14. Mai 2021

DSGVO – dasselbe wie ISO 27001?

Von Joachim Reinke

Mai 14, 2021

DSGVO, ISO 27001, Zertifizierung, Zertifizierungsprojekt

DSGVO - dasselbe wie ISO 27001? Wir erinnern uns sicherlich alle noch: im Jahr 2018 haben viele Organisationen ziemlich kurzfristig noch Kraftanstrengungen unternommen, um DSGVO-Konformität herzustellen.

Wenn Sie sich gerade überlegen, eine ISO 27001-Zertifizierung anzustreben, fragen Sie sich womöglich:

Ist das nicht dasselbe? Haben wir das vielleicht schon "in der Tasche"?

Grund genug, mal auf die Ähnlichkeiten und Unterschiede einzugehen!

DSGVO und ISO 27001 - ziemlich viele Ähnlichkeiten...

Bei beiden Normen - der DSGVO und der ISO 27001 - geht es zunächst mal um den Schutz von Daten.

Während in der DSGVO genau definiert ist, welche Daten denn hier gemeint sind (nämlich: personenbezogene), lässt Ihnen die ISO 27001 völlig frei, welche Informationen Sie schützen möchten.

Wenn Sie möchten, können Sie hier für Ihre Organisation definieren: "Wir möchten genau die personenbezogenen Daten schützen, die auch über die DSGVO geschützt werden müssen!"

Meist ist es allerdings so etwas komplizierter und Ihr Organisation hat auch andere Informationen, die schützenswert sind. Bspw. Finanzdaten, geistiges Eigentum, Konstruktionsskizzen oder ähnliches. Um diese Datenarten kümmert sich die DSGVO überhaupt nicht.

Allerdings gibt es eine Menge an Konzepten, die sehr ähnlich sind:

  • Sowohl bei der ISO 27001 als auch bei der DSGVO geht es "prozessorientiert" zu: In der DSGVO haben Sie bereits Prozesse für die Betroffenenrechte (Auskunftsrecht, Änderungsrecht, Datenportabilitätsrecht, Einschränkung der Bearbeitung) aufgesetzt. Darin haben Sie bereits Erfahrung. In der ISO 27001 werden sie noch ein paar weitere Prozesse aufsetzen.
  • Sie haben sich bereits mit der Datenschutzfolgenabschätzung (DSFA) auseinandergesetzt. Dadurch kennen Sie sich bereits mit risikobasierten Vorgehen aus. Genau so ein Vorgehen finden Sie auch in der ISO 27001 wieder, wenn es um Informationssicherheitsrisiken geht. (Dazu haben wir hier nochmal einen netten Artikel.)

Aber es geht noch weiter:

  • In der ISO 27001 gibt es regelmäßige Treffen mit der Geschäftsführung zum Stand der Informationssicherheit (sog. Management Reviews). Etwas sehr ähnliches kennt die DSGVO: den Datenschutzjahresbericht.
  • Sowohl in der ISO 27001 als auch in der DSGVO werden Sie gebeten, eine Vorgehensweise zu etablieren, wenn es mal schief geht: das heißt in der ISO 27001 "Incident Management", in der DSGVO "Behandlung von Datenschutzvorfällen".

Unterschiede

Sie sehen: so ganz dasselbe sind die beiden Normen nicht. Zum einen ist die erstere ein Gesetz, die zweitere "nur eine Norm" (also mehr oder weniger freiwillig). Und die DSGVO kümmert sich nur um ganz bestimmte Daten - bei der ISO 27001 können Sie selbst auswählen, um welche Daten es gehen soll.

Aber der Ansatz ist sehr ähnlich - und das sorgt dafür, dass Ihr ISO 27001-Projekt weniger Zeit in Anspruch nimmt und daher natürlich auch weniger Kosten verursacht.

Unser Tipp

Wenn Sie die DSGVO schon sauber umgesetzt haben, haben Sie schon eine ganze Menge an guten Grundlagen, die Ihnen für eine ISO 27001-Zertifizierung helfen, Zeit zu sparen:

  • Sie arbeiten bereits prozessorientiert: Denn für die Betroffenenrechte haben Sie bereits Prozesse für Auskunft, Änderung, Löschung, Datenportabilität und Einschränkung der Bearbeitung aufgesetzt.
  • Sie arbeiten auch bereits risikobasiert: Denn Sie haben einen Prozess zur Datenschutzfolgenabschätzung aufgesetzt.
  • Mit dem Datenschutzjahresbericht und dem Datenschutzvorfall haben Sie weitere wichtige Punkte, von denen Sie immens bei der Umsetzung der ISO 27001 profitieren können!

Sie sind also schon recht gut aufgestellt. Das kommt Ihnen bei der ISO 27001 zu Gute. Nutzen Sie diese Vorteile für einen Zeitgewinn Richtung Zertifizierung.

Haben Sie noch Fragen, wie Sie von der DSVO profitieren können auf dem Weg zur ISO 27001? Dann vereinbaren Sie doch einen kostenlosen Gesprächstermin. Oder Sie schreiben uns etwas gleich hier auf der Seite in den Chat (rechts unten).

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.

Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD, TÜV Rheinland und die AOK.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}