BvD: Ver­pflich­tet uns die EU-Daten­schutz-Grund­ver­ord­nung (DS-GVO) zur Ein­füh­rung eines Infor­ma­ti­ons-Sicher­heits-Manage­ment-Systems (ISMS)?

Daten­schutz­be­auf­trag­te befin­den sich bereits in der hei­ßen Pha­se zur Umset­zung der gefor­der­ten Maß­nah­men aus der neu­en Euro­päi­schen Daten­schutz­ge­setz­ge­bung. Dabei stellt sich mit­un­ter die Fra­ge, wel­che Anfor­de­run­gen sich in Bezug auf die Infor­ma­ti­ons­si­cher­heit im Unter­neh­men ablei­ten las­sen. Ist die Ein­füh­rung eines ISMS ver­pflich­tend?

Defi­ni­ti­on eines ISMS nach ISO27001:

Teil des gesam­ten Manage­ment­sy­stems, der auf der Basis eines Geschäfts­ri­si­ko­an­sat­zes die Ent­wick­lung, Imple­men­tie­rung, Durch­füh­rung, Über­wa­chung, Über­prü­fung, Instand­hal­tung und Ver­bes­se­rung der Infor­ma­ti­ons­si­cher­heit abdeckt.

Gegen­über dem Bun­des­da­ten­schutz­ge­setz bekam die Infor­ma­ti­ons­si­cher­heit in der Daten­schutz-Grund­ver­ord­nung einen neu­en Stel­len­wert. Dies zeig­te sich mit­un­ter dar­an, dass die Pflicht zur Umset­zung geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men als Grund­satz in Art. 5 der Daten­schutz-Grund­ver­ord­nung auf­ge­nom­men wur­de.

Art.5 Abs. 1 lit.f DS-GVO:

Per­so­nen­be­zo­ge­ne Daten müs­sen in einer Wei­se ver­ar­bei­tet wer­den, die eine ange­mes­se­ne Sicher­heit der per­so­nen­be­zo­ge­nen Daten gewähr­lei­stet, ein­schließ­lich Schutz vor unbe­fug­ter oder unrecht­mä­ßi­ger Ver­ar­bei­tung und vor unbe­ab­sich­tig­tem Ver­lust, unbe­ab­sich­tig­ter Zer­stö­rung oder unbe­ab­sich­tig­ter Schä­di­gung durch geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men („Inte­gri­tät und Ver­trau­lich­keit“).

Ein zusätz­li­cher Hin­weis für eine „erwei­ter­te Infor­ma­ti­ons­si­cher­heit“ ergibt sich aus den Begriff­lich­kei­ten in Art.5 DS-GVO. „Inte­gri­tät und Ver­trau­lich­keit“ sind ele­men­ta­re Grund­sät­ze der IT-Sicher­heit. In bis­he­ri­gen Geset­zen zum Schutz per­so­nen­be­zo­ge­ner Daten waren die­se nicht vor­han­den.

Kri­te­ri­en der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men in Art.32 „Sicher­heit der Ver­ar­bei­tung“

Art.32 Abs.1

Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­ko­sten und der Art, des Umfangs, der Umstän­de und der Zwecke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­lei­sten.

Art.32 Abs.2

Bei der Beur­tei­lung des ange­mes­se­nen Schutz­ni­veaus sind ins­be­son­de­re die Risi­ken zu berück­sich­ti­gen, die mit der Ver­ar­bei­tung – ins­be­son­de­re durch Ver­nich­tung, Ver­lust oder Ver­än­de­rung, ob unbe­ab­sich­tigt oder unrecht­mä­ßig, oder unbe­fug­te Offen­le­gung von bezie­hungs­wei­se unbe­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten, die über­mit­telt, gespei­chert oder auf ande­re Wei­se ver­ar­bei­tet wur­den – ver­bun­den sind.

Gegen­über der Anla­ge zu §9 BDSG in der zumin­dest indi­rek­te Maß­nah­men auf­ge­führt wur­den, wirkt Art.32 noch abstrak­ter. Es las­sen sich aber Haupt­be­stand­tei­le eines ISMS zuord­nen.

