Wir haben die Regel gebrochen: Bei Dastra haben selbst die Schuhmacher die besten Schuhe.
Datenschutz und -sicherheit standen schon immer im Mittelpunkt unserer Mission. Mit Stolz geben wir bekannt, dass Dastra nun nach ISO 27701 zertifiziert ist, einem internationalen Standard, der unsere Einhaltung von Best Practices im Management des Datenschutzes bestätigt.
Als Plattform, die auf das Management der GDPR-Konformität spezialisiert ist, fanden wir uns selbst als Kunden unseres eigenen Tools wieder. Entdecken Sie, wie wir Taten folgen lassen!
🔒 Was ist ISO 27701?
Der Standard wurde mit Input von globalen Institutionen entwickelt, darunter die CNIL (französische Datenschutzbehörde), AFNOR und der Europäische Datenschutzbeirat. Ziel: Die Anforderungen an den Datenschutz über mehrere regulatorische Rahmenbedingungen hinweg abzustimmen — nicht nur die GDPR der EU, sondern auch das California Consumer Privacy Act (CCPA) und die kanadischen Datenschutzgesetze.
Als global relevanter Standard steht ISO 27701 für den neuesten Stand im Datenschutzmanagement. Für weitere Informationen siehe die Erklärung der CNIL hier.
Die Erlangung der ISO 27701-Zertifizierung bedeutet, dass Dastra erreicht hat:
Ein Datenschutzhinweis-Managementsystem (PIMS), das strengen Standards für Datenverwaltung und Vertraulichkeit entspricht.
Kontrollen, die an die Verarbeitung personenbezogener Daten angepasst sind, angepasst an unsere Rolle — am häufigsten als Datenverarbeiter.
📍 Warum die ISO 27701-Zertifizierung anstreben?
Obwohl Dastra bereits eine solide Plattform für die Einhaltung der GDPR anbietet, entschied sich unser Team, einen Schritt weiter zu gehen.
Diese Zertifizierung war ein freiwilliger, proaktiver Schritt, der unsere Ausrichtung auf die anspruchsvollsten internationalen Standards im Datenschutz zeigt — ein wahrer Indikator für organisatorische Reife und operative Strenge.
In der Praxis bringt die Zertifizierung:
Stärkere Datensicherheit und Transparenz
Verstärkte Einhaltung der GDPR und anderer globaler Vorschriften
Klare Governance und robuste interne Kontrollen
Eine Kultur der kontinuierlichen Verbesserung in den Datenschutz- und Sicherheitsprozessen
Das bedeutet, dass unsere Kunden sich auf einen zertifizierten Partner verlassen können, um ihre eigenen Daten zu verwalten und zu schützen.
🧭 Unterstützung: Sollten Sie Hilfe suchen?
Die Antwort hängt von der Größe, Reife und internen Kenntnis der ISO-Anforderungen Ihrer Organisation ab — insbesondere im Auditmanagement.
| Kriterium | Dienstleistung (Menschlicher Experte) |
SaaS (Software) |
Hybride (SaaS + Dienstleistung)** |
|---|---|---|---|
| Strategietransparenz | 👍 Durchschnitt bis gut, abhängig vom Anbieter | ⚠️ Niedrig: 'Black Box'-Logik der Software | ✅ Total: klarer, erklärter, individueller Ansatz |
| Nachweismangement | 👍 Durchschnitt, abhängig vom Anbieter | ⚠️ Eingeschränkt: hängt von den Regeln der Software ab | ✅ Stark: manuelle, kontextualisierte Auswahl |
| Zeiteinsparung | 👍 Signifikant für Audits, weniger für die Datenerhebung | ✅ Sehr stark für die Datenerhebung | ✅ Ausgewogen: schnell, aber überwacht |
| Zertifizierungsqualität | ✅ Hoch | ⚠️ Variiert - hängt von der Benutzereinstellung ab | ✅ Hoch (menschliche Aufsicht mit Audit-Ausrichtung) |
| Kosten | ❗️ Höher | ✅ Erschwinglich | 💸 Mittel |
| Notwendiges Grad an Autonomie | 👍 Niedrig: alles wird angeleitet | ❗️ Hoch: hängt vom Benutzer ab | 👍 Mäßig: Unterstützung verfügbar |
| Geeignet für KMUs ohne spezielle Ressourcen? | ✅ Ja | ⚠️ Risikobehaftet, wenn das Team nicht geschult ist | ✅ Ja, mit Unterstützung |
Wir haben den hybriden Ansatz gewählt, in Zusammenarbeit mit unserem Partner Bastion, was den Prozess erheblich vereinfacht hat.
