Wenn ein Unternehmen mir erzählt, es plane eine Zertifizierung nach ISO 27001, höre ich oft den Satz: “Datenschutz ist dann ja automatisch mit erledigt.” Das stimmt so nicht, aber es steckt ein wahrer Kern darin. Informationssicherheit und Datenschutz sind eng verwandt und stützen sich gegenseitig. Ein gutes Informationssicherheits-Managementsystem nach ISO 27001 gibt dem Datenschutz ein belastbares Fundament, und ein ordentlich aufgesetzter Datenschutz liefert wiederum wichtige Bausteine für das ISMS.
Ich bin externer Datenschutzbeauftragter, kein ISMS-Auditor und kein Zertifizierer. In diesem Beitrag erkläre ich, wie sich ISO 27001 und DSGVO zueinander verhalten, wo sie sich verstärken und an welchen Stellen ich als Datenschützer den Layer liefere, auf dem das Sicherheitsmanagement aufsetzt. Die Zertifizierung selbst läuft über spezialisierte ISMS-Berater und akkreditierte Auditoren.
Was ISO 27001 und ein ISMS sind
ISO/IEC 27001 ist der international anerkannte Standard für ein Informationssicherheits-Managementsystem, kurz ISMS. Ein ISMS ist kein einzelnes Werkzeug, sondern ein gemanagter Prozess, mit dem ein Unternehmen die Sicherheit seiner Informationen systematisch plant, umsetzt, überprüft und verbessert. Im Zentrum stehen die drei klassischen Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
Der Kern der Norm besteht aus einem Managementsystem mit klaren Pflichten zu Risikobewertung, Zielen, Ressourcen und kontinuierlicher Verbesserung. Ergänzt wird er durch einen Katalog von Sicherheitsmaßnahmen, die im sogenannten Annex A aufgeführt sind. Diese Controls decken Themen wie Zugriffskontrolle, Kryptografie, physische Sicherheit, Lieferantenbeziehungen und den Umgang mit Sicherheitsvorfällen ab. Ein Unternehmen wählt anhand seiner Risikoanalyse aus, welche Controls für seinen Fall relevant sind, und begründet, warum.
Wichtig: ISO 27001 schützt Informationen im weiten Sinn, nicht nur personenbezogene Daten. Geschäftsgeheimnisse, Konstruktionsdaten oder Quellcode fallen genauso darunter. Datenschutz ist also eine Teilmenge dessen, was ein ISMS abdeckt.
Der große Vorteil eines ISMS liegt im systematischen Charakter. Es geht nicht um einzelne technische Maßnahmen, die irgendwann einmal getroffen wurden, sondern um einen gelebten Kreislauf aus Planen, Umsetzen, Prüfen und Verbessern. Genau dieser Kreislauf fehlt vielen Unternehmen im Datenschutz. Sie haben einmal ein Verarbeitungsverzeichnis erstellt und dann nie wieder angefasst. Wer die Disziplin eines ISMS kennt, überträgt sie oft auch auf den Datenschutz, und davon profitiert die gesamte Compliance.
Datenschutz braucht Datensicherheit
Hier liegt der entscheidende Zusammenhang. Die DSGVO verlangt in Art. 32, die Sicherheit der Verarbeitung durch technische und organisatorische Maßnahmen zu gewährleisten. Ohne Datensicherheit gibt es keinen funktionierenden Datenschutz. Wenn niemand kontrolliert, wer auf personenbezogene Daten zugreift, wenn Systeme nicht verschlüsselt sind und wenn es keine Backups gibt, dann ist der schönste Datenschutzgrundsatz auf dem Papier wertlos.
Ein ISMS liefert genau diese Datensicherheit auf strukturierte und überprüfbare Weise. Die Maßnahmen, die Art. 32 DSGVO fordert, lassen sich überwiegend direkt auf die Controls des Annex A abbilden. Das ist kein Zufall, sondern Ausdruck derselben Schutzlogik. Die folgende Tabelle zeigt einige der wichtigsten Entsprechungen.
| Art. 32 DSGVO (TOMs) | ISO 27001 Annex A (sinngemäß) |
|---|---|
| Vertraulichkeit, Zugriffskontrolle | Zugriffssteuerung und Identitätsmanagement |
| Verschlüsselung | Kryptografische Maßnahmen |
| Integrität der Verarbeitung | Schutz vor unautorisierter Veränderung, Protokollierung |
| Verfügbarkeit und Belastbarkeit | Backup, Redundanz, Business Continuity |
| Pseudonymisierung | Maßnahmen zur Datenminimierung und Trennung |
| Verfahren zur regelmäßigen Überprüfung | Überwachung, Audits, kontinuierliche Verbesserung |
| Sicherheit der Verarbeitung beim Dienstleister | Lieferanten- und Cloud-Sicherheit |
Sie sehen: Vieles, was ich als Datenschützer ohnehin in den TOMs verlange, ist im ISMS-Kontext bereits als Control formuliert. Das macht die Zusammenarbeit zwischen Datenschutz und Informationssicherheit so produktiv.
