Weltkugel in zwei Händen
sdecoret / stock.adobe.com
20.03.2018 Fachinformation 296 0

Datenschutz – ein Teil des Informationssicherheitsmanagementsystems

Ab dem 25. Mai 2018 gilt in ganz Europa die EU-Datenschutz-Grundverordnung [1] (EU-DS-GVO). Die Verordnung wird wichtige Teile des Datenschutzrechts in Europa vereinheitlichen. Sie enthält viele aus dem Bundesdatenschutzgesetz (BDSG) bereits bekannte Konzepte wie die Funktion des Datenschutzbeauftragten, aber auch viele neuen Konzepte – etwa den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellung –, die bis Mai 2018 umgesetzt sein müssen.

Kontakt

Sven Müller

Die Privatsphäre und der Schutz personenbezogener Informationen sind, soweit anwendbar, entsprechend den Anforderungen der relevanten Gesetze und Vorschriften sicherzustellen. Im Control A.18.1.4 der ISO/IEC 27001 „Privatsphäre und Schutz von personenbezogener Information“ geht es vor allem um das weite Feld des Datenschutzes, genauer um die Compliance mit allen Datenschutzgesetzen und -bestimmungen. In Deutschland sind hier vorrangig das Bundesdatenschutzgesetz und entsprechende Landesgesetze zu nennen.

In anderen Staaten existieren andere, mehr oder weniger strikte Anforderungen an den Datenschutz. Das macht die Erfüllung der Privatsphäre und den Schutz personenbezogener Informationen für multinationale Organisationen aufwendig. Dies gilt auch im Zusammenhang mit den übergreifenden Regularien der EU-Datenschutz-Grundverordnung [2] und des EU-US-Datenschutzschildes [3] (engl. EU-US Privacy Shield). Für Deutschland gilt: In allen Geschäftsprozessen, in denen personenbezogene Daten verarbeitet werden, müssen die Datensparsamkeit bzw. -vermeidung, das Prinzip der Vorabkontrolle und die Zweckbindung beachtet werden. Die geforderten organisatorisch-technischen Maßnahmen sind in der Anlage zu §9 BDSG zu finden. Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind [4] – unter anderem Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe- und Verfügbarkeitskontrollen.

Das Unternehmen muss für jeden Verarbeitungsschritt ermitteln, in welche Kategorie personenbezogener Daten dieser fällt. Es muss geprüft werden, ob die Ergebnisse mit dem Verarbeitungsverzeichnis übereinstimmen. An der Ermittlung der Datenkategorien sollten die jeweiligen Prozessverantwortlichen sowie die Eigentümer der Verarbeitung beteiligt werden. Ebenso sollten vorhandene Dokumentationen wie Organigramme, Prozesshandbücher oder ein bereits bestehendes Verarbeitungsverzeichnis sowie die Ergebnisse aus dem Analyseprozess und den Analyseverarbeitungen hinzugezogen werden. Für jede Verarbeitung müssen die Verantwortlichkeiten eines Eigentümers einem Mitarbeiter zugewiesen werden [5].

Weitere Management-Elemente sind die Einrichtung eines Datenschutzbeauftragten, das Führen eines Verfahrensverzeichnisses, die Unterweisung bzw. Schulung von Mitarbeitern und die Durchführung von Datenschutz-Audits.

Datenschutzprozess etablieren

Der Datenschutz ist dynamisch und für jedes Unternehmen individuell. Um mit möglichst geringem Aufwand das vom Unternehmen angestrebte Sicherheitsniveau zu definieren, umzusetzen und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage anzupassen, ist es notwendig, einen Datenschutzprozess zu etablieren. Die Verantwortlichkeiten für den Datenschutzprozess müssen eindeutig und widerspruchsfrei zugewiesen werden.

Die Regelungen zum Datenschutz betreffen alle, sowohl Unternehmen, wie auch Behörden und andere öffentliche Einrichtungen die Kunden – und Mitarbeiterdaten bearbeiten. Wenn das Unternehmen gesetzlich dazu verpflichtet ist, muss das Management die Verantwortlichkeiten eines Datenschutzbeauftragten (DSB) einem Mitarbeiter zuweisen. Die Datenschutzbeauftragten beraten bei der Durchführung der Datenschutz-Folgeabschätzungen (DSFA). Weiterhin ist der DSB Ansprechpartner bei Projekten mit Auswirkungen auf den Datenschutz, sowie bei der Einführung neuer Software und IT-Systeme. So ist sichergestellt, dass datenschutzrechtliche Aspekte ausreichend beachtet werden. Der DSB berichtet jährlich an das Management über den aktuellen Stand des Datenschutzes im Unternehmen, vor allem darüber, ob Risiken und datenschutzrechtliche Aspekte ausreichend beachtet werden.

Bei der Auswahl geeigneter technischer und organisatorischer Maßnahmen (TOM) [6] können unter anderem folgende Standards und Guidelines als Orientierungshilfe dienen:

  • ISO 27000er-Serie „Informationssicherheitsmanagementsystem“, insbesondere ISO 27002 [7]
  • ISO 29151 „Informationstechnik – Sicherheitsverfahren – Leitfaden für den Schutz personenbezogener Daten“ [8]
  • IT-Grundschutz-Katalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) [9]
  • Standard-Datenschutzmodell (SDM) [10]
  • COBIT von ISACA [11]
  • OECD Guidelines [12]
  • VdS 10010 : 2017-12 (01) Richtlinien zur Umsetzung der DSGVO – Anforderungen

Fazit

Die umfangreichen Anforderungen und Pflichten der DS-GVO an die Unternehmen, vor allem die Rechenschaftspflicht, führen zu einem Paradigmenwechsel. Konformität mit der Verordnung und Erfüllung der Rechenschaftspflichten sind nur durch ein angemessenes Datenschutz-Management zu erreichen. Ein angemessenes Datenschutz-Management wiederum lässt sich nur durch ein vollumfängliches proaktives Managementsystem realisieren. Der Datenschutz erfordert ein effektives Compliance-Management-System. Dieses muss proaktiv, transparent, formell, vollumfänglich, prozessorientiert, risikobasiert und integriert sein.

Quellen

[1] S.ABL.EU 2016 L 119/1.
[2] EU-Datenschutzgrundverordnung, https://www.bvdnet.de/eu-datenschutzrecht-startet-im-mai
[3] EU-US-Datenschutzschild, https://www.privacyshield.gov
[4] Bundesdatenschutzgesetzt (BDSG) Anlage (zu § 9 Satz 1)
[5] VdS-Richtlinien zur Umsetzung der DSGVO, VdS 10010:2017-12
[6] Datenschutz-Compliance nach der DS-GVO, Bundesanzeiger Verlag, ISBN 978-3-8462-0760-4
[7] DIN ISO/IEC 27002:2016:11 (D), Leitfaden für Informationssicherheits-Maßnahmen, 2016
[8] ISO/IEC 29151:2017-08 (E), Information technology - Security techniques - Code of practice for personally identifiable information protection, 2017
[9] BSI, Checklisten Handbuch IT-Grundschutz, 14. Aktualisierung, 2015
[10] Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Das Standard-Datenschutzmodell – Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele, v.1.0- Erprobungsfassung, 2016
[11] ISACA, Control Objectives for Information and Related Technology (COBIT5), 2012
[12] OECD, Guidelines for the Security of Information Systems and Networks, 2002