ISO/IEC 27701 Datenschutz-Informationsmanagementsystem (Privacy Information Management System, PIMS)ISO/IEC 27701 Privacy Information Management System (PIMS)

Datenschutz-Informationsmanagementsystem (Privacy Information Management System, PIMS), ÜbersichtPrivacy Information Management System (PIMS) overview

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union hat weltweit eine neue Ära für den Datenschutz und die Compliance eingeleitet.The European Union's General Data Protection Regulation (GDPR), has ushered in a new era of privacy regulatory and compliance globally. Weitere Datenschutzbestimmungen, viele davon nach der DSGVO modelliert haben, wurden in unterschiedlichen Hoheitsbereichen erlassen (sei es Märkte/ Branchen oder physische Standorte).More privacy regulations, many modeled after the GDPR, have been enacted in different jurisdictions (be that market/industry, or physical location). Folglich müssen Organisationen verschiedene Richtlinien und Verfahren einführen, um die Einhaltung der wachsenden Liste der Datenschutzbestimmungen zu gewährleisten.As a result, organizations must implement policies and procedures to assure compliance with the growing list of privacy regulations. Darüber hinaus befinden wir uns gerade mitten in der schnellen digitalen Transformation, bei der Datensammlung und -Verarbeitung erheblich zunehmen.In addition, we are collectively in the midst of rapid digital transformation where data collection and processing are increasing dramatically. Durch den gleichzeitigen Zuwachs an Datenvolumen und die behördlichen Auflagen in Bezug auf diese Daten wird das Thema Compliance für Organisationen aller Arten zunehmend komplexer.The simultaneous growth in data volume and regulatory requirements pertaining to that data makes compliance increasingly complex for organizations of all types.

Der neue internationale Standard ISO/IEC 27701 Datenschutz-Informationsmanagementsystem (Privacy Information Management System, PIMS) (früher, während der Entwurfsphase als ISO/IEC 27552 bekannt) hilft Organisationen dabei, die gesetzlichen Bestimmungen in Einklang zu bringen.The new international standard ISO/IEC 27701 Privacy Information Management System (PIMS) (formerly known as ISO/IEC 27552 during drafting period), helps organizations reconcile privacy regulatory requirements. Der Standard beschreibt einen umfassenden Satz betrieblicher Kontrollen, die verschiedenen Vorschriften, einschließlich der DSGVO, zugeordnet werden können.The standard outlines a comprehensive set of operational controls that can be mapped to various regulations, including the GDPR. Nach der Zuordnung werden die operativen Kontrollen von PIMS von Datenschutzexperten implementiert und von internen oder externen Prüfern überprüft, was zu einer Zertifizierung führt und Ihnen umfassende Nachweisdokumentation der Konformität zur Verfügung stellt.Once mapped, the PIMS operational controls are implemented by privacy professionals and audited by internal or third-party auditors resulting in a certification and comprehensive evidence of conformity.

Compliance-HerausforderungenCompliance challenges

Wenn Sie darauf bestehen, dass Lieferanten nach PIMS zertifiziert werden, werden verantwortungsvolle Datenschutzpraktiken bei Lieferanten und Partnern unabhängig von der Größe Ihrer Organisation effektiv eingeführt.Expecting vendors to certify against PIMS will be effective for establishing responsible privacy practices by suppliers and partners no matter the size of your organization. Die ISO/IEC 27701 behandelt drei zentrale Compliance-Herausforderungen:ISO/IEC 27701 addresses three key compliance challenges:

  • Zu viele gesetzliche Anforderungen, die gleichzeitig einzuhalten sind: die Vereinbarkeit mehrerer regulatorischer Anforderungen durch den Einsatz eines universellen Satzes von Betriebskontrollen ermöglicht eine konsistente und effiziente Umsetzung.Too many regulatory requirements to juggle: Reconciling multiple regulatory requirements through the use a universal set of operational controls enables consistent and efficient implementation.
  • Die Prüfung der Einhaltung einzelner Vorschriften eine nach der anderen ist zu kostspielig: Prüfer, sowohl interne als auch externe, können die Einhaltung der Vorschriften anhand einer universellen Betriebskontrolle innerhalb eines einzigen Prüfzyklus beurteilen.Too costly to audit regulation-by regulation: Auditors, both internal and third party, can assess regulatory compliance using a universal operational control set within a single audit cycle.
  • Das Versprechen der Einhaltung ohne Nachweis ist potenziell riskant: Kommerzielle Vereinbarungen, die den Austausch personenbezogener Daten beinhalten, können eine Zertifizierung der Einhaltung rechtfertigen.Promise of compliance without proof is potentially risky: Commercial agreements involving movement of personal information may warrant certification of compliance.

Zu viele gesetzliche Anforderungen, die gleichzeitig einzuhalten sindToo many regulatory requirements to juggle

ISO/IEC 27701 enthält einen Anhang mit den betrieblichen Kontrollen des Standards, die den einschlägigen Vorschriften für DSGVO für Controller und Verarbeiter zugeordnet sind.ISO/IEC 27701 includes an annex containing the operational controls of the standard that are mapped against relevant requirements in GDPR for controllers and processors. Diese Zuordnung ist nur ein Beispiel dafür, wie Datenschutzbestimmungen mit dem ISO-Framework implementiert werden können.This mapping is just an example of how privacy regulations can be operationalized with the ISO framework. Da zusätzliche Zuordnungen zu anderen Bestimmungen zur Verfügung stehen und validiert werden, können die Betriebskontrollen aus dem Standard direkt von der Aufsichtsüberprüfung zur Implementierung übertragen werden.As additional mappings with other regulations become available and are validated, the operational controls from the standard can be transferred directly from regulatory review to implementation. Dieses universelle Framework ermöglicht es Organisationen, die relevanten gesetzlichen Anforderungen zuverlässig zu bearbeiten, ohne das Rad neu zu erfinden.This universal framework allows organizations to reliably operationalize the relevant regulatory requirements without 'reinventing the wheel.' Ein ausstehender OpenSource-Projekt ist im Gange, damit die Datenschutz-Community andere Vorschriften zuordnen und bestehende Zuordnungen überprüfen kann.A pending open-source project is underway to enable the privacy community to map other regulations and validate existing mappings. Bleiben Sie dran für die Ankündigung.Stay tuned for announcement.

Die Prüfung der Einhaltung einzelner Vorschriften eine nach der anderen ist zu kostspieligToo costly to audit regulation-by-regulation

Kehren wir zu unserer Eröffnungsaussage zur aktuellen Landschaft zurück.Let's go back to our opening statement on the current landscape. Je mehr Datenschutzbestimmungen in unterschiedlichen Bereichen bzw. Staaten in Kraft treten, desto höher wird auch der Druck zur Bereitstellung von Compliance-Nachweisen.As more privacy regulations come into force in various jurisdictions, the pressure to provide evidence of compliance will also increase. Allerdings werden die Kosten für die unterschiedlichen gesetzlichen Zertifizierungen unerschwinglich, wenn für jede Vorschrift eine einzelne Prüfung durchgeführt werden muss.But the costs of disparate regulatory certifications become prohibitive if every regulation calls for its own unique audit. Durch das Gliedern einer Reihe allgemeiner Betriebskontrollen stellt PIMS auch ein universelles Compliance-Framework zur Verfügung, um mehrere gesetzliche Anforderungen zu überprüfen und ggf. zu zertifizieren.By outlining a set of universal operational controls, PIMS also outlines a universal compliance framework to audit against, and potentially certify, for multiple regulatory requirements.

Es ist wichtig zu wissen, dass für eine offizielle DSGVO-Zertifizierung ausstehende Genehmigungsentscheidungen von den europäischen Regulierungsbehörden erforderlich sind.It is important to recognize that an official GDPR certification requires pending approval decisions to be made by the European regulators. Obwohl die Übereinstimmung zwischen PIMS und DSGVO offensichtlich ist, sollte eine PIMS-Zertifizierung bis zum Abschluss der regulatorischen Entscheidungen als Nachweis für die Einhaltung der DSGVO und nicht als offizielle DSGVO-Zertifizierung betrachtet werden.While the alignment between PIMS and GDPR is evident, a PIMS certification should be taken as evidence of GDPR compliance, not as an official GDPR certification until regulatory decisions are finalized.

Das Versprechen der Einhaltung ohne Nachweis ist potenziell riskantPromises of compliance without proof is potentially risky

Die modernen Unternehmen betreiben komplexe Datenübertragungen mit einem umfangreichen Netzwerk von Geschäftspartnern, einschließlich Partnerorganisationen oder Co-Controllern, Verarbeitern wie Cloud-Anbietern und Unterverarbeitern wie Anbietern, die dieselben Verarbeiter unterstützen.Modern organizations engage in complex data transfers with a deep network of business partners including partner organizations or co-controllers, processors such as cloud providers, and sub-processors such as vendors who support those same processors. Die Nichteinhaltung von Bestimmungen in diesem Netzwerk kann zu einer Überlappung von Compliance-Problemen innerhalb der gesamten Lieferkette führen.Failure to comply with regulations in any part of this network may lead to cascading compliance issues across the supply chain. An dieser Stelle kann eine Prüfung der Einhaltung der Vorschriften über die Zusicherung hinaus wertvoll sein, die durch die Vertragsbedingungen zwischen diesen Unternehmen gegeben ist.This is where a verification of compliance can be valuable beyond the assurance provided by contractual terms between these organizations. Da die Weltwirtschaft eine weltweite Verteilung der meisten dieser Unternehmen erfordert, ist es sinnvoll, die Compliance über das gesamte Netzwerk mit einem internationalen Standard von ISO zu verwalten.Since the global economy dictates that most of these organizations are spread out around the world, it is practical to use an international standard from ISO to manage compliance across the network.

Diese Abhängigkeit von der Konformität erhöht die Bedeutung der Zertifizierung nach dem Standard.This reliance on compliance increases the importance of certification to the standard. Obwohl nicht alle Unternehmen und Organisationen eine derartige Zertifizierung erwerben müssen, profitieren die meisten von Partnern und Lieferanten, die dies tun, vor allem, wenn es um die Verarbeitung sensibler oder großer Datenmengen geht.While not all companies and organizations need to earn such certification, most will benefit from partners and vendors who do, especially when sensitive or high volumes of data processing are involved.

Bausteine des StandardsBuilding blocks of the standard

PIMS basiert auf einer der am häufigsten übernommenen internationalen Standards für Informationssicherheitsmanagement, ISO/IEC 27001.PIMS is built on top of one of the most widely adopted international standards for information security management, ISO/IEC 27001. Wenn Ihre Organisation bereits mit ISO/IEC 27001 vertraut ist, ist es sinnvoll, die neuen Datenschutz-Betriebskontrollen von PIMS einzuführen.If your organization is already familiar with ISO/IEC 27001, it is logical and more efficient to integrate the new privacy controls of PIMS. Dies bedeutet, dass die Implementierung und die Überwachung beider Standards kostengünstiger und einfacher zu bewerkstelligen sind.This means the implementation and audit of both will be less expensive and easier to achieve.

Eckpunkte zu ISO/IEC 27001 und PIMS:Key points on ISO/IEC 27001 and PIMS:

  • ISO/IEC 27001 ist einer der am häufigsten verwendeten ISO-Standards auf der Welt und viele Unternehmen sind bereits dafür zertifiziert.ISO/IEC 27001 is one of the most used ISO standards in the world, with many companies already certified to it.
  • PIMS umfasst neue Kontrollen für Controller und Verarbeiter, mit denen Sie die Lücke zwischen Datenschutz und Sicherheit überbrücken und eine Integrationsstelle zwischen zwei unterschiedlichen Funktionen in den Unternehmen bieten können.PIMS includes new controller- and processor-specific controls that help bridge the gap between privacy and security and provides a point of integration between what may be two separate functions in organizations.
  • Datenschutz hängt von der Sicherheit ab.Privacy depends on security. Ebenso hängt PIMS von ISO/IEC 27001 für die Sicherheitsverwaltung ab.Likewise, PIMS depends on ISO/IEC 27001 for security management. Die Zertifizierung für PIMS muss als Erweiterung einer ISO/IEC 27001-Zertifizierung erfolgen und kann nicht eigenständig erworben werden.Certification for PIMS must be obtained as an extension of an ISO/IEC 27001 certification and cannot be obtained independently.

Was sollte Ihre Organisation mit PIMS tun?What should your organization do with PIMS?

Unabhängig von der Größe Ihrer Organisation und unabhängig davon, ob es sich um einen Controller oder einen Verarbeiter handelt, sollte Ihre Organisation die Zertifizierung entweder für Ihre eigene Organisation in Betracht ziehen oder sie von Anbietern oder Lieferanten auf der Grundlage Ihrer Geschäftsanforderungen anfordern.No matter the size of your organization and whether it is a controller or a processor, your organization should consider pursuing certification, either for your own organization, or requesting it from vendors or suppliers based on your business requirements. Dies gilt insbesondere für Verarbeiter, Unterverarbeiter und Co-Controller, die sensible Daten oder große Mengen personenbezogener Daten verarbeiten.This applies especially for processors, sub-processors, and co-controllers that are processing sensitive or high volumes of personal data. In jedem Fall sollte Ihre Organisation die geschäftlichen Anforderungen prüfen, um zu ermitteln, ob eine Zertifizierung für die eigenen Produkte und Dienste geeignet ist.In any case, your organization should assess its business needs to determine if certification for its own products and services is suitable.

Microsoft-Clouddienste im LeistungsumfangMicrosoft in-scope cloud services

  • Azure, Azure Government und Azure DeutschlandAzure, Azure Government, and Azure Germany
  • Azure DevOps ServicesAzure DevOps Services
  • Microsoft Cloud App-SicherheitMicrosoft Cloud App Security
  • Dynamics 365, Dynamics 365 Government und Dynamics 365 DeutschlandDynamics 365, Dynamics 365 Government, and Dynamics 365 Germany
  • Microsoft GraphMicrosoft Graph
  • Microsoft Healthcare BotMicrosoft Healthcare Bot
  • IntuneIntune
  • Microsoft Managed DesktopMicrosoft Managed Desktop
  • Power Automate (ehemals Microsoft Flow)Power Automate (formerly Microsoft Flow)
  • PowerAppsPowerApps
  • Power BIPower BI
  • Power BI EmbeddedPower BI Embedded
  • Power Virtual AgentsPower Virtual Agents
  • Microsoft StreamMicrosoft Stream
  • Microsoft-BedrohungsexpertenMicrosoft Threat Experts
  • Windows Defender Advanced Threat ProtectionWindows Defender Advanced Threat Protection

Audits, Berichte und ZertifikateAudits, reports, and certificates

Verwenden von Microsoft Compliance-Manager zur Einschätzung des RisikosUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance-Manager ist ein Feature im Microsoft 365 Compliance Center, das Ihnen dabei hilft, den Compliance-Status Ihrer Organisation zu ermitteln und Maßnahmen zur Senkung von Risiken zu ergreifen.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance-Manager bietet eine sehr hilfreiche Vorlage für die Erstellung einer Bewertung für diese Verordnung.Compliance Manager offers a premium template for building an assessment for this regulation. Die Vorlage finden Sie auf der Seite Bewertungsvorlagen in Compliance-Manager.Find the template in the assessment templates page in Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.Learn how to build assessments in Compliance Manager.

RessourcenResources