BvD: Verpflichtet uns die EU-Datenschutz-Grundverordnung (DS-GVO) zur Einführung eines Informations-Sicherheits-Management-Systems (ISMS)?
Datenschutzbeauftragte befinden sich bereits in der heißen Phase zur Umsetzung der geforderten Maßnahmen aus der neuen Europäischen Datenschutzgesetzgebung. Dabei stellt sich mitunter die Frage, welche Anforderungen sich in Bezug auf die Informationssicherheit im Unternehmen ableiten lassen. Ist die Einführung eines ISMS verpflichtend?
Definition eines ISMS nach ISO27001:
Teil des gesamten Managementsystems, der auf der Basis eines Geschäftsrisikoansatzes die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit abdeckt.
Gegenüber dem Bundesdatenschutzgesetz bekam die Informationssicherheit in der Datenschutz-Grundverordnung einen neuen Stellenwert. Dies zeigte sich mitunter daran, dass die Pflicht zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen als Grundsatz in Art. 5 der Datenschutz-Grundverordnung aufgenommen wurde.
Art.5 Abs. 1 lit.f DS-GVO:
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Ein zusätzlicher Hinweis für eine „erweiterte Informationssicherheit“ ergibt sich aus den Begrifflichkeiten in Art.5 DS-GVO. „Integrität und Vertraulichkeit“ sind elementare Grundsätze der IT-Sicherheit. In bisherigen Gesetzen zum Schutz personenbezogener Daten waren diese nicht vorhanden.
Kriterien der technischen und organisatorischen Maßnahmen in Art.32 „Sicherheit der Verarbeitung“
Art.32 Abs.1
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Art.32 Abs.2
Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.
Gegenüber der Anlage zu §9 BDSG in der zumindest indirekte Maßnahmen aufgeführt wurden, wirkt Art.32 noch abstrakter. Es lassen sich aber Hauptbestandteile eines ISMS zuordnen.
Schritt 1 Feststellen des Schutzbedarfes Art.32 Abs.2
Das Schutzniveau personenbezogener Daten orientiert sich an der Schutzbedürftigkeit und dem sich ergebenden Schadenspotential bei unberechtigter Kenntniserlangung. Daraus ergibt sich
eine notwendige Schutzbedarfsanalyse. In der Regel werden Daten verschiedenen Kategorien des Schutzbedarfs zugeordnet, beispielsweise: normal, hoch und sehr hoch.
Schritt 2 Bewerten von Risiken
Art.32 Abs.1 und Abs.2 beinhalten die Risikobeurteilung. Maßnahmen die zum Schutz personenbezogener Daten getroffen werden, müssen künftig unter Berücksichtigung des Risikos für die Persönlichkeits- und Freiheitsrechte Betroffener ausgewählt werden. Dieser Risikobewertungsansatz bezieht sich jetzt nicht mehr nur auf klassische Unternehmenswerte, sondern schließt den Betroffenen und seine personenbezogenen Daten mit ein.
Schritt 3 Maßnahmenauswahl und Risikobehandlung
In Art.32 Abs.2 lit. a-c werden Maßnahmen zur Risikobehandlung aufgeführt.
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
Schritt 4 Audits, Managementbewertung, Korrektur
Schließlich fordert Art.32 Abs.1 Satz2 lit.d ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Zwischenfazit
Für mich ergibt sich somit der Auftrag an der Einführung eines ISMS zu arbeiten. Ich selbst habe noch wenig Erfahrung damit, bin aber überzeugt, bereits wichtige Vorarbeiten leisten zu können.
Da Informationssicherheit für jede verantwortliche Stelle individuell ist, kann ich aus den Erfahrungen meines Unternehmens wichtige Erkenntnisse für Empfehlungen meiner bestellten Unternehmen ableiten.
Dokumentation
„Wer schreibt der bleibt“
Sicher kennen auch Sie diesen Satz. Er stellt in wenigen Worten den Grundsatz der Nachweisbarkeit dar. Es gilt: bereits Vorüberlegungen zum Aufbau eines Managementsystems an zentraler Stelle abzulegen. Dabei ist es wichtig, auch weitere Mitarbeiter die zukünftig in das Projekt ISMS eingebunden werden, auf diese Datenablage einzuladen.
