die DSGVO von ISO27001?

Bereits in der Definition unterscheiden sich die beiden von einander: Die DSGVO ist ein europäisches Gesetz mit nationaler Ratifizierung. Unternehmen in Europa sind gesetzlich verpflichtet die DSGVO zu befolgen und die gesetzlichen Vorgaben umzusetzen. Hingegen ist die ISO27001-2022 eine internationale Norm, an die sich Unternehmen freiwillig halten können. Eine norm ist eine Art Richtwert ohne strafrechtliche Konsequenzen, wenn ein Unternehmen von dieser Norm abweicht.

Kann ein Managementsystem die DSGVO und ISO27001 gleichzeitig erfüllen?

Ein integriertes Managementsystem kann die ISO27001:2022 und die DSGVO berücksichtigen. Dabei müssen die entsprechenden Dokumente in dem betrieblichen Regelwerk mit Bezug auf die Norm und die Datenschutz erstellt werden. Hier können die Zertifizierungsstellen das Management System nach ISO27001 prüfen und ein ISO27001 Zertifikat ausstellen. Zusätzlich kann das ISMS auf seine Konformität mit dem Datenschutz bewertet werden. eine solche Bewertung ist aber keine juristische aussage und auch keine Rechtsberatung. Somit sollte klar sein, dass ISO und Datenschutz kombinierbar aber niemals identisch zu einander sind.

Die internationale Norm ISO27701 wird bei Unternehmen (Kaufhaus, Airline, Krankenversicherung) mit vielen kritischen Persönlichkeitsdaten benötigt.

Ist ISO27701 eine Alternative zur ISO27001?

Die internationale Norm ISO27701 beschäftigt sich mit dem Schutz personenbezogener Daten. Hier wird ein „Personal Information Management System“ (PIMS) aufgebaut und zertifiziert. Ein PIMS ist nicht gleichzustellen mit dem ISMS nach ISO 27001. Daher kann die ISO27701 eine gute Ergänzung zur ISO27001 sein. PIMS Zertifizierungen sind wichtig für Unternehmen mit vielen personenbezogenen Daten. In Europa nutzen Versicherungen, Krankenhäuser, E-Commerce Unternehmen und Fluglinien die ISO27701 Zertifizierung , um auch gegenüber Aufsichtsbehörden ihre Konformität mit gängigen Datenschutzrichtlinien zu untermauern.