Datenschutz
Normen haben eine Relevanz unter:
Bundesdatenschutzgesetz (BDSG)
Das Bundesdatesnchutzgesetz ergänzt die DSGVO in spezifischen Bereichen, bspw. Beschäftigtendatenschutz, Videoüberwachung, Datenschutzbeauftragte oder Aufsichtsbehörden. Das BDSG liegt in neuster Fassung seit 25. Mai 2018 vor.
Inhalte der Normen:
Folgende Normen sind bei der Nachweisführung und praktischen Umsetzung besonders relevant:
- § 64 BDSG: TOMs, Privacy Information Management System und Informationssicherheit: Bezug:
DIN EN ISO/IEC 27701, ISO/IEC 27001 & 27002 - § 67 BDSG: Datenschutz – Folgenabschätzung bei besonderen Verarbeitungen z. B. bei Videoüberwachung: Bezug: ISO/IEC 29134
- § 35 BDSG: Recht auf Löschung: : ISO 27555 (Löschung personenbezogener Daten) und
ISO 21964 (Vernichtung von Datenträgern, ehemals auch DIN 66399)
EU-Datenschutz – Grundverordnung (DS-GVO)
Die DS-GVO oder Verordnung (EU) 2016/679, bildet seit dem 25. Mai 2018 den zentralen Rechtsrahmen für den Schutz personenbezogener Daten in der Europäischen Union. Sie gilt unmittelbar in allen Mitgliedstaaten und regelt die Verarbeitung personenbezogener Daten durch private Unternehmen, öffentliche Stellen und Organisationen. Ziele der DS-GVO sind die Stärkung der Betroffenenrechte, die Harmonisierung des Datenschutzrechts in der EU sowie die Sicherstellung eines hohen Datenschutzniveaus im digitalen Binnenmarkt.
Inhalte der Normen:
Die zentralen Vorgaben der DS-GVO lassen sich durch anerkannte Normen unterstützen. Die Normen bieten ein hohes Maß an Konformität, haben jedoch – anders als in anderen Bereichen - keine direkte regulatorische Bedeutung. Die folgenden Normen bieten bewährte Rahmenwerke zur praxisnahen Umsetzung der jeweiligen DS-GVO Artikel:
- Art. 25 DS-GVO: Privacy by Design und Default: Bezug: DIN ISO/IEC 29100 (Privacy Framework) und DIN ISO/IEC 29101 (Privacy Architecture Framework)
- Art 35 DS-GVO: Datenschutz – Folgenabschätzung: Bezug: DIN ISO/IEC 29134
- Art. 17 DS-GVO: Recht auf Löschung: Bezug: ISO 27555 (Löschung personenbezogener Daten) und ISO 21964 (Vernichtung von Datenträgern, ehemals auch DIN 66399)
- Art. 32 DS-GVO: Sicherheit der Verarbeitung: Bezug: DIN EN ISO/IEC 27001 (ISMS) und DIN EN ISO/IEC 27701 (Privacy Information Management)
ePrivacy – Richtlinie / geplante ePrivacy - Verordnung
Die ePrivacy-Richtlinie betrifft Vertraulichkeit elektronischer Kommunikation, Cookies/Tracking (Endgerätzugriff) und Direktwerbung. Die ursprünglich geplante ePrivacy-Verordnung sollte die Richtlinie ablösen und modernisieren. Nach jahrelanger Diskussion hat die EU-Kommission den Vorschlag in ihrem Arbeitsprogramm 2025 offiziell zurückgezogen. Da die ePrivacy-Richtlinie in vielen Teilen von der DS-GVO abgedeckt wird, listen wir zur Erfüllung übliche Standards nicht noch einmal auf.
Einblick in Normen im Datenschutz
DIN EN 17529: Datenschutzfreundliche Voreinstellungen
| Name | Datenschutz und Schutz der Privatsphäre durch Technikgestaltung und datenschutzfreundliche Voreinstellungen |
| Regulatorische Relevanz | DSGVO |
| Beschreibung | Die DIN EN 17529:2023 legt Anforderungen an die Löschung personenbezogener Daten im Einklang mit der DSGVO fest. Sie beschreibt technische und organisatorische Maßnahmen, mit denen Unternehmen das „Recht auf Löschung“ nach Art. 17 DSGVO systematisch, sicher und nachvollziehbar umsetzen können. Im Mittelpunkt stehen dabei Prozesse, Verantwortlichkeiten sowie die Pflicht zur Nachweisführung und Dokumentation, sodass Unternehmen gegenüber Aufsichtsbehörden belegen können, dass Daten vollständig und ordnungsgemäß gelöscht wurden. |
ISO 21964: Vernichten von Datenträgern
| Name | Informationstechnik - Bürogeräte - Vernichten von Datenträgern |
| Regulatorische Relevanz | DSGVO, BDSG |
| Beschreibung | Die ISO 21964 legt Anforderungen für die Klassifizierung und Vernichtung von Akten sowie unterschiedlichen Datenträgern fest. Sie definiert Sicherheitsstufen, die den Schutz vertraulicher und sensibler Informationen sicherstellen sollen. Die Einstufung richtet sich dabei nach der Art der Informationen und dem möglichen Schaden, der durch einen unbefugten Zugriff entstehen könnte. Verwandt damit ist die ehemalige DIN 66399 "Vernichtung physischer Datenträger". |
ISO 27001: Informationssicherheitsmanagementsysteme
| Name | Informationssicherheit, Cybersicherheit und Datenschutz - Informationssicherheitsmanagementsysteme - Anforderungen |
| Regulatorische Relevanz | DSGVO, BDSG |
