DSGVO und ISO 27001: Dasselbe? Nein aber verwandt

Diese Frage kommt erstaunlich oft: Wir haben doch schon DSGVO gemacht. Ist ISO 27001 dann nicht im Grunde dasselbe?

Die kurze Antwort lautet: Nein.

Es gibt Überschneidungen. Aber DSGVO und ISO 27001 sind nicht dasselbe - weder rechtlich noch inhaltlich noch vom Ziel her.

Die DSGVO ist ein Gesetzesrahmen zum Schutz personenbezogener Daten. ISO 27001 ist ein internationaler Standard für ein Informationssicherheitsmanagementsystem. Die DSGVO regelt unter anderem, unter welchen Bedingungen personenbezogene Daten verarbeitet werden dürfen, welche Grundsätze gelten und welche Rechte betroffene Personen haben. ISO 27001 beschreibt dagegen, wie Organisationen Informationssicherheit systematisch aufbauen, umsetzen, aufrechterhalten und verbessern.

Die kurze Antwort

DSGVO und ISO 27001 haben Berührungspunkte, aber sie verfolgen unterschiedliche Schwerpunkte:

• DSGVO schützt personenbezogene Daten und regelt deren zulässige Verarbeitung.
• ISO 27001 schützt Informationen allgemein und organisiert Informationssicherheit als Managementsystem.

Das bedeutet praktisch:

Die DSGVO fragt unter anderem, ob und unter welchen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen. ISO 27001 fragt eher, wie eine Organisation Informationssicherheit insgesamt systematisch steuert.

Warum die Verwechslung so naheliegt

Die Verwechslung ist verständlich, weil beide Themen auf den ersten Blick ähnlich wirken.

Bei beiden geht es um Schutz, Risiken, Prozesse, Verantwortlichkeiten und Vorfälle. Beide verlangen, dass Unternehmen nicht rein zufällig mit sensiblen Informationen umgehen. Und beide zwingen Organisationen dazu, Dinge zu dokumentieren, Zuständigkeiten zu klären und systematischer zu arbeiten. Das ist der Bereich, in dem sich beide Themen tatsächlich berühren. Diese Überschneidung ist eine naheliegende Schlussfolgerung aus dem DSGVO-Prinzip der Integrität und Vertraulichkeit sowie aus dem ISMS-Ansatz von ISO 27001.

Der wichtigste Unterschied

Der wichtigste Unterschied ist nicht „Datenschutz gegen IT-Sicherheit“. Der wichtigste Unterschied ist:

Die DSGVO ist Rechtsrahmen.

ISO 27001 ist Managementsystem-Standard.

Die DSGVO gibt Regeln für den Umgang mit personenbezogenen Daten vor. Dazu gehören zum Beispiel Grundsätze wie Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Zusätzlich gibt sie Betroffenen konkrete Rechte. ISO 27001 verlangt dagegen ein ISMS, das die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen über einen risikobasierten Ansatz sichert. 

DSGVO schaut enger auf Daten - ISO 27001 breiter auf Informationen

Die DSGVO kümmert sich um personenbezogene Daten. Also um Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Sie ist damit thematisch enger zugeschnitten. ISO 27001 ist breiter. Dort geht es nicht nur um personenbezogene Daten, sondern generell um schützenswerte Informationen - also zum Beispiel auch Geschäftsgeheimnisse, Finanzdaten, technische Unterlagen, Quellcode, Vertragsinformationen oder interne Planungen.

Genau deshalb kann man nicht sagen: "Wir machen ISO 27001, also ist die DSGVO automatisch mit erledigt."

Und genauso wenig: "Wir sind DSGVO-konform, also brauchen wir ISO 27001 nicht mehr."

DSGVO ist mehr als Sicherheit

Das ist ein Punkt, der oft übersehen wird.

Viele denken bei DSGVO vor allem an technische und organisatorische Maßnahmen. Die sind wichtig, aber sie sind nicht alles. Die DSGVO umfasst zusätzlich Themen wie Rechtsgrundlagen, Transparenz, Informationspflichten, Betroffenenrechte, Speicherfristen und Zweckbindung. Genau dadurch geht sie an mehreren Stellen deutlich über reine Sicherheitslogik hinaus. Das macht auch die Europäische Kommission in ihren Erläuterungen sehr klar.

ISO 27001 deckt solche datenschutzrechtlichen Fragen nicht vollständig ab. Ein gut aufgebautes ISMS hilft dabei, sauberer und strukturierter zu arbeiten. Es ersetzt aber nicht automatisch die datenschutzrechtliche Bewertung.

