Datenschutzmanagementsystem nach ISP27:2018

Datenschutz-
managementsystem
nach ISP27:2018

DATENSCHUTZ SYSTEMATISCH SICHERSTELLEN UND VERBESSERN

Spätestens seit der mit der DSGVO eingeführten Beweislastumkehr müssen Organisationen ihre rechtskonforme Datenverarbeitung nachweisen. Dazu zählt die Einhaltung der Grundsätze Transparenz, Zweckbindung, Rechtmäßigkeit und Datenminimierung. Ebenso die Erfüllung von Betroffenenrechten (Auskunft, Löschung, etc.) und die fristgerechte Behandlung von etwaigen Datenschutzverstößen. Um diesen Nachweis zu ermöglichen, stellt msecure ein prüfbares Datenschutzmanagementsystem zur Verfügung.

 

Mit ISP27:2018 bietet msecure einen Prüfrahmen, der sich an den internationalen Standards zum Compliance Management und zur Informationssicherheit orientiert, und dabei spezifische Forderungen zum Datenschutz berücksichtigt. msecure führt Datenschutzaudits nach diesem Prüfrahmen durch und stellt ihn auf Anfrage auch anderen Beratungsunternehmen zur Verfügung. Im Sinne eines 4-Augen-Prinzips werden die Prüfberichte durch eine unabhängige Prüforganisation (DQS BIT) verifiziert und ein entsprechendes Zertifikat ausgestellt.

IHRE VORTEILE

  • Erfassen und Steuern Ihrer Datenschutzaktivitäten entsprechend bekannter Standards
  • Erhalt eines Nachweiszertifikats für ein wirksames Datenschutz-Managementsystem
  • Das Zertifikat kann als Input zu den in Art. 42 DSGVO erwähnten Datenschutz-Zertifizierungen dienen
  • Erhalt eines Prüfberichts mit konkreten Aussagen zu stärken, Verbesserungsmöglichkeiten und Handlungsempfehlungen
  • Sofern Sie ein Zertifikat nachweisen können, lassen sich auch Förderungen für die Umsetzung in Anspruch nehmen

DIE INHALTE VON ISP27:2018

Der Prüfrahmen folgt der High-Level-Structure (HLS) der ISO Standards und erleichtert so die Integration mit bestehenden Systemen.

 

  • Berücksichtigung spezifischer Forderungen aus dem Bereich des Compliance Managements
  • Erfassung der bindenden Verpflichtungen (Plan-Do-Check-Act-Ansatz)
  • Risikoorientierung der DSGVO & Umsetzung operativer Prozesse
  • Orientierung an ISO 27001, ISO 19600 und weiteren Internationalen Standards

 

Der Managementsystemteil berücksichtigt spezifische Forderungen aus dem Bereich des Compliance Managements, hier insbesondere die Stellung der Datenschutzfunktion (z.B. des Datenschutzbeauftragten) und die Erfassung der bindenden Verpflichtungen. Entsprechend der üblichen Inhalte der ISO Normen werden der Kontext der Organisation, die Verpflichtung der Führung, sowie Planung, Unterstützung, Betrieb, Leistungsauswertung und Verbesserung im Sinne des PDCA-Ansatzes (Plan-Do-Check-Act) behandelt. Die Risikoorientierung der DSGVO wird im Sinne des Risikomanagements aus Sicht der betroffenen Personen ebenso berücksichtigt wie die Umsetzung in den operativen Prozessen, allen voran kunden- und mitarbeiterorientierte Prozesse, sowie in spezifischen Prozessen für den Datenschutz.

 

Die Umsetzung von technisch-organisatorischen Maßnahmen orientiert sich weitgehend an den in ISO 27001, Anhang A aufgeführten Maßnahmen. Diese können im Bedarfsfall durch speziellere Maßnahmen, wie etwa hinsichtlich des Datenschutzes in Cloud-Lösungen (ISO 27017) ergänzt werden. Für Unternehmen mit weniger als 250 Mitarbeitern gelten dabei Erleichterungen, d.h. nicht jede Maßnahme muss vollumfänglich durch kleine Unternehmen erfüllt sein. Damit wird der in Erwägungsgrund 13 der DSGVO erwähnten besonderen Berücksichtigung von Kleinst- und Kleinunternehmen Rechnung getragen.

ISP27:2018 FÜR BERATUNGSUNTERNEHMEN

msecure stellt Beratungsunternehmen im Bereich Informationssicherheit und Datenschutz den Prüfrahmen ISP27:2018 zur Verfügung. Voraussetzung für die Nutzung ist die Kenntnis der einschlägigen ISO Standards, insbesondere ISO 270xx. Aus Lizenzgründen müssen eigene Normtexte dieser Standards vorliegen. Der Standard darf nur in Verbindung mit der 4-Augen-Prüfung eingesetzt werden.

 

Sollten sie als Beratungsunternehmen Interesse an dem Prüfrahmen haben, können Sie ihn bei msecure schriftlich beantragen.