Wo sich beide Welten gegenseitig verstärken
Risikoanalyse
Sowohl die DSGVO als auch ISO 27001 sind risikobasiert. Im Datenschutz bewerte ich das Risiko für die Rechte und Freiheiten betroffener Personen, bei hohem Risiko über eine formelle Datenschutz-Folgenabschätzung. Das ISMS bewertet das Risiko für die Schutzziele der Information. Beide Analysen lassen sich aufeinander beziehen, sodass eine Verarbeitung mit hohem Datenschutzrisiko auch im ISMS als kritischer Wert auftaucht.
Asset-Verzeichnis und Verarbeitungsverzeichnis
Ein ISMS beginnt mit einem Inventar der schützenswerten Werte, dem Asset-Verzeichnis. Der Datenschutz beginnt mit dem Verarbeitungsverzeichnis nach Art. 30 DSGVO. Beide Verzeichnisse beschreiben aus unterschiedlichen Blickwinkeln dieselbe Realität: welche Systeme welche Daten verarbeiten. Wer ein gepflegtes Verarbeitungsverzeichnis hat, liefert dem ISMS wertvollen Input und umgekehrt. Ich unterstütze Unternehmen beim Aufbau dieses Verzeichnisses über die Leistung Verarbeitungsverzeichnis.
Zugriffskontrolle
Wer darf was sehen und ändern? Diese Frage ist im Datenschutz wie in der Informationssicherheit zentral. Ein Berechtigungskonzept, das nach dem Prinzip der Datenminimierung nur die wirklich notwendigen Zugriffe erlaubt, erfüllt beide Welten gleichzeitig. Das ist gelebter Privacy by Design: Datenschutz wird in die Architektur eingebaut, nicht nachträglich aufgesetzt.
Awareness und Schulung
Die beste Technik nützt nichts, wenn Mitarbeitende unbedacht handeln. Sowohl ISO 27001 als auch die DSGVO setzen auf Sensibilisierung. Eine gute Schulung deckt beide Themen ab: Wie erkenne ich Phishing, und wie gehe ich mit personenbezogenen Daten um? Ich biete dafür eine eigene Datenschutz-Schulung an, die sich gut in ein ISMS-Awareness-Programm einfügt.
Umgang mit Sicherheitsvorfällen
Ein ISMS verlangt definierte Prozesse für den Umgang mit Sicherheitsvorfällen: erkennen, melden, bewerten, eindämmen, aufarbeiten. Der Datenschutz verlangt mit dem Datenpannen-Prozess nach Art. 33 und 34 DSGVO praktisch dasselbe Grundgerüst, nur mit dem speziellen Fokus auf personenbezogene Daten und der Meldung an die Aufsichtsbehörde. Wer einen funktionierenden Datenpannen-Prozess hat, kann diesen in den breiteren Incident-Prozess des ISMS einbetten. Doppelte, widersprüchliche Abläufe vermeiden Sie damit von vornherein.
Worin sich Datenschutz und ISMS unterscheiden
So groß die Schnittmenge ist, es bleiben Unterschiede, die man nicht verwischen sollte. Das ISMS schützt Informationen jeder Art im Interesse des Unternehmens. Der Datenschutz schützt natürliche Personen und deren Grundrechte, auch dann, wenn es dem Unternehmen lästig ist. Ein ISMS kann technisch hervorragend sein und trotzdem datenschutzrechtliche Lücken haben, etwa bei der Rechtsgrundlage einer Verarbeitung, bei Löschfristen oder bei Betroffenenrechten.
Deshalb ersetzt eine ISO-27001-Zertifizierung nicht den Datenschutz. Sie liefert ein starkes Sicherheitsfundament, aber die spezifisch datenschutzrechtlichen Themen müssen gesondert bearbeitet werden. Genau diese Themen sind meine Aufgabe. Wie sich das in einem strukturierten Gesamtbild zusammenfügt, beschreibe ich im Ratgeber Datenschutzkonzept.
Ein Beispiel aus der Praxis macht das deutlich. Ein Unternehmen kann eine Kundendatenbank technisch hervorragend absichern: verschlüsselt, zugriffsbeschränkt, redundant gesichert. Das ISMS ist zufrieden. Aus Datenschutzsicht stellt sich aber zusätzlich die Frage, ob die Daten überhaupt verarbeitet werden dürfen, ob die Betroffenen informiert wurden, ob es eine Rechtsgrundlage gibt und ob die Daten gelöscht werden, sobald der Zweck wegfällt. Die beste Verschlüsselung hilft nicht, wenn die Verarbeitung selbst unrechtmäßig ist. Sicherheit und Rechtmäßigkeit sind zwei getrennte Prüfschritte, die beide bestanden werden müssen.
Wer macht was: meine Rolle und die der ISMS-Berater
Ich will hier ehrlich sein: Eine ISO-27001-Zertifizierung herbeizuführen, ist nicht meine Leistung. Der Aufbau des Managementsystems, die Auswahl und Begründung der Controls im Statement of Applicability, die internen Audits und die Begleitung durch die Zertifizierungsstelle gehören in die Hände spezialisierter ISMS-Berater und akkreditierter Auditoren. Diese Partner kennen die formalen Anforderungen der Norm im Detail.
Mein Beitrag ist der Datenschutz-Layer. Ich sorge dafür, dass die personenbezogenen Daten in Ihrem ISMS rechtlich sauber behandelt werden: dass Rechtsgrundlagen stimmen, dass Verarbeitungen dokumentiert sind, dass Löschfristen definiert sind und dass Betroffenenrechte funktionieren. Wenn Ihr ISMS und Ihr Datenschutz von Anfang an verzahnt aufgebaut werden, vermeiden Sie Doppelarbeit und Widersprüche. Einen guten Überblick über benachbarte Compliance-Themen gibt der Hub Datenschutz-Schnittstellen.
In der Zusammenarbeit hat sich bewährt, früh eine gemeinsame Sprache zu finden. ISMS-Berater und Datenschützer benutzen teils unterschiedliche Begriffe für dasselbe: Was im ISMS ein Asset ist, ist im Datenschutz eine Verarbeitungstätigkeit; was dort ein Control ist, ist hier eine technische Maßnahme. Wenn beide Seiten von Beginn an klären, wer welche Inventur pflegt und wie die Verzeichnisse aufeinander verweisen, entsteht ein gemeinsames Bild statt zweier Parallelwelten. Genau diese Verzahnung ist der Punkt, an dem ein externer Datenschutzbeauftragter den größten Mehrwert für ein laufendes ISO-Projekt bietet, ohne in die Rolle des Auditors zu schlüpfen.
Mein Fazit
ISO 27001 und DSGVO sind kein Gegensatz, sondern zwei sich ergänzende Perspektiven auf denselben Gegenstand: den verantwortungsvollen Umgang mit Informationen. Ein ISMS gibt dem Datenschutz das Sicherheitsfundament, das Art. 32 DSGVO ohnehin verlangt. Und ein durchdachter Datenschutz liefert dem ISMS Verzeichnisse, Risikoeinschätzungen und Awareness-Inhalte, die sich direkt verwerten lassen.
Für mittelständische Unternehmen in der Region Neckar-Alb ist das eine gute Nachricht. Sie müssen nicht alles auf einmal stemmen. Wenn Sie ohnehin in ein ISMS investieren, nutzen Sie die Gelegenheit, den Datenschutz gleich mit aufzuräumen. Viele der Vorarbeiten, die Sie für die ISO-Zertifizierung leisten, zahlen direkt auf Ihre DSGVO-Pflichten ein. Umgekehrt liefert ein ordentlich geführtes Verarbeitungsverzeichnis dem ISMS-Projekt einen Startvorteil. Diese Doppelnutzung ist der wirtschaftliche Hebel, den ich meinen Mandanten ans Herz lege.
Wenn Sie eine ISO-27001-Zertifizierung planen oder bereits mittendrin sind, lohnt es sich, den Datenschutz nicht als Nachgedanken zu behandeln, sondern parallel aufzubauen. Ich lade Sie zu einem Datenschutz-Erstgespräch ein, in dem wir schauen, wie Ihr Datenschutz-Fundament zu Ihren Sicherheitszielen passt. Eine erste Einordnung erhalten Sie über meine Datenschutzberatung oder direkt über das Kontaktformular. Die ISMS-Spezialisten kümmern sich dann um die Zertifizierung, während ich dafür sorge, dass der Datenschutz-Layer trägt.