Information an die Unternehmensleitung
Informationssicherheit und somit auch Sicherheit für personenbezogene Daten ist Chefsache. Ein essentieller Punkt die Unternehmensleitung zur Mitarbeit am gemeinsamen Ziel zu motivieren. Auch die drastisch erhöhten Strafen in Art.83 DS-GVO sind ein wichtiger Hinweis für die Unternehmensleitung. Grundsätzlich sollten aber die positiven Auswirkungen eines ISMS im Vordergrund stehen:
- Risikominimierung
- Unternehmensstabilität steigern
- Erwartungshaltung von Geschäftspartnern erfüllen
- Positive Außenwirkung gegenüber Kunden und Interessenten
- Vorgaben bei Ausschreibungen von Banken oder Versicherungen erfüllen
Im Gespräch mit der Geschäftsleitung sollten Sie sich die Freigabe zum Aufbau eines „Planungsteams ISMS“ einholen. Unabhängig davon ob künftig externe Spezialisten zur Unterstützung herangezogen werden, gilt es, die wichtigen nächsten Schritte gemeinsam zu planen.
Mögliches Team
Informationssicherheitsbeauftragter (ISB)
Die Bestellung eines ISB ist in jeden Fall eine gute Entscheidung. Damit bilden Sie eine zentrale Stelle mit direktem Focus auf IT-Sicherheit. Die notwendige Fachkunde ist aufzubauen, beispielsweise über die UDIS Akademie Ulm.
Vertreter der IT-Abteilung
Später kann ein zusätzlicher IT-Mitarbeiter notwendig sein, der die erkannten Anforderungen technisch umsetzt.
Vorhandene Managementbeauftragte
Existiert in Ihrem Unternehmen bereits ein Managementbeauftragter, beispielsweise für Qualität oder Umweltschutz, sollten Sie diese Stelle mit in das ISMS-Team aufnehmen. Das Team profitiert von vorhandenen Management-Erfahrungen.
Datenschutzbeauftragter
Durch den erkannten Auftrag aus der DS-GVO ein Management-System zu etablieren, sollten wir im eigenen Interesse das Thema ISMS vorantreiben.
Vorbereitende Aufgaben
Um eine kommende Schutzbedarfsanalyse und Risikoeinschätzung erst möglich zu machen, müssen die vorhandenen Datenverarbeitungsprozesse im Unternehmen bekannt sein. Sollte eine vorhandene Verfahrensübersicht veraltet sein oder Lücken aufweisen, müssen diese geschlossen werden.
Mein Tipp:
Die DS-GVO bietet die Chance eines Neuanfangs. Über einen einfachen Fragenkatalog an die Abteilungen, können nicht gemeldete Datenverarbeitungsvorgänge erkannt und erfasst werden.
Für den passenden Weg entscheiden
Zusammen mit dem Team gilt es mögliche Standards zu bewerten. Abhängig von der Größe und Ausrichtung Ihres Unternehmens kommen verschiedene Möglichkeiten in Frage. Die bekanntesten sind ISO27001 und IT-Grundschutz. Für kleine und mittelständische Unternehmen kommen auch ISIS12 und VdS3473 in Frage. Ein weiterer Weg führt über die in Art.40, 41 DS-GVO beschriebenen „genehmigten Verhaltensregeln“. Diese adressieren Kleinstunternehmen, werden von Verbänden und anderen Vereinigungen ausgearbeitet und über ein festgelegtes Verfahren von der Datenschutzaufsichtsbehörde genehmigt.
Fazit
Für unser Unternehmen werde ich ein ISMS auf Basis der Cyber-Richtlinie VdS3473 empfehlen. Aus meiner Sicht bietet diese Richtlinie einen idealen Mittelweg aus umzusetzenden Maßnahmen und notwendigen personellen sowie finanziellen Ressourcen. Zusätzlich stellt sie eine fundierte Grundlage für eine mögliche, spätere Zertifizierung nach ISO27001 dar.
Einen kostenlosen Quick-Check zur Feststellung des Status der Informationssicherheit in Ihrem Unternehmen können Sie über die Webseite http://www.vds-quick-check.de durchführen.
Stefan Bachmann