Datenschutzanwälte mit über 50 Jahren Erfahrung

Kostenlose Erstberatung
/insights

Aktualisiert Donnerstag, März 6, 2025

Aktualisiert Donnerstag, März 6, 2025

Dokumentation in ISO-Managementsystemen

Die Dokumentation spielt eine entscheidende Rolle in Informationssicherheits-Managementsystemen (ISMS) nach ISO 27001 und Datenschutz-Managementsystemen (DSMS) nach der DSGVO. Sie dient als Nachweis für die Wirksamkeit des Systems und stellt sicher, dass alle sicherheits- und datenschutzrelevanten Prozesse nachvollziehbar sind.

Steffen Groß

Partner (Rechtsanwalt)

1. Genaue Kennzeichnung von Dokumenten
2. Dokumentenkontrolle
3. Vorgabedokumente und Nachweisdokumente
4. Praxisbeispiele für die Dokumentation
5. Fazit und bewährte Verfahren

Erhalten Sie Unterstützung von unseren Anwälten

Datenschutz kann kompliziert sein. Unser erfahrenes Team unterstützt Sie gern.

Kostenlose Erstberatung
Einleitung

Die Dokumentation spielt eine entscheidende Rolle in Informationssicherheits-Managementsystemen (ISMS) nach ISO 27001 und Datenschutz-Managementsystemen (DSMS) nach DSGVO. Sie dient als Nachweis für die Wirksamkeit des Systems und stellt sicher, dass alle sicherheits- und datenschutzrelevanten Prozesse nachvollziehbar sind.

Während ISO 27001 (für ISMS) und die DSGVO zusammen mit ISO 27701 (für DSMS) allgemeine Dokumentationsanforderungen enthalten, bieten sie keine expliziten Richtlinien, wie die Dokumentation strukturiert und kontrolliert werden sollte. Im Gegensatz dazu bietet ISO 9001:2015 umfassende Anforderungen an das Dokumentenmanagement in Qualitätsmanagementsystemen (QMS). Organisationen, die ein ISMS oder DSMS betreiben, können daher von den in ISO 9001:2015 beschriebenen bewährten Verfahren profitieren, um ein klares und strukturiertes Dokumentenmanagement zu gewährleisten.

ISO 9001:2015 enthält in verschiedenen Abschnitten Dokumentationsanforderungen, die auf ISMS und DSMS angewendet werden können:

  • ISO 9001:2015, Abschnitt 7.5: Anforderungen an die Lenkung dokumentierter Informationen
  • ISO 9001:2015, Abschnitt 4.4: Dokumentation von Prozessen und ihren Wechselwirkungen
  • ISO 9001:2015, Abschnitt 8.1: Operative Kontrolle dokumentierter Informationen
  • ISO 9001:2015, Abschnitt 9.1.1: Anforderungen an Dokumente zur Leistungsüberwachung

Diese Grundsätze können auch auf ISMS und DSMS angewendet werden, mit besonderen Anforderungen an Sicherheits- und Datenschutzdokumente.


1. Genaue Kennzeichnung von Dokumenten

Jedes dokumentierte Verfahren muss eindeutig identifizierbar sein. Dadurch wird eine korrekte Versionierung und Nachverfolgung gewährleistet. Die folgenden Informationen sollten enthalten sein:

  • Titel und Dokumentennummer: Erleichtert die Identifizierung und Verwaltung
  • Ersteller und verantwortliche Partei: Klare Zuweisung von Verantwortlichkeiten
  • Erstellungs- und letztes Änderungsdatum: Gewährleistung der Rückverfolgbarkeit
  • Versionsnummer/Revisionsstand: Nachvollziehbarkeit der Änderungshistorie
  • Genehmigung durch autorisierte Person: Sicherstellung, dass nur verifizierte Dokumente verwendet werden
  • Gültigkeits- und Verteilbereich: Festlegung, wer Zugriff hat und wo das Dokument bereitgestellt wird

2. Dokumentenkontrolle

Dokumente im ISMS und DSMS müssen kontrolliert werden, um unbefugte Änderungen und unkontrollierte Verteilung zu verhindern. Die Kontrolle umfasst:

Zugriffskontrolle: Dokumente müssen vor unbefugtem Zugriff geschützt werden (ISO 9001:2015, 7.5.3.2).
Änderungsmanagement: Jede Änderung an einem Sicherheits- oder Datenschutzdokument muss nachvollziehbar sein (ISO 9001:2015, 7.5.2 und 7.5.3.2).
Archivierung und Aufbewahrung: Sicherheits- und Datenschutzdokumente unterliegen gesetzlichen Aufbewahrungsfristen und müssen sicher aufbewahrt werden (ISO 9001:2015, 7.5.3.1).

