“Wäh­rend die ISO/IEC 27001:2013 bis­lang noch Anfor­de­run­gen an „Infor­ma­ti­ons­tech­no­lo­gie, Sicher­heits­ver­fah­ren und Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me“ im Titel erfass­te, greift die ISO/IEC 27001:2022 nun wei­ter und umfasst „Infor­ma­ti­ons­si­cher­heit, Cyber­si­cher­heit und Daten­schutz.” – Mat­thi­as Herkert

Bei der ISO/IEC 27001 han­delt es sich um die wohl inter­na­tio­nal füh­ren­de Norm für Informationssicherheits-Managementsysteme (ISMS) und damit um den der­zeit ver­brei­te­tes­ten und aner­kann­tes­ten Stan­dard zur Cyber-Security-Zertifizierung. Ent­spre­chend gespannt war­te­ten fast alle Anwen­der der Norm auf die Revi­si­on der Struk­tur und Vorgaben.

Im Okto­ber 2022 ver­öf­fent­lich­te das Inter­na­ti­on Accre­di­ta­ti­on Forum (IAF) nun mit der ISO/IEC 27001:2022 die neue und ver­bes­ser­te Nach­fol­ge der bis­her gel­ten­den ISO 27001:2013.

 

Der Daten­schutz rückt in den Titel der ISO/IEC 27001:2022 auf

Wäh­rend die ISO/IEC 27001:2013 bis­lang über ihren Titel noch die Anfor­de­run­gen an „Infor­ma­ti­ons­tech­no­lo­gie, Sicher­heits­ver­fah­ren und Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me“ erfass­te, greift die Neu­fas­sung nun wei­ter und umfasst „Infor­ma­ti­ons­si­cher­heit, Cyber­si­cher­heit und Datenschutz“.

Neben der Infor­ma­ti­ons­si­cher­heit der Unter­neh­mens­wer­te rückt damit nun also auch der Schutz per­so­nen­be­zo­ge­ner Daten und die koope­ra­ti­ve Umset­zung bei­der Aspek­te in den Fokus der Norm.

Dabei ist der Bezug zum Daten­schutz­recht im Titel der Norm mehr als nur eine begriff­li­che Weiterentwicklung.

Denn auch wenn die ISO/IEC 27001:2022 mit nun­mehr „nur noch“ 93 statt 114 Con­trols, einer zeit­ge­mä­ßen Ver­schlag­wor­tung und vier statt wie bis­lang 14 Abschnit­ten for­mal kom­pak­ter wur­de, rich­tet sie sich gleich­zei­tig doch auch deut­lich stär­ker auf die zuneh­men­den Her­aus­for­de­run­gen der Cyber­si­cher­heit aus, die zukünf­tig auch den „Stand der Tech­nik“ als Min­dest­maß der Daten­si­cher­heit im Daten­schutz­recht immer stär­ker prä­gen werden.

Dabei wur­de nur die Vor­ga­be zur „Ent­fer­nung von Wer­ten“ (A.11.2.5) gelöscht, die übri­gen Kür­zun­gen des Umfangs grün­den in Zusam­men­fas­sun­gen von 56 auf 24 Sicher­heits­maß­nah­men. Dane­ben kamen 11 Maß­nah­men neu hin­zu, die den Blick auch auf zukünf­ti­ge Bedro­hungs­sze­na­ri­en lenken.

 

Der Daten­schutz­be­zug in der 27001 nimmt zu

Und hier ist nun auch die Brü­cke zum Daten­schutz offensichtlich.

So for­dert die Norm nun unter ande­rem unter dem Begriff des „Data mas­king“ Maß­nah­men zur Ver­hin­de­rung der Iden­ti­fi­zie­rung von Per­so­nen durch Unbe­rech­tig­te mit­tels Daten­mas­kie­rung. Da das in die­sem Kon­text ange­führ­te Hash­ing direkt auf eine Pseud­ony­mi­sie­rung von Daten gerich­tet ist, ist der Bezug zur For­de­rung des Arti­kel 32 Abs. 1 lit. a DSGVO zur Umset­zung geeig­ne­ter Maß­nah­men der Pseud­ony­mi­sie­rung per­so­nen­be­zo­ge­ner Daten zur Gewähr­leis­tung eines Ange­mes­se­nen Schutz­ni­veaus und des Daten­schut­zes durch Tech­nik­ge­stal­tung des Arti­kel 25 DSGVO kaum zu übersehen.

Und auch die For­de­rung der „Infor­ma­ti­on dele­ti­on“, mit­hin der Löschung von nicht mehr erfor­der­li­chen Daten, lässt ohne Wei­te­res die Par­al­le­len zu den Grund­sät­zen des Daten­schut­zes in Arti­kel 5 DSGVO und zur For­de­rung der Löschung per­so­nen­be­zo­ge­nen Daten bei Zweck­ent­fall erken­nen und führt die­se nun als ver­bind­li­chen Con­trol in die Norm ein.

 

Was bedeu­tet die Revi­si­on der ISO/IEC 27001 für das Datenschutzmanagement?

Zunächst ändert auch die Revi­si­on der ISO/IEC 27001 nichts an der Aus­gangs­si­tua­ti­on, dass die Infor­ma­ti­ons­si­cher­heits­norm wei­ter­hin kei­ne for­mal aner­kann­te Zer­ti­fi­zie­rungs­norm im Sin­ne des Arti­kels 43 DSGVO ist.

Gleich­zei­tig betont die zuneh­mend aus­drück­li­che Berück­sich­ti­gung des Daten­schutz­rechts und der Grund­prin­zi­pi­en des Daten­schut­zes in den Con­trols der Norm den Ansatz als inte­grier­tes Manage­ment­sys­tem. Wo bis­lang die Schutz­zie­le Ver­trau­lich­keit, Ver­füg­bar­keit und Inte­gri­tät und deren Bezug auf die Infor­ma­ti­ons­wer­te (Assets) gera­de in ISM-Systemen im Mit­tel­stand meist sin­gu­lär betrach­tet wur­den und die For­de­run­gen ande­rer Nor­men und Geset­ze viel­mals erst über die Compliance-Anforderungen des Anhang A.18, zum Bei­spiel in Form von GSRV-Listen („Geset­ze, Stan­dards, Richt­li­ni­en und Ver­ord­nun­gen) Berück­sich­ti­gung fan­den, for­dert die 27001:2022 in der aktu­el­len Revi­si­on zuneh­mend nicht nur eine Berück­sich­ti­gung daten­schutz­recht­li­cher Aspek­te son­dern auch deren kon­kre­te Pla­nung, Umset­zung und Nachweisbarkeit.

 

Die ISO/IEC 27001:2022 als Chan­ce im Datenschutzmanagement

Nach der Ver­öf­fent­li­chung der fina­len Ver­si­on der ISO 27001:2022 am 25. Okto­ber 2022 kann ein Erst­zer­ti­fi­zie­rungs­au­dit nach der bis­he­ri­gen ISO 27001: 2013 letzt­ma­lig im Okto­ber 2023 erfol­gen. Eine Erstak­kre­di­tie­run­gen nach ISO/IEC 27001:20222 ist ab dem 25. April 2023 mög­lich. Bestehen­de Zer­ti­fi­ka­te müs­sen inner­halb der Tran­si­ti­ons­pha­se mit einer Frist von drei Jah­ren bis spä­tes­tens 24. Okto­ber 2025 auf die neu­en Anfor­de­run­gen und Vor­ga­ben umge­stellt sein.

Genug Zeit also, ein bereits ein­ge­führ­tes ISMS um ein pro­zess­ori­en­tier­tes Daten­schutz­ma­nage­ment­sys­tem zu ergän­zen oder die Anfor­de­run­gen des Daten­schutz­rechts in Ein­füh­rungs­pro­jek­ten aktiv zu berücksichtigen.

In die­sem Ansatz wird die zwin­gen­de Berück­sich­ti­gung der Daten­schutz­or­ga­ni­sa­ti­on eine Chan­ce für das Datenschutzmanagement.

 

SoA und TOM zukünf­tig aus einem Guss

So kann es viel Sinn machen, die Anwend­bar­keits­er­klä­rung des ISM-Systems (State­ment of Ap­plica­bi­lity — SoA), die nun ohne­hin neu gefasst und auf­ge­baut wer­den muss, par­al­lel zur Beschrei­bung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Erfül­lung der Vor­ga­ben des Arti­kel 32 DSGVO wei­ter­zu­ent­wi­ckeln. Denn ob die in der SoA beschrie­be­nen Maß­nah­men sich nun auf alle Infor­ma­ti­ons­wer­te eines Unter­neh­mens bezie­hen oder ledig­lich auf per­so­nen­be­zo­ge­ne Daten – die Maß­nah­men der Infor­ma­ti­ons­si­cher­heit wer­den spä­tes­tens ab der Umset­zung der For­de­run­gen der ISO/IEC 27001:2022 auch die Anfor­de­run­gen an die Daten­si­cher­heit und die Nach­weis­bar­keit im Sin­ne der DSGVO erfül­len müssen.

Und auch die Pflich­ten zur ver­trag­li­chen Rege­lung der Ein­hal­tung der erfor­der­li­chen Maß­nah­men zur Sicher­heit der Ver­ar­bei­tung zwi­schen Auf­trag­neh­mer und Auf­trag­ge­ber aus Arti­kel 28 Abs. 3 UAbs. 1 lit. c DSGVO las­sen sich zukünf­tig über die Ein­be­zie­hung der SoA wohl ohne grö­ße­ren Anpas­sungs­auf­wand erfüllen.

 
Fazit

Mit der ISO/IEC 27001:2022 liegt eine moder­ne und pra­xis­na­he Nach­fol­ge der ISO/IEC 27001:2013 vor. Neben der Wei­ter­ent­wick­lung der bis­he­ri­gen Hand­lungs­fel­der und der Berück­sich­ti­gung neu­er Risi­ken und Bedro­hun­gen wur­de durch die Revi­si­on ins­be­son­de­re auch die noch stär­ke­re Ein­be­zie­hung des Daten­schutz­rechts in die Gestal­tung von Maß­nah­men der Infor­ma­ti­ons­si­cher­heit erreicht.
Die­se Ent­wick­lung bie­tet eine gro­ße Chan­ce, bei der Gestal­tung und Wei­ter­ent­wick­lung inte­grier­ter Manage­ment­sys­te­me zukünf­tig neben den tech­ni­schen und orga­ni­sa­to­ri­schen Aspek­ten noch stär­ker als bis­lang auch juris­ti­sche Aspek­te der Daten­schutz­rechts ein­flie­ßen zu lassen.