Datenschutz und Informationssicherheit – ein gutes Team

Die Etablierung eines DIMS und die Vorteile integrierter Managementsysteme

Die Verbindung von Datenschutz und Informationssicherheit ist nach den Vorgaben der DSGVO ein Vorgehen mit vielen Synergieeffekten. Unser Beitrag beschreibt, worauf bei der Etablierung eines DIMS geachtet und warum auf den Mehrwert eines integrierten Managementsystems nicht verzichten werden sollte.

Mit der Einführung der EU-Datenschutzgrundverordnung (DSGVO) im Mai letzten Jahres und den nun potenziell drohenden Strafen hat auch das Thema Informationssicherheit in den Unternehmensführungen deutlich an Bedeutung gewonnen. So nimmt zum Beispiel Artikel 5 der DSGVO Bezug auf die Etablierung eines Information-Security-Management-Systems (ISMS) im Unternehmen hinsichtlich der Integrität und Vertraulichkeit. Beide sind bereits bekannte Kriterien aus dem Informationssicherheitsmanagement, die in den vormals geltenden gesetzlichen Vorgaben jedoch nicht derart gefordert waren. Ebenso fordert Artikel 32 zur Etablierung eines dem Risiko angemessenen Schutzniveaus auf – auch diese Thematik ist über das Risikomanagement ein Hauptbestandteil eines ISMS.

Aufgrund der diversen Schnittmengen in der Erfüllung der Compliance in Bezug auf ISMS und Datenschutz haben bereits etliche Unternehmen erkannt, dass die Etablierung eines integrierten ISMS und Datenschutz-Systems (Datenschutz-Informationssicherheits Management-Systems (DIMS)) eine synergieträchtige Vorgehensweise darstellt. Jedoch sehen sich auch 2019 noch diverse Unternehmen von der Komplexität der Anforderungen überfordert bzw. müssen erkennen, dass sich mit MS-Excel oder anderen Listen diese komplexen Themen nicht mehr umfassend und nachhaltig lösen lassen.

Hilfreich sind hier eindeutig moderne integrierte DIMS: Ihr Einsatz unterstützt professionell alle Anforderungen des Datenschutzes und der Informationssicherheit. Neben methodischem, ganzheitlichem Vorgehen liefert ihre Nutzung auch grundsätzlich positive Aspekte für das Ansehen des gesamten Unternehmens.

Das sind zum Beispiel aus Geschäftsführungssicht:

  • die nachhaltige, ganzheitliche Risikominimierung,
  • die umfassende Absicherung der Unternehmenswerte,
  • die revisionssichere Dokumentation der Aktivitäten,
  • die Darstellung der Einhaltung der Compliance-Anforderungen gegenüber Geschäftspartnern, Kunden, Interessenten, Banken und Versicherungen.
In einem DIMS lassen sich schützenswerte Informationen und Geschäftsprozesse nahtlos integrieren. (Alle Bilder: QSEC)

Das richtige Produkt finden

Betrachtet man nun jedoch die Produktlandschaft, die zum Beispiel im europäischen Markt angeboten wird, etwas genauer, so lässt sich feststellen, dass längst nicht gleich ist, was gleich scheint, und nur billig nicht zum erwünschten Ergebnis führt. Der Markt ist in etwa so heterogen wie der der Automobilbranche. Dort gibt es den Kleinwagen aus Fernost zum geringen Preis ebenso wie den europäischen Luxuswagen mit neuestem technischem Entwicklungsknowhow. Beides sind Pkw, jedoch ist jedem in diesem Fall klar, dass die Produkte nicht gleich sind. Ähnlich ist es im Markt der DIMS beziehungsweise IMS, nur sind die Unterschiede dort nicht so offensichtlich, und leider werden oft Äpfel mit Birnen verglichen.

Wesentlich ist, ein DIMS genau anhand der individuellen Bedürfnisse zu prüfen und sich dann für eine professionelle und erprobte Lösung zu entscheiden, die zu den eigenen Anforderungen passt.

Anforderungen an eine DIMS-Lösung

Aber zurück zu dem, was moderne DIMS leisten können und auf welche Punkte Wert gelegt werden sollte. Ein modernes DIMS, wie zum Beispiel QSEC, arbeitet auf Basis der DSGVO und ISO 27001 und/oder IT-Grundschutz und etabliert anerkannte Verfahren, mit denen methodische Prozesse und Richtlinien in ein Unternehmen eingeführt werden können. Das ermöglicht, Risiken zu erkennen und einschließlich aller technischen und organisatorischen Maßnahmen zu steuern, zu kontrollieren und permanent zu verbessern (Plan-Do Check-Act-Kreislauf des ISMS). Die Umsetzung der Anforderungen aus der DSGVO basieren, wie auch im klassischen ISMS, auf Geschäftsprozessen und IT-Systemen. Dabei bietet die Umsetzung eines DIMS mit QSEC den Vorteil, alle Informationen zu betrachten, unabhängig davon, ob diese Daten in Papierform oder digital vorliegen und ob sie personenbezogen sind oder nicht.

Schutzbedarfsanalyse und Risikobeurteilung, einschließlich der daraus abgeleiteten Maßnahmen zur Risikobegegnung im Datenschutz, sollten im DIMS methodisch integriert sein. Die Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von IT-Systemen und -Diensten in Bezug auf den Datenschutz sollten ähnlich wie im ISMS umgesetzt werden. Ebenso ist es sinnvoll, dass die Reifegradbestimmung (Ist-Soll-Vergleich) der vorhandenen Datenschutz-Aktivitäten analog dem Vorgehen beim ISMS umgesetzt wird. Nachhaltige DIMS ermöglichen neben den allgemeinen ISMS-Funktionen nach ISO 27001 und/oder BSI IT-Grundschutz immer die komplette und revisionssichere Dokumentation der Datenschutzund Informationssicherheitsaktivitäten, wie zum Beispiel:

  • das Führen eines Verzeichnisses von Verarbeitungstätigkeiten,
  • die Dokumentation der Weisung bei Auftragsverarbeitung, mit allen AV-Verträgen und den Dienstleistern je Geschäftsprozess und
  • die Meldung von Datenschutzvorfällen.
Risikomatrix / Heatmap

Benutzer unterstützen

Neben diesen datenschutzrelevanten Themen sollte ein DIMS folgende grundsätzliche Inhalte eines modernen datenbankgestützten
ISMS bieten, um die Verantwortlichen möglichst optimal zu unterstützen:

  • Das System ist integriert programmiert und wird komplett mit allen Modulen (Compliance, Risk Management, Maßnahmenmanagement, Information Assets, Security- Incident-Management, Dokumentenmanagement, Reporting) ausgeliefert. So lassen sich auch die Kosten im Vorhinein exakt bestimmen.
  • Die Lösung bietet einen hohen Anpassungsgrad an die Anforderungen der individuellen Organisationsstrukturen.
  • Fachabteilungen können für Interviews und zur Bewertung der Geschäftsprozessrisiken über Workflows der Lösung in den ISMS-Prozess eingebunden werden, ohne dass eine Schulung im System nötig ist. Dadurch wird Zeit gespart und die Benutzerakzeptanz gesteigert.
  • Das Managementsystem bietet tagesaktuelle Managementreports zum Stand von Datenschutz und Informationssicherheit, wie zum Beispiel Heatmaps, Soll-Ist-Vergleich etc. Dadurch kann der Verantwortliche jederzeit den Fortschritt seiner Aktivitäten dokumentieren und die Geschäftsleitung erhält aussagekräftige Berichte über alle verantwortungs- und entscheidungsrelevanten Themen.

Die genannten Punkte zeigen, dass die Verbindung von Datenschutz und Informationssicherheit in jedem Fall eine gute Entscheidung darstellt und die Umsetzbarkeit dieses Vorgehens sollte als wichtige Voraussetzung bei der Prüfung von zu beschaffenden Systemen geprüft werden.

Interview Wizard zur Erfassung und Prüfung von Geschäftsprozessen, Informationen und Assetgruppen durch den Prozessverantwortlichen.

Vom DIMS zum IMS

Darüber hinaus können Unternehmen ein DIMS zu einem ganzheitlichen integrierten Managementsystem (IMS) ausbauen. Die Etablierung eines professionellen DIMS verursacht Investitionen, die sich möglichst optimal auszahlen sollen. Da viele Unternehmen nicht nur ISMS und Datenschutz erfüllen müssen, sondern auch diversen anderen gesetzlichen und Branchenstandards Rechnung tragen wollen, ist es empfehlenswert, eine Systemerwerbung auch aus Sicht der Erfüllung weiterer gesetzlicher Anforderungen, Normen und Standards zu prüfen. So kann schrittweise ein IMS etabliert werden, das umfassende weitere Anforderungen abdeckt.
Die Vorteile eines solchen Managementsystems sind zum Beispiel:

  • Etablierung einer einheitlichen, unternehmensweiten Datenbasis und Methodik.
  • Alle weiteren erforderlichen additionalen Standards, Normen, Gesetze können im gleichen System abgebildet und von mehreren Verantwortlichen genutzt werden.
  • Keine Redundanzen und Doppelaufwendungen. Dadurch ergeben sich Ressourcen-, Zeit- und Investitionskostenersparnisse.
  • Hohe Nutzerakzeptanz durch weniger Schulungsaufwand, Benutzerfreundlichkeit und Workflowunterstützung.

Fazit

Abschließend sei jedoch noch angemerkt, dass es unabhängig von einer Softwarelösung wesentliche Punkte gibt, die für jede Datenschutzmanagement-, ISMS-, DIMS- und IMS-Einführung grundsätzlich wesentlich sind, wenn diese erfolgreich sein und echten Nutzen für eine Organisation erzielen sollen.
Diese sind:

  • Nachhaltige und wirksame Erfolge werden nur durch eine ganzheitliche Sichtweise und deren Umsetzung erzielt.
  • Die Datenschutz-, ISMS-, DIMS-, IMS-Strategie muss von der Geschäftsstrategie und -situation abgeleitet werden.
  • Verantwortliche benötigen klare Kompetenzen und die erforderlichen betriebswirtschaftlichen, juristischen, organisatorischen oder technischen Kenntnisse.
  • Nachhaltiges Management ist ein laufender Prozess, der schrittweise und stufenweise und nicht mit einem „Big Bang“ erfolgen sollte.

Die Unterstützung der Geschäftsführung ist für ein erfolgreiches Management erforderlich.
Der Aufwand lohnt sich jedoch: Denn richtig verstandene und ganzheitliche Unternehmens- und Datenschutz- und Informationssicherheit minimiert die Risiken, erhöht die Transparenz, spart Kosten und wird so zum Erfolgsfaktor für eine Organisation.

Von Ellen Wüpper, WMC Wüpper Management Consulting GmbH

Melden Sie sich jetzt zu unserer kostenlosen Roadshow Datenschutz & ISMS (DIMS) an!

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen