Die Einbindung der EU-DSGVO-Anforderungen in ein ISMS

Mit der EU-DSGVO erfährt das Thema Informationssicherheit an steigender Bedeutung. Um die Vorgaben im Unternehmen zu meistern, bietet es sich an, die Datenschutzanforderungen in vorhandene Informationssicherheitsmanagementsysteme zu integrieren.

Mit der EU-DSGVO hat die EU-Kommission ein zentrales Rahmenwerk zur internationalen Harmonisierung des Datenschutzes der EU-Mitgliedsstaaten geschaffen. Neben Neuerungen zur Umsetzung des Datenschutzes wird die Unternehmenshaftung ausgeweitet. Je nach Art des Verstoßes drohen empfindlich hohe Bußgelder, im Extremfall bis zu 4 % des Jahresumsatzes. Aufgrund der zukünftig deutlich strengeren Vorschriften und Kontrollen im Datenschutz und der potenziell aus Verfehlungen drohenden Konsequenzen, sollten Sie sich, falss Sie das Thema noch nicht auf der Agenda haben, dringend mit den anstehenden Herausforderungen auseinandersetzen.

Integrität und Vertraulichkeit

Diverse Positionen der EU-DSGVO nehmen direkt Bezug auf die Etablierung eines Information Security Management Systems (ISMS) im Unternehmen. So besagt etwa Art. 5 der EU-DSGVO u. a.: „Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (Integrität und Vertraulichkeit).“ Integrität und Vertraulichkeit sind bekannte Grundsätze beim Einsatz eines ISMS. In den bisher geltenden gesetzlichen Vorgaben waren sie allerdings in dieser Weise nicht gefordert.

Sicherheit der Verarbeitung

Im Art. 32 Abs. 1 der EU-DSGVO finden sich folgende Bestimmungen: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Weiter heißt es in Abs. 2: „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugtem Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.“ Ein dem Risiko angemessenes Schutzniveau und ein dementsprechendes Risikomanagement sind Hauptbestandteile eines soliden ISMS. Listen von Maßnahmen technischer und organisatorischer Art im Datenschutz sind hier zukünftig keinesfalls mehr ausreichend.

Warum bietet es sich also an, die Anforderungen aus der EU-DSGVO in ein ISMS einzubinden?

Eine gemeinsame Berücksichtigung von Datenschutz und Informationssicherheit in Form eines Datenschutz-Informationssicherheit-Managementsystem (DIMS, Abbildung 1) ist zu empfehlen, weil das gesamte Vorgehen zur Umsetzung der neuen EU-DSGVO-Anforderungen starke Parallelen und Überschneidungen mit der Struktur eines ISMS aufweist. Ein integriertes DIMS erfüllt alle Anforderungen des Datenschutzes und der Informationssicherheit und hat neben methodischem ganzheitlichem Vorgehen auch weitere günstige Auswirkungen auf das Ansehen des gesamten Unternehmens. Zu diesen positiven Effekten zählen u. a.: die nachhaltige, ganzheitliche Risikominimierung; die umfassende Absicherung der Unternehmenswerte; die Überprüfbarkeit durch revisionssichere Dokumentation der Aktivitäten und schließlich auch die Compliance gegenüber Geschäftspartnern, Kunden, Interessenten, Banken und Versicherungen.

ISMS & DIMS

In einem DIMS lassen sich schützenswerte Informationen und Geschäftsprozesse nahtlos integrieren.

Integrierter Datenschutz

Ein DIMS auf Basis der EU-DSGVO und der ISO 27001 oder/und IT-Grundschutz, etabliert anerkannte Verfahren, mit welchen methodisch Prozesse und Richtlinien in einem Unternehmen eingeführt werden, die es ermöglichen, die Risiken zu erkennen und einschließlich aller technischen und organisatorischen Maßnahmen zu steuern, zu kontrollieren und permanent zu verbessern (Plan-Do-Check-Act-Kreislauf bei ISMS, Abbildung 2).

PDCA ISMS

Der Plan-Do-Check-Act-Kreislauf bei ISMS.

Die neuen Anforderungen aus der EU-DSGVO basieren, wie bisher schon in ISMS, auf Geschäftsprozessen und IT-Systemen. Neu im Datenschutz geforderte Aspekte, wie Datensicherheit und IT-Sicherheit sind bereits Bestandteile von ISMS. Ein DIMS bietet darüber hinaus den Vorteil, alle Informationen zu betrachten, unabhängig davon, ob diese Daten in Papierform oder digital vorliegen und ob sie personenbezogen sind oder nicht. DSGVO-Vorgaben, wie die Schutzbedarfsanalyse und die Risikobeurteilung, einschließlich der daraus abgeleiteten Maßnahmen zur Risikobegegnung im Datenschutz, lassen sich in einem DIMS methodisch integrieren (Abbildung 3). Die Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von IT-Systemen und -Diensten in Bezug auf die Datenverarbeitung wird in einem DIMS ähnlich wie bei einem ISMS umgesetzt. Ebenso kann die Reifegradbestimmung (Ist-/Soll-Vergleich) der vorhandenen Datenschutzaktivitäten analog dem Vorgehen bei ISMS realisiert werden.

DIMS-Prozess

Vertraulichkeit, Integrität und Verfügbarkeit sind zentrale Bestandteile eines DIMS.

Die EU-DSGVO verpflichtet neben der Etablierung neuer Prozesse und Strukturen auch zu einer erweiterten Dokumentation, wie z. B. zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten. Die Weisung bei Auftragsverarbeitung, mit allen AV-Verträgen und den Dienstleistern je Geschäftsprozess, muss dokumentiert und Datenschutzvorfälle müssen rechtzeitig gemeldet werden. Die komplette und revisionssichere Dokumentation aller Datenschutz- und Informationssicherheitsaktivitäten ist deshalb immer auch ein Bestandteil eines nachhaltigen DIMS.

Fazit

Aus den genannten Gründen ist es in jedem Fall für alle Unternehmen sinnvoll, den Datenschutz und die Informationssicherheit nicht unabhängig voneinander zu betreiben. Leider zeigt die Praxis, dass sich kleinere Unternehmen häufig von der Komplexität der Anforderungen überfordert sehen. An dieser Stelle sei darauf hingewiesen, dass Softwarelösungen für jede Unternehmensgröße angeboten werden, die ein integriertes Vorgehen DIMS zu ISMS und EU-DSGVO ermöglichen, unterstützen und deutlich vereinfachen. Mit MS-Excel oder anderen Bordmitteln lässt sich dieses komplexe Thema nicht mehr lösen. Geeignete Softwarelösungen bieten hier die bessere Alternative, helfen Probleme vermeiden und nicht zuletzt Kosten sparen.

Ellen Wüpper
WMC Wüpper Management Consulting GmbH

[/fullwidth_text]

WMC Seminar „Einbindung der EU-DSGVO in ein ISMS“ am 30.01.2018 in Hamburg – Melden Sie sich jetzt an!

WMC Seminar

Den Artikel, der in der Heise Sonderbeilage „Sicherheit & Datenschutz“ erschienen ist, können Sie hierherunterladen:

Artikel herunterladen

Erfahren Sie mehr über QSEC- die ISMS/GRC/Datenschutz-Software:

QSEC-Suite QSEC mit DSGVO

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen