Der BvD-Mitglieder Blog

Verpflichtet uns die EU-Datenschutz-Grundverordnung (DS-GVO) zur Einführung eines Informations-Sicherheits-Management-Systems (ISMS)?


Datenschutzbeauftragte befinden sich bereits in der heißen Phase zur Umsetzung der geforderten Maßnahmen aus der neuen Europäischen Datenschutzgesetzgebung. Dabei stellt sich mitunter die Frage, welche Anforderungen sich in Bezug auf die Informationssicherheit im Unternehmen ableiten lassen. Ist die Einführung eines ISMS verpflichtend?

 

Definition eines ISMS nach ISO27001:

Teil des gesamten Managementsystems, der auf der Basis eines Geschäftsrisikoansatzes die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit abdeckt.

 

Gegenüber dem Bundesdatenschutzgesetz bekam die Informationssicherheit in der Datenschutz-Grundverordnung einen neuen Stellenwert. Dies zeigte sich mitunter daran, dass die Pflicht zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen als Grundsatz in Art. 5 der Datenschutz-Grundverordnung aufgenommen wurde.

 

Art.5 Abs. 1 lit.f DS-GVO:

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).


Ein zusätzlicher Hinweis für eine „erweiterte Informationssicherheit“ ergibt sich aus den Begrifflichkeiten in Art.5 DS-GVO. „Integrität und Vertraulichkeit“ sind elementare Grundsätze der IT-Sicherheit. In bisherigen Gesetzen zum Schutz personenbezogener Daten waren diese nicht vorhanden.

 

Kriterien der technischen und organisatorischen Maßnahmen in Art.32 „Sicherheit der Verarbeitung“

 

Art.32 Abs.1

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

 

Art.32 Abs.2

Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.

 

Gegenüber der Anlage zu §9 BDSG in der zumindest indirekte Maßnahmen aufgeführt wurden, wirkt Art.32 noch abstrakter. Es lassen sich aber Hauptbestandteile eines ISMS zuordnen.

 

Schritt 1 Feststellen des Schutzbedarfes Art.32 Abs.2

Das Schutzniveau personenbezogener Daten orientiert sich an der Schutzbedürftigkeit und dem sich ergebenden Schadenspotential bei unberechtigter Kenntniserlangung. Daraus ergibt sich

eine notwendige Schutzbedarfsanalyse. In der Regel werden Daten verschiedenen Kategorien des Schutzbedarfs zugeordnet, beispielsweise: normal, hoch und sehr hoch.

 

Schritt 2 Bewerten von Risiken

Art.32 Abs.1 und Abs.2 beinhalten die Risikobeurteilung. Maßnahmen die zum Schutz personenbezogener Daten getroffen werden, müssen künftig unter Berücksichtigung des Risikos für die Persönlichkeits- und Freiheitsrechte Betroffener ausgewählt werden. Dieser Risikobewertungsansatz bezieht sich jetzt nicht mehr nur auf klassische Unternehmenswerte, sondern schließt den Betroffenen und seine personenbezogenen Daten mit ein.

 

Schritt 3 Maßnahmenauswahl und Risikobehandlung

In Art.32 Abs.2 lit. a-c werden Maßnahmen zur Risikobehandlung aufgeführt.

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

 

Schritt 4 Audits, Managementbewertung, Korrektur

Schließlich fordert Art.32 Abs.1 Satz2 lit.d ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

 

Zwischenfazit

Für mich ergibt sich somit der Auftrag an der Einführung eines ISMS zu arbeiten. Ich selbst habe noch wenig Erfahrung damit, bin aber überzeugt, bereits wichtige Vorarbeiten leisten zu können.

Da Informationssicherheit für jede verantwortliche Stelle individuell ist, kann ich aus den Erfahrungen meines Unternehmens wichtige Erkenntnisse für Empfehlungen meiner bestellten Unternehmen ableiten.

 

Dokumentation

„Wer schreibt der bleibt“

Sicher kennen auch Sie diesen Satz. Er stellt in wenigen Worten den Grundsatz der Nachweisbarkeit dar. Es gilt: bereits Vorüberlegungen zum Aufbau eines Managementsystems an zentraler Stelle abzulegen. Dabei ist es wichtig, auch weitere Mitarbeiter die zukünftig in das Projekt ISMS eingebunden werden, auf diese Datenablage einzuladen.

 

Information an die Unternehmensleitung

Informationssicherheit und somit auch Sicherheit für personenbezogene Daten ist Chefsache. Ein essentieller Punkt die Unternehmensleitung zur Mitarbeit am gemeinsamen Ziel zu motivieren. Auch die drastisch erhöhten Strafen in Art.83 DS-GVO sind ein wichtiger Hinweis für die Unternehmensleitung. Grundsätzlich sollten aber die positiven Auswirkungen eines ISMS im Vordergrund stehen:

  • Risikominimierung
  • Unternehmensstabilität steigern
  • Erwartungshaltung von Geschäftspartnern erfüllen
  • Positive Außenwirkung gegenüber Kunden und Interessenten
  • Vorgaben bei Ausschreibungen von Banken oder Versicherungen erfüllen

Im Gespräch mit der Geschäftsleitung sollten Sie sich die Freigabe zum Aufbau eines „Planungsteams ISMS“ einholen. Unabhängig davon ob künftig externe Spezialisten zur Unterstützung herangezogen werden, gilt es, die wichtigen nächsten Schritte gemeinsam zu planen.

 

Mögliches Team

 

Informationssicherheitsbeauftragter (ISB)

Die Bestellung eines ISB ist in jeden Fall eine gute Entscheidung. Damit bilden Sie eine zentrale Stelle mit direktem Focus auf IT-Sicherheit. Die notwendige Fachkunde ist aufzubauen, beispielsweise über die UDIS Akademie Ulm.

 

Vertreter der IT-Abteilung

Später kann ein zusätzlicher IT-Mitarbeiter notwendig sein, der die erkannten Anforderungen technisch umsetzt.

Vorhandene Managementbeauftragte

Existiert in Ihrem Unternehmen bereits ein Managementbeauftragter, beispielsweise für Qualität oder Umweltschutz, sollten Sie diese Stelle mit in das ISMS-Team aufnehmen. Das Team profitiert von vorhandenen Management-Erfahrungen.

 

Datenschutzbeauftragter

Durch den erkannten Auftrag aus der DS-GVO ein Management-System zu etablieren, sollten wir im eigenen Interesse das Thema ISMS vorantreiben.

 

Vorbereitende Aufgaben

Um eine kommende Schutzbedarfsanalyse und Risikoeinschätzung erst möglich zu machen, müssen die vorhandenen Datenverarbeitungsprozesse im Unternehmen bekannt sein. Sollte eine vorhandene Verfahrensübersicht veraltet sein oder Lücken aufweisen, müssen diese geschlossen werden.

 

Mein Tipp:

Die DS-GVO bietet die Chance eines Neuanfangs. Über einen einfachen Fragenkatalog an die Abteilungen, können nicht gemeldete Datenverarbeitungsvorgänge erkannt und erfasst werden.

 

Für den passenden Weg entscheiden

Zusammen mit dem Team gilt es mögliche Standards zu bewerten. Abhängig von der Größe und Ausrichtung Ihres Unternehmens kommen verschiedene Möglichkeiten in Frage. Die bekanntesten sind ISO27001 und IT-Grundschutz. Für kleine und mittelständische Unternehmen kommen auch ISIS12 und VdS3473 in Frage. Ein weiterer Weg führt über die in Art.40, 41 DS-GVO beschriebenen „genehmigten Verhaltensregeln“. Diese adressieren Kleinstunternehmen, werden von Verbänden und anderen Vereinigungen ausgearbeitet und über ein festgelegtes Verfahren von der Datenschutzaufsichtsbehörde genehmigt.

 

Fazit

Für unser Unternehmen werde ich ein ISMS auf Basis der Cyber-Richtlinie VdS3473 empfehlen. Aus meiner Sicht bietet diese Richtlinie einen idealen Mittelweg aus umzusetzenden Maßnahmen und notwendigen personellen sowie finanziellen Ressourcen. Zusätzlich stellt sie eine fundierte Grundlage für eine mögliche, spätere Zertifizierung nach ISO27001 dar.

Einen kostenlosen Quick-Check zur Feststellung des Status der Informationssicherheit in Ihrem Unternehmen können Sie über die Webseite  http://www.vds-quick-check.de durchführen.

 

Stefan Bachmann

 

Der Artikel wurde für die Ausgabe 02/2017 der Zeitschrift Datenschutz Digital erstellt.

 http://www.datenschutz-digital.de/

Vielen Dank für die Freigabe.