ZERTIFIZIERUNGEN NACH DSGVO

Die Datenschutzgrundverordnung sieht prinzipiell vor, dass Unternehmen sich zum Thema Datenschutz zertifizieren lassen können. Dazu wird in den Artikeln 42 und 43 DSGVO die Bereitstellung geeigneter Verfahren angeregt. Allerdings ist hier nicht die Zertifizierung von Managementsystemen gemeint, sondern Produktprüfungen nach ISO 17065.

 

Vor dem Hintergrund der durch den Europäischen Datenschutzausschuss veröffentlichten Richtlinien erscheint es aber in jedem Fall sehr sinnvoll, ein Managementsystem zum Datenschutz einzurichten, da in jedem Fall die Einhaltung der Datenschutzgrundsätze, die Einhaltung der Betroffenenrechte oder die technischen und organisatorischen Maßnahmen berücksichtigt werden müssen.

 

Als Kernelemente, die bei der Zertifizierung eines Produktes, Prozesses oder Dienstes berücksichtigt werden müssen, werden neben den personenbezogenen Daten die technischen Systeme sowie die mit der Verarbeitung verbundenen Prozesse und Verfahren genannt. Kurz gesagt: ein Managementsystem wird nicht nur helfen, den Ablauf einer Zertifizierung deutlich zu straffen; in den meisten Fällen wird es ohne den Nachweis eines systematischen Managements des Datenschutzes (z.B. durch zentrale Prozesse zur Erfüllung von Auskunftsanfragen oder zum Umgang mit Datenschutzvorfällen) nicht möglich sein, eine Zertifizierung zu erlangen.

Jetzt kostenlosen Termin vereinbaren!



Die Datenschutzerklärung habe ich zur Kenntnis genommen.* Die msecure GmbH verarbeitet Ihre hier eingegebenen Daten zur Beantwortung Ihres Anliegens (Basis ist das berechtigte Interesse gemäß Art. 6 Abs.1 lit f. DSGVO). Dazu benötigen wir Ihre Angaben in den mit * gekennzeichneten Formularfeldern. In unserer Datenschutzerklärung finden Sie ausführliche Informationen, wie die msecure GmbH mit personenbezogenen Daten umgeht. Mit Ihrer Kenntnisnahme erfüllen wir unsere Informationspflichten gemäß Art. 13 DSGVO.


So geht es weiter:

  • Telefonisches Vorab-Gespräch
  • Persönlicher Kennenlern-Termin
  • Individuelle Beratung

DATENSCHUTZ SYSTEMATISCH SICHERSTELLEN UND VERBESSERN

Spätestens seit der mit der DSGVO eingeführten Beweislastumkehr müssen Organisationen ihre rechtskonforme Datenverarbeitung nachweisen. Dazu zählt die Einhaltung der Grundsätze Transparenz, Zweckbindung, Rechtmäßigkeit und Datenminimierung. Ebenso die Erfüllung von Betroffenenrechten (Auskunft, Löschung, etc.) und die fristgerechte Behandlung von etwaigen Datenschutzverstößen. Um diesen Nachweis zu ermöglichen, stellt msecure ein prüfbares Datenschutzmanagementsystem zur Verfügung.

 

Mit ISP27:2018 bietet msecure einen Prüfrahmen, der sich an den internationalen Standards zum Compliance Management und zur Informationssicherheit orientiert, und dabei spezifische Forderungen zum Datenschutz berücksichtigt. msecure führt Datenschutzaudits nach diesem Prüfrahmen durch und stellt ihn auf Anfrage auch anderen Beratungsunternehmen zur Verfügung. Im Sinne eines 4-Augen-Prinzips werden die Prüfberichte durch eine unabhängige Prüforganisation (DQS BIT) verifiziert und ein entsprechendes Zertifikat ausgestellt.

IHRE VORTEILE

  • Erfassen und Steuern Ihrer Datenschutzaktivitäten entsprechend bekannter Standards
  • Erhalt eines Nachweiszertifikats für ein wirksames Datenschutz-Managementsystem
  • Das Zertifikat kann als Input zu den in Art. 42 DSGVO erwähnten Datenschutz-Zertifizierungen dienen
  • Erhalt eines Prüfberichts mit konkreten Aussagen zu stärken, Verbesserungsmöglichkeiten und Handlungsempfehlungen
  • Sofern Sie ein Zertifikat nachweisen können, lassen sich auch Förderungen für die Umsetzung in Anspruch nehmen

DIE INHALTE VON ISP27:2018

Der Prüfrahmen folgt der High-Level-Structure (HLS) der ISO Standards und erleichtert so die Integration mit bestehenden Systemen.