| Beschreibung | Die ISO 27001 ist eine international anerkannte Norm für Informationssicherheitsmanagementsysteme (ISMS) und legt Anforderungen an Aufbau, Betrieb und kontinuierliche Verbesserung eines ISMS fest. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen durch systematische Maßnahmen zu gewährleisten und Risiken im Umgang mit Daten gezielt zu kontrollieren. Die Norm gilt branchenübergreifend und sorgt insbesondere durch klare Regeln, Verantwortlichkeiten und dokumentierte Sicherheitsmaßnahmen für einen wirksamen Schutz sensibler Informationen. |
ISO 27002: Informationssicherheitsmaßnahmen
| Name | Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre – Informationssicherheitsmaßnahmen |
| Regulatorische Relevanz | DSGVO, BDSG |
| Beschreibung | Die ISO 27002 gibt Empfehlungen für das Informationssicherheitsmanagement zur Anwendung durch diejenigen Personen, die in einer Organisation für die Einführung, Implementierung und Erhaltung der Sicherheit verantwortlich sind. Diese sollten eine gemeinsame Basis zur Entwicklung von organisationsbezogenen Sicherheitsnormen und effektiven Sicherheitsmanagementpraktiken bilden und Vertrauen in die Geschäftsbeziehungen zwischen Organisationen herstellen. |
ISO 27555: Löschung personenbezogener Daten
| Name | Informationssicherheit, Cybersicherheit und Datenschutz - Leitlinien zur Löschung personenbezogener Daten |
| Regulatorische Relevanz | DSGVO |
| Beschreibung | Die ISO 27555:2021 ist eine internationale Leitlinie, die praktische Empfehlungen für die Löschung personenbezogener Daten in IT- und Kommunikationssystemen gibt. Der Schwerpunkt liegt auf technischen Verfahren wie Überschreiben, Kryptolöschung oder physischer Vernichtung sowie auf deren Einbettung in den Lebenszyklus von Daten. Sie dient als praxisnaher Leitfaden für Organisationen weltweit, unabhängig von spezifischen rechtlichen Rahmenbedingungen, und ergänzt bestehende Managementsysteme wie ISO/IEC 27001 oder ISO/IEC 27701 um konkrete Maßnahmen zur sicheren Datenlöschung. |
ISO 27701: Datenschutz – Managementsysteme
| Name | Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Datenschutz-Informationsmanagementsysteme |
| Regulatorische Relevanz | DSGVO, BDSG |
| Beschreibung | Erweiterung von ISO 27001 um Datenschutz. Bietet einen Rahmen für ein Datenschutz-Informationsmanagementsystem (PIMS), der sowohl die Sicherheit von Informationen als auch den Schutz personenbezogener Daten adressiert. Enthält datenschutzspezifische Anforderungen und Leitlinien (z.B. Verantwortlichkeiten, Maßnahmen zum Schutz der Privatsphäre), um ISO-27001-konforme ISMS auf DSGVO-Anforderungen zu erweitern. |
ISO 29100: Rahmenwerk für Datenschutz
| Name | Informationstechnik - Sicherheitsverfahren - Rahmenwerk für Datenschutz |
| Regulatorische Relevanz | DSGVO |
| Beschreibung | Die Norm legt ein generelles Datenschutz-Rahmenwerk (Privacy Framework) fest, das als Grundlage dient, um Datenschutzanforderungen in Organisationen, Prozessen und Technologien zu verankern. Sie enthält Begriffe und Definitionen rund um Privacy, ein Referenzmodell für Datenschutz, die 11 grundlegenden Datenschutzprinzipien (z.B. Einwilligung und Wahlmöglichkeiten oder Datenminierung), Rollenmodelle (z.B. Verantwortlicher, Betroffener, Auftragsverarbeiter) und High-Level-Anforderungen, wie diese Prinzipien technisch und organisatorisch umgesetzt werden. Es ist also kein konkreter Maßnahmenkatalog wie ISO/IEC 27002 oder 27701, sondern ein übergreifender Referenzrahmen. |
ISO 29101: Architekturrahmenwerk
| Name | Informationstechnik - Sicherheitstechniken - Architekturrahmenwerk für Datenschutz |
| Regulatorische Relevanz | DSGVO |
| Beschreibung | Die Norm beschreibt ein Privacy Architecture Framework (PAF), also ein Modell dafür, wie man Datenschutzanforderungen systematisch in IT-Architekturen einbettet. Sie liefert Begriffsdefinitionen und Privacy-Prinzipien, die in technischen Architekturen berücksichtigt werden müssen, ein Referenzmodell, um Privacy Controls in Systemdesign und -implementierung zu integrieren, Klassifikationen von Schutzzielen und Architektur-Patterns sowie Beispiele für technische Privacy-Mechanismen. |
ISO 29134: Datenschutz – Folgenabschätzung
| Name | Information technology - Security techniques - Guidelines for privacy impact assessment |
| Regulatorische Relevanz | DSGVO, BDSG |
| Beschreibung | Leitlinien für Datenschutz-Folgenabschätzungen (PIA). Beschreibt Vorgehensmodell und Anforderungen an PIA-Berichte nach Art. 35 DSGVO. Ziel: systematische Identifikation und Bewertung von Risiken für die Privatsphäre. |