Diese Art der Unterstützung, obwohl nicht obligatorisch, erweist sich als besonders strategisch — insbesondere in Abwesenheit interner ISO-Expertise — aus mehreren wichtigen Gründen, die wie folgt sind:
Wichtige Schritte in unserer Zertifizierungsreise
🧩 Schritt 1: Vorbereitung & Governance
Das Projekt begann vor zwei Jahren mit dem Ziel, sowohl ISO 27001 als auch ISO 27701 Zertifizierungen zu erreichen. Von Anfang an haben wir ein Lenkungskomitee eingerichtet und eine verantwortliche Person ernannt, die für das Sammeln und Validieren von Nachweisen zuständig ist.
Ein entscheidender Erfolgsfaktor: funktionsübergreifende Governance. Regelmäßige Sitzungen brachten die Führungsebene, unseren Datenschutzbeauftragten und strategische Teams zusammen — die Einhaltung der Vorschriften wurde zu einem unternehmensweiten Engagement, nicht nur zu einem rechtlichen oder technischen Problem.
Wir haben dann unsere bestehenden Systeme bewertet und festgestellt, was bereits vorhanden war (dank der eigenen Tools von Dastra: Register, Datenkarten, Richtlinien) und was fehlte — insbesondere ein zentralisiertes, auditbereites Nachweissystem.
Das bedeutete:
Identifikation, was bereits existierte, und Festlegung des Umfangs
Schließen der Lücken und Analyse der Diskrepanzen
Strukturierung alles in ein auditfestes System
🧩 Schritt 2: Aufbau des PIMS (Datenschutzhinweis-Managementsystems)
Um die Anforderungen von ISO 27701 zu erfüllen, haben wir unsere Richtlinien und Verfahren in Bezug auf personenbezogene Daten verstärkt, einschließlich:
Abbildung aller Aktivitäten zur Verarbeitung personenbezogener Daten
Strukturierung der Datenschutz- und Betroffenenrechte-Richtlinien
Implementierung geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung der Vertraulichkeit
💡 Ein grundlegendes Prinzip von ISO-Audits: Was nicht dokumentiert ist, existiert nicht. Es reicht nicht aus, gute Praktiken umzusetzen — man muss sie klar und konsequent nachweisen.
Beispiele:
Ein Sicherheits-Scan allein ist nicht ausreichend. Sie müssen die resultierende Maßnahme zeigen (z.B. angewendeter Patch, validiert, bereitgestellt), mit Screenshots oder Audit-Protokollen.
Bei Dastra war die automatische Datenlöschung technisch implementiert — aber das Fehlen einer formell dokumentierten Richtlinie wurde als Verbesserungspotenzial festgestellt.
Richtlinien, die für das PIMS unerlässlich sind:
Datenschutzrichtlinie: Definiert, wie personenbezogene Daten erfasst, verwendet, gespeichert und geschützt werden.
Datenaufbewahrungsrichtlinie: Gibt die Dauer der Datenaufbewahrung basierend auf ihren Typen und Zwecken an.
Datenlöschrichtlinie: Beschreibt sichere Methoden zur Löschung oder Vernichtung von Daten und Dokumenten.
Datenklassifizierungsrichtlinie: Kategorisiert Daten basierend auf ihrer Sensitivität, um die Schutzlevels anzupassen.
Verschlüsselungsrichtlinie: Definiert Regeln zur Datenverschlüsselung in Speicherung und Übertragung.
Kommunikationsplan bei Änderungen der Subunternehmer: Rahmen für die Benachrichtigung von Kunden und Partnern im Falle von Änderungen der Subunternehmer.
Nutzungsbedingungen und Verkaufsbedingungen: Legt die vertraglichen Bedingungen zwischen dem Unternehmen und seinen Nutzern oder Kunden fest.
Aktualisiertes Informationssicherheitsmanagementsystem (ISMS): Stellt sicher, dass alle Richtlinien formalisiert, implementiert, aktualisiert und regelmäßig auditiert werden.
🧩 Schritt 3: Internes Audit, Vorvalidierungsphase
Vor dem offiziellen Audit führte Dastra ein internes Audit mit unserem Partner Bastion durch. Dadurch konnten wir:
- Überprüfen, dass alle Anforderungen der ISO 27001 + 27701 effektiv abgedeckt waren.
- Alle Nichtkonformitäten oder fehlenden Nachweise identifizieren.
- Ausstehende Probleme schnell angehen.
Dieser Probelauf war entscheidend — er gab uns die Chance, Schwachstellen ohne Druck zu korrigieren.
🧩 Schritt 4: Managementüberprüfung
Der Prozess endete mit einer Managementüberprüfung, an der alle Stakeholder beteiligt waren — Management, Compliance-Manager, technische und Produktteams. Dieses letzte Treffen ermöglichte es uns:
- Alle verbleibenden Nachweise gemeinsam zu validieren.