 

  • Berücksichtigung spezifischer Forderungen aus dem Bereich des Compliance Managements
  • Erfassung der bindenden Verpflichtungen (Plan-Do-Check-Act-Ansatz)
  • Risikoorientierung der DSGVO & Umsetzung operativer Prozesse
  • Orientierung an ISO 27001, ISO 19600 und weiteren Internationalen Standards

 

Der Managementsystemteil berücksichtigt spezifische Forderungen aus dem Bereich des Compliance Managements, hier insbesondere die Stellung der Datenschutzfunktion (z.B. des Datenschutzbeauftragten) und die Erfassung der bindenden Verpflichtungen. Entsprechend der üblichen Inhalte der ISO Normen werden der Kontext der Organisation, die Verpflichtung der Führung, sowie Planung, Unterstützung, Betrieb, Leistungsauswertung und Verbesserung im Sinne des PDCA-Ansatzes (Plan-Do-Check-Act) behandelt. Die Risikoorientierung der DSGVO wird im Sinne des Risikomanagements aus Sicht der betroffenen Personen ebenso berücksichtigt wie die Umsetzung in den operativen Prozessen, allen voran kunden- und mitarbeiterorientierte Prozesse, sowie in spezifischen Prozessen für den Datenschutz.

 

Die Umsetzung von technisch-organisatorischen Maßnahmen orientiert sich weitgehend an den in ISO 27001, Anhang A aufgeführten Maßnahmen. Diese können im Bedarfsfall durch speziellere Maßnahmen, wie etwa hinsichtlich des Datenschutzes in Cloud-Lösungen (ISO 27017) ergänzt werden. Für Unternehmen mit weniger als 250 Mitarbeitern gelten dabei Erleichterungen, d.h. nicht jede Maßnahme muss vollumfänglich durch kleine Unternehmen erfüllt sein. Damit wird der in Erwägungsgrund 13 der DSGVO erwähnten besonderen Berücksichtigung von Kleinst- und Kleinunternehmen Rechnung getragen.

ISP27:2018 FÜR BERATUNGSUNTERNEHMEN

msecure stellt Beratungsunternehmen im Bereich Informationssicherheit und Datenschutz den Prüfrahmen ISP27:2018 zur Verfügung. Voraussetzung für die Nutzung ist die Kenntnis der einschlägigen ISO Standards, insbesondere ISO 270xx. Aus Lizenzgründen müssen eigene Normtexte dieser Standards vorliegen. Der Standard darf nur in Verbindung mit der 4-Augen-Prüfung eingesetzt werden.

 

Sollten sie als Beratungsunternehmen Interesse an dem Prüfrahmen haben, können Sie ihn bei msecure schriftlich beantragen.

ZERTIFIZIERUNGEN NACH DSGVO

Die Datenschutzgrundverordnung sieht prinzipiell vor, dass Unternehmen sich zum Thema Datenschutz zertifizieren lassen können. Dazu wird in den Artikeln 42 und 43 DSGVO die Bereitstellung geeigneter Verfahren angeregt. Allerdings ist hier nicht die Zertifizierung von Managementsystemen gemeint, sondern Produktprüfungen nach ISO 17065.

 

Vor dem Hintergrund der durch den Europäischen Datenschutzausschuss veröffentlichten Richtlinien erscheint es aber in jedem Fall sehr sinnvoll, ein Managementsystem zum Datenschutz einzurichten, da in jedem Fall die Einhaltung der Datenschutzgrundsätze, die Einhaltung der Betroffenenrechte oder die technischen und organisatorischen Maßnahmen berücksichtigt werden müssen.

 

Als Kernelemente, die bei der Zertifizierung eines Produktes, Prozesses oder Dienstes berücksichtigt werden müssen, werden neben den personenbezogenen Daten die technischen Systeme sowie die mit der Verarbeitung verbundenen Prozesse und Verfahren genannt. Kurz gesagt: ein Managementsystem wird nicht nur helfen, den Ablauf einer Zertifizierung deutlich zu straffen; in den meisten Fällen wird es ohne den Nachweis eines systematischen Managements des Datenschutzes (z.B. durch zentrale Prozesse zur Erfüllung von Auskunftsanfragen oder zum Umgang mit Datenschutzvorfällen) nicht möglich sein, eine Zertifizierung zu erlangen.

Jetzt kostenlosen Termin vereinbaren!



Die Datenschutzerklärung habe ich zur Kenntnis genommen.* Die msecure GmbH verarbeitet Ihre hier eingegebenen Daten zur Beantwortung Ihres Anliegens (Basis ist das berechtigte Interesse gemäß Art. 6 Abs.1 lit f. DSGVO). Dazu benötigen wir Ihre Angaben in den mit * gekennzeichneten Formularfeldern. In unserer Datenschutzerklärung finden Sie ausführliche Informationen, wie die msecure GmbH mit personenbezogenen Daten umgeht. Mit Ihrer Kenntnisnahme erfüllen wir unsere Informationspflichten gemäß Art. 13 DSGVO.


So geht es weiter:

  • Telefonisches Vorab-Gespräch
  • Persönlicher Kennenlern-Termin
  • Individuelle Beratung

Lösungen aus der Praxis für die Praxis

KONTAKT
X