Die Kontrolle dokumentierter Informationen ist ein zentraler Bestandteil eines funktionierenden ISMS und DSMS, da eine unkontrollierte Dokumentation Risiken für die Informationssicherheit und den Datenschutz birgt.


3. Vorgabedokumente und Nachweisdokumente

ISMS und DSMS unterscheiden zwischen Vorgabedokumenten (dokumentierte Verfahren) und Nachweisdokumenten (Auditprotokolle, Risikobewertungen).

Vorgabedokumente (ISO 9001:2015, 4.4.2, 8.1)

  • Richtlinien (z. B. Informationssicherheitsrichtlinie, Datenschutzrichtlinien)
  • Prozessbeschreibungen (z. B. Vorfallmanagement, Zugriffsverwaltung)
  • Arbeitsanweisungen (z. B. Erstellung und Verwaltung von Verschlüsselungsschlüsseln)
  • Checklisten und Formulare (z. B. Datenschutz-Folgenabschätzung)

Nachweisdokumente (ISO 9001:2015, 9.1.1, 9.3.2)

  • Risikobewertungen und -analysen
  • Auditberichte (z. B. interne Audits nach ISO 27001, DSGVO-Audits)
  • Schulungsnachweise für Mitarbeiter im Bereich Datenschutz und IT-Sicherheit
  • Protokolle über sicherheitsrelevante Vorfälle und deren Behebung

Diese Dokumente müssen entsprechend den Kontrollanforderungen verwaltet werden.


4. Praxisbeispiele für die Dokumentation

Beispiel Prozessbeschreibung: Reaktion auf Datenschutzvorfall

Prozess: Umgang mit Datenschutzvorfällen
Zweck: Sicherstellen, dass alle Datenschutzvorfälle gemäß den Anforderungen der DSGVO schnell erkannt, dokumentiert und bearbeitet werden.
Geltungsbereich: Alle personenbezogenen Daten und Datenverarbeitungssysteme im Unternehmen.
Prozessverantwortlicher: Datenschutzbeauftragter

Prozessablauf:

  1. Aufzeichnung: Der Vorfall wird im Datenschutzvorfallregister dokumentiert.
  2. Erste Analyse: Das Datenschutzteam bewertet den Vorfall und prüft, ob eine Meldepflicht gemäß Art. 33 DSGVO besteht.
  3. Maßnahmen: Sofortmaßnahmen zur Eindämmung des Vorfalls werden umgesetzt und dokumentiert.
  4. Meldung: Bei meldepflichtigen Vorfällen wird die Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigt.
  5. Information der Betroffenen: Bei hohem Risiko werden die betroffenen Personen gemäß Art. 34 DSGVO informiert.
  6. Nachbereitung: Die gewonnenen Erkenntnisse werden festgehalten und vorbeugende Maßnahmen definiert.

Änderungsprotokoll

DokumentAlte VersionNeue VersionÄnderungDatumGenehmigt von
IT-Sicherheitsrichtlinie1.01.1Aktualisierung der Passwortrichtlinien01.06.2023IT-Sicherheitsbeauftragter
Datenschutz-Folgenabschätzung2.02.1Anpassung an neue DSGVO-Anforderungen15.07.2023Datenschutzbeauftragter

5. Fazit und bewährte Verfahren

Die Dokumentation ist ein wesentlicher Bestandteil eines funktionierenden ISMS und DSMS. Zu den wichtigsten bewährten Verfahren gehören:

  • Automatisierung durch Software und Dokumentenmanagementsysteme (DMS) zur Erleichterung der Versionierung und Zugriffskontrolle.
  • Schulungen für Mitarbeiter, um den korrekten Umgang mit sicherheits- und datenschutzbezogenen Dokumenten sicherzustellen.
  • Regelmäßige Überprüfung und Aktualisierung, um sicherzustellen, dass die Dokumentation aktuell und konform bleibt.

Durch die Anwendung der Dokumentationsanforderungen von ISO 9001 auf ISMS und DSMS können Organisationen sicherstellen, dass ihre Dokumente zur Informationssicherheit und zum Datenschutz effizient verwaltet werden.

Rechtsberatung

Simpliant Legal - Wittig, Bressner, Groß Rechtsanwälte Partnerschaftsgesellschaft mbB

Unternehmensberatung

Simpliant GmbH

Software

Simpliant Technologies GmbH

Datenschutz

Wir begleiten Sie bei der Umsetzung aller datenschutzrechtlichen Anforderungen der DSGVO.

Informationssicherheit

Wir unterstützen Sie beim Aufbau eines ganzheitlichen ISMS wie der ISO 27001.

Künstliche Intelligenz

Wir beraten Sie bei der Integration von KI und entwickeln rechtskonforme Nutzungskonzepte.