- Offiziell zu bestätigen, dass die Einhaltungsziele erreicht wurden.
- Starke, informierte Governance gegenüber dem Auditor zu demonstrieren.
🧩 Schritt 5: Zertifizierungsaudit durch eine akkreditierte Stelle
Ein unabhängiger Auditor bewertete dann unsere Systeme und bestätigte unsere Compliance mit ISO 27701.
Dank der Bemühungen und des fortwährenden Engagements unseres Teams für Datensicherheit hat Dastra die Zertifizierung erfolgreich erlangt.
Unser Team erkennt an: Der Weg war lang, aber transformierend. Selbst für ein auf Compliance spezialisiertes Unternehmen mussten wir unsere Praktiken strukturieren, nachweisen und formalisieren.
Technologie allein reicht nicht aus, um eine Zertifizierung zu erlangen — es ist die Übereinstimmung zwischen Tools, Praktiken und Governance, die dies erreicht.
🗃️ Wie Dastra das Nachweismanagement vereinfacht hat
Wie Sie sich vielleicht denken können, spielte unsere eigene Plattform während des gesamten Zertifizierungsprozesses eine Schlüsselrolle.
Dastra hat die Hälfte der Arbeit erledigt, indem es einen erheblichen Teil der erforderlichen Informationen zentralisierte: Register, Datenkarten, Richtlinien und Dokumentationsexporte — alles an einem Ort.
Wir sind im Grunde unser eigener Kunde geworden — und das Tool wurde unerlässlich, um die komplexen ISO-Anforderungen zu erfüllen.
Schritt 1: Halten Sie eine aktuelle Datenzuordnung aufrecht
- Listen Sie persönliche Daten auf, die im Unternehmen verwendet werden.
- Mappen Sie Systeme und Vermögenswerte, die diese Daten verarbeiten.
- Verknüpfen Sie jedes Vermögen mit seinen jeweiligen Unterauftragnehmern.
- Dokumentieren Sie den Standort dieser Unterauftragnehmer.
- Sammeln Sie deren Sicherheitsdokumente, SLAs und Datenschutzerklärungen über das Vertragsmodul.
Schritt 2: Halten Sie ein aktuelles Verzeichnis der Verarbeitungstätigkeiten
- Dokumentieren Sie die Datenverarbeitungstätigkeiten des Unternehmens.
- Führen Sie automatisch eine DPIA (Datenschutz-Folgenabschätzung) für Ihre hochriskanten Verarbeitungstätigkeiten über das Fragebogenmodul (PIA-Vorlage) durch.
- Generieren Sie automatisch Ihre DPAs (Datenverarbeitungsvereinbarungen).
Schritt 3: Exportieren Sie einen maßgeschneiderten Bericht
- Sie müssen nur den Bericht „Anbieter und Datensätze“ exportieren, um Ihre Subunternehmer, deren Standorte und die Datensätze, auf die sie Zugriff haben, zu erhalten.
Schritt 4: Sammeln Sie Cookie-Zustimmungen
- Erstellen und veröffentlichen Sie Ihre Cookie-Richtlinie.
- Stellen Sie ein Zustimmungselement auf Ihrer Website bereit.
Schritt 5: Verwalten Sie Anfragen zu den Rechten der betroffenen Personen
- Richten Sie Ihr Dastra Privacy Hub ein!
✅ Was wir aus dieser Reise gelernt haben
- Die Zertifizierung stärkt eine Kultur der Nachweise, selbst für Compliance-Experten.
- Sie zwingt dazu, das oft implizite zu formalisieren, insbesondere in Sicherheits- und Datenschutzrichtlinien.
- Sie vereint die Teams um ein gemeinsames Ziel, mit klaren Verantwortlichkeiten und Rechenschaftspflichten.
- Sie spiegelt ein echtes, messbares Engagement für Datenschutz und -sicherheit wider.
🎯 Zusammenfassend:
ISO 27701 ist mehr als ein Label.
Es ist ein strategisches Engagement, das uns — als Anbieter einer Compliance-Plattform — dazu gedrängt hat, uns an die höchsten Standards in Bezug auf Sicherheit und Datenschutz zu halten.
Und unsere Kunden können jetzt auf einen zertifizierten, bewährten Partner zählen, um ihnen zu helfen, ihre eigenen Daten mit Vertrauen zu verwalten und zu sichern.
Möchten Sie Unterstützung bei Ihrem ISO 27701-Prozess?
Dastra bietet eine Plattform, um Ihre Nachweise zu zentralisieren, Ihre Richtlinien zu strukturieren und Ihre Praktiken zu dokumentieren — entwickelt von einem Team, das alles durchgemacht hat.