DS-GVO und ISMS?

13.02.2017
 - 
14:30
Stefan Bachmann
  • 2 Kommentar(e)

15.02.2017
18:17
Peter
Zwei Anmerkungen

Zu dem Beitrag hätte ich zwei Anmerkungen: 1. In der Regel muss nicht der DSB nun ein ISMS aufbauen, denn ein ISB oder CISO hat das vielleicht schon fertig. Lieber erstmal dort nachfragen. Das Thema ISMS ist ja nicht neu. 2. ISO27001 oder IT-Grundschutz sind ebenso gut für kleine und mittelständige Unternehmen geeignet. Aufgrund der weitreichenden Standardisierung würde ich das sogar einem Branchenstandard wie VdS immer vorziehen.



15.02.2017
21:06
Stefan Bachmann
ISMS Standards

Vielen Dank für Ihre Auslegungen. Ich finde es sehr wichtig für weitere Leser, wenn praktische Erfahrungen zu ISMS ausgetauscht werden. Entscheidend denke ich ist immer, dass eingeführte Prozesse zur Steigerung der Informationssicherheit nicht nur eingeführt, sondern dokumentiert und gelebt werden.


 Views: 37

Mein Kommentar

Nutzungsbedingungen des BvD-Blog

 

Der Blog ist eine Plattform zum Meinungsaustausch zum Datenschutz. Der Blog ist inhaltlich hierauf beschränkt. Die veröffentlichten Kommentare verantwortet der jeweilige Autor selbst. Sie sind nicht die Meinung des BvD. Der BvD macht sich diese Kommentare auch nicht zu eigen.
Der aktuelle Betrieb des Blogs ist ein Testbetrieb. Nach Ende der Testphase wird der BvD über das Ob und Wie der Fortsetzung entscheiden.

  1. Der Autor haftet für den Inhalt seines Kommentars. Der Autor wird keine rechtswidrigen oder anstößigen Inhalte in dem Blog veröffentlichen.
  2. Der Autor hat keinen Anspruch auf Veröffentlichung seines Kommentars.
  3. Der BvD ist berechtigt, Inhalte zu löschen, wenn der Verdacht entsteht, dass ein Inhalt rechtswidrig oder anstößig ist. Dies gilt insbesondere dann, wenn der BvD von Dritten auf die Rechtswidrig- bzw. Anstößigkeit hingewiesen wird.
  4. Der BvD ist berechtigt, Nutzer von der Nutzung des Blogs auszuschließen, wenn der Verdacht auf rechtswidriges bzw. missbräuchliches Verhalten des Nutzers besteht.
  5. Der Nutzer erwirbt keine Rechte an dem von ihm gegebenenfalls verwendeten Pseudonym. Er wird kein Pseudonym wählen, das rechtswidrig oder anstößig ist. Für das Pseudonym gelten die Regelungen zum Inhalt des Kommentars entsprechend.
  6. Der BvD ist jederzeit berechtigt, den Betrieb des Blogs zu beenden.
  7. Der BvD ist berechtigt, die Nutzungsbedingungen des Blogs zu ändern.
  8. Der Betreiber des Blogs ist berechtigt, die Registrierungsdaten des Nutzers mitzuteilen, falls entsprechende Auskunftsansprüche gegen den Blog-Betreiber geltend gemacht werden.
Ich möchte über jeden weiteren Kommentar in diesem Post benachrichtigt werden.
Ich akzeptiere die Blog-Nutzungsbedingungen.

Datenschutz-Grundverordnung


noch 

457

 Tage 

RSS-Feed abonnieren

RSS Feed abonnieren
https://www.bvdnet.de/blog-rss

Letzte Kommentare

ISMS Standards
15.02.2017 21:06
Zwei Anmerkungen
15.02.2017 18:17
Blogbeitrag
13.10.2016 18:55
Datenschutz und IT
13.10.2016 16:40

Kategorien

Archiv

Meist gelesene Posts

DSgzS-Infopool
8688 times viewed
17.01.2014 11:14
Hackerangriff auf ebay
6870 times viewed
21.05.2014 21:50
Telefonumfrage - ein Erfahrungsbericht
6405 times viewed
27.10.2013 22:41
Angriff übers Internet – diesmal: FRITZ!Box
5141 times viewed
12.02.2014 13:47