Es gibt im Bereich des Datenschutzes jede Menge Begriffe, die in der Praxis verwechselt werden oder falsch genutzt werden. So adressiert der "Datenschutz" nur die personenbezogenen Daten. Diese wiederum sind eine Untermenge der Informationen, die es zu schützen gilt. Somit können als Schutzziele sowohl die Vertraulichkeit, Integrität sowie Verfügbarkeit von Informationen und additiv der Schutz personenbezogener Daten in Frage kommen. Und was ist nun mit den anderen Normen oder Standards, wie passt das zusammen?
Die ISO/IEC 27701 ist eine Erweiterung der ISO/IEC 27001 und ISO/IEC 27002, die speziell das Management von Risiken im Zusammenhang mit personenbezogenen Daten abdeckt und die Einhaltung der Datenschutzgrundverordnung (DSGVO) und der europäischen Vorgaben (GDPR) unterstützt. Die ISO/IEC 27701 deckt somit die Anforderungen der DSGVO ab und kann im Rahmen einer Softwarelösung für Managementysteme als "DMS", also Datenschutzmanagementsystem (Englisch: Personal Information Management System, "PIMS") abgebildet werden, wenn ein ISMS auf Basis ISO/IEC 27001 implementiert ist.
Eine Zertifizierung nach ISO/IEC 27701 ist jedoch nach aktuellem Stand keine Zertifizierung im Sinne der DSGVO. Eine Zertifizierung nach ISO/IEC 27701 setzt immer zwingend voraus, dass auch die Anforderungen aus der ISO/IEC 27001 erfüllt werden. Eine solide Basis für die Integration der DSGVO-Anforderungen kann mit einem Zertifikat nach ISO/IEC 27701 in Verbindung zur ISO/IEC 27001 geschaffen werden.
Die VDA ISA Version 6 ist ein aktualisierter Katalog des Verbands der Automobilindustrie (VDA) für Informationssicherheits-Assessments und es werden dort nach Prüfungen statt Zertifikaten "Label" im Rahmen eines Austauschverfahren (TISAX®)erworbern werden, u.a. für den Datenschutz. Die neue Version enthält - gegenüber der bisherigen Version 5.1 - erweiterte Anforderungen an den Datenschutz und für Auftragsdatenverarbeiter, um die Einhaltung der Datenschutzgrundverordnung (DSGVO) sicherzustellen. Der Katalog verweist auf Standards wie ISO/IEC 27001:2022, BSI Grundschutz und das NIST Cyber Security Framework Version 1.1.
Im Vergleich zur ISO/IEC 27701 ist die VDA ISA Version 6 spezifischer auf die Automobilindustrie zugeschnitten und enthält branchenspezifische Anforderungen. Eine Zertifizierung nach ISO/IEC 27701 ist jedoch nach aktuellem Stand keine Zertifizierung im Sinne der DSGVO. Im Rahmen des VDA ISA kann jedoch ein "Label" für die Einhaltungs des Datenschutzes gemäß VDA ISA erworben werden. Dieser steht für sich allein, die Anforderungen können jedoch mit Blick auf die ISO/IEC 27001 in Bezug genommen werden.
Es ist zu beachten, dass die VDA ISA Version 6 erst ab 2024 verbindlich wird. Es ist daher ratsam, sich rechtzeitig und auf Basis der eigenen Situation und der Ziele über die Änderungen und Anforderungen der neuen Version zu informieren und gegebenenfalls eine Zertifizierung in Betracht zu ziehen.
Hinweis: TISAX® ist eine eingetragene Marke der ENX Association.