ISO/IEC 27552 ist keine Zertifizierungsnorm. Darauf weist aktuell ein Artikel auf der Plattform datenschutz-notizen.de hin. Es gebe Beratungsunternehmen, die ISO/IEC 27552 im Zusammenhang mit der DSGVO ins Spiel bringen und eine Prüfung nach dieser Norm anbieten. Das Ergebnis sei aber keineswegs DSGVO-konform.
Die ISO/IEC 27552 „Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“, die derzeit als Entwurf diskutiert wird, ist keine Zertifizierungsnorm. Mit ihr lässt sich ein Informationssicherheits-Managementsystem nach ISO/IEC 27001 über das Statement of Applicability (SOA-Dokument) um Datenschutz-Aspekte ergänzen, die dann im Rahmen einer ISO/IEC 27001-Auditierung mitbetrachtet werden können. Zertifiziert wird aber stets das ISMS nach ISO/IEC 27001.
Die DSGVO sieht in Artikel 42 Zertifizierungsverfahren für Verarbeitungsvorgänge vor, die nur eine akkreditierte Zertifizierungsstelle durchführen kann. Die ISO/IEC 27552 ist jedoch keine hierfür zugelassene Norm. Der Gesetzgeber hat in der DSGVO die Akkreditierungsnorm ISO/IEC 17065 für Produkte und Dienstleistungen vorgegeben, während ISO/IEC 27001 zu den Managementsystemnormen zählt.
Derzeit, so die Datenschutz-Notizen, gebe es noch keine DSGVO-konformen Zertifizierungen.