Warum die Einbindung der EU-DSGVO-Anforderungen in ein ISMS sinnvoll ist?

Den Datenschutz sicher im Griff

Warum die Einbindung der EU-DSGVO-Anforderungen in ein ISMS sinnvoll ist.
Mit der EU-DSGVO gewinnt das Thema Informationssicherheit deutlich an Bedeutung. Um die neuen Vorgaben im Unternehmen zu meistern, bietet es sich an, die Datenschutzanforderungen in vorhandene Informationssicherheitsmanagementsysteme zu integrieren.
Wer es jetzt immer noch nicht wissen sollte: Am 25. Mai 2018 wird die Anwendung der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) verbindlich. Mit der EU-DSGVO hat die EU-Kommission ein zentrales Rahmenwerk zur internationalen Harmonisierung des Datenschutzes der EU-Mitgliedsstaaten geschaffen. Neben Neuerungen zur Umsetzung des Datenschutzes wird die Unternehmenshaftung ausgeweitet. Je nach Art des Verstoßes drohen zukünftig empfindlich hohe Bußgelder, im Extremfall bis zu 4 % des Jahresumsatzes.

Interessanterweise beschäftigen sich laut aktueller Studien viele deutsche Unternehmen noch nicht mit diesem Thema. Aufgrund der zukünftig deutlich strengeren Vorschriften und Kontrollen im Datenschutz und der potenziell aus Verfehlungen drohenden Konsequenzen, sollten sich die Unternehmensverantwortlichen, die das Thema noch nicht auf der Agenda haben, jedoch dringend mit den anstehenden Herausforderungen auseinanderzusetzen.

Integrität und Vertraulichkeit

Diverse Positionen der EU-DSGVO nehmen direkt Bezug auf die Etablierung eines Information Security Management Systems (ISMS) im Unternehmen.
So besagt etwa Art. 5 der EU-DSGVO u. a.: „Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (Integrität und Vertraulichkeit).
Integrität und Vertraulichkeit sind bekannte Grundsätze beim Einsatz eines ISMS. In den bisher geltenden gesetzlichen Vorgaben waren sie allerdings in dieser Weise nicht gefordert.

Sicherheit der Verarbeitung

Im Art. 32 Abs. 1 der EU-DSGVO finden sich folgende Bestimmungen: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“
Weiter heißt es in Abs. 2: „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugtem Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.“

Ein dem Risiko angemessenes Schutzniveau und ein dementsprechendes Risikomanagement sind Hauptbestandteile eines soliden ISMS.
Listen von Maßnahmen technischer und organisatorischer Art im Datenschutz sind hier zukünftig keinesfalls mehr ausreichend.

Warum bietet es sich also an, die Anforderungen aus der EU-DSGVO in ein ISMS einzubinden? Eine gemeinsame Berücksichtigung von Datenschutz und Informationssicherheit in Form eines Datenschutz-Informationssicherheit-Managementsystem (DIMS, Abbildung 1) ist zu empfehlen, weil das gesamte Vorgehen zur Umsetzung der neuen EU-DSGVO-Anforderungen starke Parallelen und Überschneidungen mit der Struktur eines ISMS aufweist. Ein integriertes DIMS erfüllt alle Anforderungen des Datenschutzes und der Informationssicherheit und hat neben methodischem ganzheitlichem Vorgehen auch weitere günstige Auswirkungen auf das Ansehen des gesamten Unternehmens. Zu diesen positiven Effekten zählen u. a.: die nachhaltige, ganzheitliche Risikominimierung; die umfassende Absicherung der Unternehmenswerte; die Überprüfbarkeit durch revisionssichere Dokumentation der Aktivitäten und schließlich auch die Compliance gegenüber Geschäftspartnern, Kunden, Interessenten, Banken und Versicherungen.

ISMS & DIMS

In einem DIMS lassen sich schützenswerte Informationen und Geschäftsprozesse nahtlos integrieren.

Integrierter Datenschutz

Ein DIMS auf Basis der EU-DSGVO und der ISO 27001 oder/und IT-Grundschutz, etabliert anerkannte Verfahren, mit welchen methodisch Prozesse und Richtlinien in einem Unternehmen eingeführt werden, die es ermöglichen, die Risiken zu erkennen und einschließlich aller technischen und organisatorischen Maßnahmen zu steuern, zu kontrollieren und permanent zu verbessern (Plan-Do-Check-Act-Kreislauf bei ISMS, Abbildung 2).

PDCA ISMS

Der Plan-Do-Check-Act-Kreislauf bei ISMS.

Die neuen Anforderungen aus der EU-DSGVO basieren, wie bisher schon in ISMS, auf Geschäftsprozessen und IT-Systemen. Neu im Datenschutz geforderte Aspekte, wie Datensicherheit und IT-Sicherheit sind bereits Bestandteile von ISMS. Ein DIMS bietet darüber hinaus den Vorteil, alle Informationen zu betrachten, unabhängig davon, ob diese Daten in Papierform oder digital vorliegen und ob sie personenbezogen sind oder nicht.
DSGVO-Vorgaben, wie die Schutzbedarfsanalyse und die Risikobeurteilung, einschließlich der daraus abgeleiteten Maßnahmen zur Risikobegegnung im Datenschutz, lassen sich in einem DIMS methodisch integrieren (Abbildung 3). Die Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von IT-Systemen und -Diensten in Bezug auf die Datenverarbeitung wird in einem DIMS ähnlich wie bei einem ISMS umgesetzt. Ebenso kann die Reifegradbestimmung (Ist-/Soll-Vergleich) der vorhandenen Datenschutzaktivitäten analog dem Vorgehen bei ISMS realisiert werden.

DIMS-Prozess

Vertraulichkeit, Integrität und Verfügbarkeit sind zentrale Bestandteile eines DIMS.

Die EU-DSGVO verpflichtet neben der Etablierung neuer Prozesse und Strukturen auch zu einer erweiterten Dokumentation, wie z. B. zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten. Die Weisung bei Auftragsverarbeitung, mit allen AV-Verträgen und den Dienstleistern je Geschäftsprozess, muss dokumentiert und Datenschutzvorfälle müssen rechtzeitig gemeldet werden. Die komplette und revisionssichere Dokumentation aller Datenschutz- und Informationssicherheitsaktivitäten ist deshalb immer auch ein Bestandteil eines nachhaltigen DIMS.

Fazit

Aus den genannten Gründen ist es in jedem Fall für alle Unternehmen sinnvoll, den Datenschutz und die Informationssicherheit nicht unabhängig voneinander zu betreiben. Leider zeigt die Praxis, dass sich kleinere Unternehmen häufig von der Komplexität der Anforderungen überfordert sehen. An dieser Stelle sei darauf hingewiesen, dass Softwarelösungen für jede Unternehmensgröße angeboten werden, die ein integriertes Vorgehen DIMS zu ISMS und EU-DSGVO ermöglichen, unterstützen und deutlich vereinfachen. Mit MS-Excel oder anderen Bordmitteln lässt sich dieses komplexe Thema nicht mehr lösen. Geeignete Softwarelösungen bieten hier die bessere Alternative, helfen Probleme vermeiden und nicht zuletzt Kosten sparen.

Ellen Wüpper
WMC Wüpper Management Consulting GmbH

Den Artikel, der in der Heise Sonderbeilage „Sicherheit & Datenschutz“ erschienen ist, können Sie hier herunterladen:

Artikel herunterladen

Erfahren Sie mehr über QSEC- die ISMS/GRC/Datenschutz-Software:

QSEC-Suite QSEC mit DSGVO

0 Kommentare

Hinterlasse Sie einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*