ISO 27001 ist mehr als Datenschutz

Umgekehrt gilt aber genauso: ISO 27001 ist breiter als Datenschutz.

Ein ISMS betrachtet Informationssicherheit als Führungs- und Managementthema im gesamten Unternehmen. Es geht also nicht nur um personenbezogene Daten, sondern um Schutzbedarf, Risiken, Verantwortlichkeiten, Vorfälle, Lieferanten, Schwachstellen, Zugriffe, Kontrollen und die fortlaufende Verbesserung des Systems. ISO beschreibt 27001 ausdrücklich als Standard für Organisationen jeder Größe und aus allen Branchen, um Informationssicherheit systematisch zu managen.

Wo sich beides sinnvoll überschneidet

Trotz aller Unterschiede gibt es in der Praxis natürlich viele Überschneidungen.

Wenn ein Unternehmen die DSGVO sauber umgesetzt hat, bringt es oft schon nützliche Grundlagen mit:

• ein bewussterer Umgang mit Daten;
• dokumentierte Prozesse;
• klarere Zuständigkeiten;
• Erfahrungen mit Vorfällen;
• erste Risiko- und Bewertungslogik;
• mehr Sensibilität für Schutzbedarf.

Das ersetzt ISO 27001 nicht, aber es kann den Einstieg erleichtern. Das ist eine praktische Schlussfolgerung aus der prozessorientierten und prinzipienbasierten Struktur der DSGVO und dem managementsystembasierten Aufbau von ISO 27001.

Der häufigste Denkfehler

Der häufigste Denkfehler lautet: Das ist doch am Ende dasselbe in grün.

Das stimmt nicht.

Ja, es gibt gemeinsame Themen. Aber die Blickrichtung ist unterschiedlich. Die DSGVO schaut aus einer datenschutzrechtlichen Perspektive auf personenbezogene Daten und die Rechte der betroffenen Personen. ISO 27001 schaut aus einer Management- und Sicherheitslogik auf Informationen und Risiken allgemein. Wenn man das vermischt, trifft man oft falsche Erwartungen an beide Themen.

Was Unternehmen praktisch davon haben, wenn beides sauber zusammenläuft

Das ist der interessante Teil.

Ein Unternehmen, das Datenschutz und Informationssicherheit nicht gegeneinander ausspielt, arbeitet meistens ruhiger und klarer. Denn dann wird Datenschutz nicht bloß als juristische Pflicht gesehen und Informationssicherheit nicht bloß als IT-Thema. Stattdessen greifen beide Ebenen sinnvoll ineinander: rechtlich sauber, organisatorisch klar, technisch belastbar. Diese Aussage ist eine begründete praktische Einordnung aus den jeweiligen Schwerpunkten beider Regelwerke.

Was will der Auditor sehen?

Wenn es um ISO 27001 geht, will ein Auditor nicht hören: Wir haben doch schon DSGVO gemacht.

Er will sehen, dass Informationssicherheit als Managementsystem aufgebaut wurde: mit Scope, Rollen, Risiken, Maßnahmen, Reviews, Audits und Verbesserungslogik. DSGVO-Erfahrung kann dabei helfen. Sie ersetzt aber den Aufbau eines ISMS nicht. Diese Einordnung folgt direkt aus dem Charakter von ISO 27001 als ISMS-Standard und dem eigenständigen Rechtsrahmen der DSGVO.

Und: es gibt die Anforderung A.5.34 in der ISO 27001: "Die Organisation muss die Anforderungen an die Wahrung der Privatsphäre und den Schutz  personenbezogener Daten nach den geltenden Gesetzen und Vorschriften sowie den vertraglichen Anforderungen ermitteln und erfüllen."

Diese Anforderung ermöglicht es dem Zertifizierungsauditor, auch den Datenschutz zu auditieren. Für ein richtig tiefes Audit fehlt meistens die Zeit, aber typische Fragen sind etwa

• Wie ist der Umgang mit Betroffenenrechten aus Art. 12-22?
• Gibt es eine Datenschutzerklärung auf der Webseite?
• Besteht ein (aktuelles) Verzeichnis der Verarbeitungstätigkeiten?
• Wie wurden die Beschäftigten über die Verarbeitung ihrer personenbezogenen Daten aufgeklärt?

FAQ

Wenn Sie klären wollen, wie Datenschutz und ISO 27001 in Ihrem Unternehmen sinnvoll zusammenspielen, ohne beides durcheinanderzuwerfen, sprechen Sie mit uns. Oder Sie schreiben uns etwas gleich hier auf der Seite in den Chat (rechts unten).