Schritt 1 Fest­stel­len des Schutz­be­dar­fes Art.32 Abs.2

Das Schutz­ni­veau per­so­nen­be­zo­ge­ner Daten ori­en­tiert sich an der Schutz­be­dürf­tig­keit und dem sich erge­ben­den Scha­dens­po­ten­ti­al bei unbe­rech­tig­ter Kennt­nis­er­lan­gung. Dar­aus ergibt sich

eine not­wen­di­ge Schutz­be­darfs­ana­ly­se. In der Regel wer­den Daten ver­schie­de­nen Kate­go­ri­en des Schutz­be­darfs zuge­ord­net, bei­spiels­wei­se: nor­mal, hoch und sehr hoch.

Schritt 2 Bewer­ten von Risi­ken

Art.32 Abs.1 und Abs.2 beinhal­ten die Risi­ko­be­ur­tei­lung. Maß­nah­men die zum Schutz per­so­nen­be­zo­ge­ner Daten getrof­fen wer­den, müs­sen künf­tig unter Berück­sich­ti­gung des Risi­kos für die Per­sön­lich­keits- und Frei­heits­rech­te Betrof­fe­ner aus­ge­wählt wer­den. Die­ser Risi­ko­be­wer­tungs­an­satz bezieht sich jetzt nicht mehr nur auf klas­si­sche Unter­neh­mens­wer­te, son­dern schließt den Betrof­fe­nen und sei­ne per­so­nen­be­zo­ge­nen Daten mit ein.

Schritt 3 Maß­nah­men­aus­wahl und Risi­ko­be­hand­lung

In Art.32 Abs.2 lit. a-c wer­den Maß­nah­men zur Risi­ko­be­hand­lung auf­ge­führt.

a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;

b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Syste­me und Dien­ste im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicher­zu­stel­len;

c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wie­der­her­zu­stel­len;

Schritt 4 Audits, Manage­ment­be­wer­tung, Kor­rek­tur

Schließ­lich for­dert Art.32 Abs.1 Satz2 lit.d ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­lei­stung der Sicher­heit der Ver­ar­bei­tung.

Zwi­schen­fa­zit

Für mich ergibt sich somit der Auf­trag an der Ein­füh­rung eines ISMS zu arbei­ten. Ich selbst habe noch wenig Erfah­rung damit, bin aber über­zeugt, bereits wich­ti­ge Vor­ar­bei­ten lei­sten zu kön­nen.

Da Infor­ma­ti­ons­si­cher­heit für jede ver­ant­wort­li­che Stel­le indi­vi­du­ell ist, kann ich aus den Erfah­run­gen mei­nes Unter­neh­mens wich­ti­ge Erkennt­nis­se für Emp­feh­lun­gen mei­ner bestell­ten Unter­neh­men ablei­ten.

Doku­men­ta­ti­on

Wer schreibt der bleibt“

Sicher ken­nen auch Sie die­sen Satz. Er stellt in weni­gen Wor­ten den Grund­satz der Nach­weis­bar­keit dar. Es gilt: bereits Vor­über­le­gun­gen zum Auf­bau eines Manage­ment­sy­stems an zen­tra­ler Stel­le abzu­le­gen. Dabei ist es wich­tig, auch wei­te­re Mit­ar­bei­ter die zukünf­tig in das Pro­jekt ISMS ein­ge­bun­den wer­den, auf die­se Daten­ab­la­ge ein­zu­la­den.

Infor­ma­ti­on an die Unter­neh­mens­lei­tung

Infor­ma­ti­ons­si­cher­heit und somit auch Sicher­heit für per­so­nen­be­zo­ge­ne Daten ist Chef­sa­che. Ein essen­ti­el­ler Punkt die Unter­neh­mens­lei­tung zur Mit­ar­beit am gemein­sa­men Ziel zu moti­vie­ren. Auch die dra­stisch erhöh­ten Stra­fen in Art.83 DS-GVO sind ein wich­ti­ger Hin­weis für die Unter­neh­mens­lei­tung. Grund­sätz­lich soll­ten aber die posi­ti­ven Aus­wir­kun­gen eines ISMS im Vor­der­grund ste­hen:

  • Risi­ko­mi­ni­mie­rung
  • Unter­neh­mens­sta­bi­li­tät stei­gern
  • Erwar­tungs­hal­tung von Geschäfts­part­nern erfül­len
  • Posi­ti­ve Außen­wir­kung gegen­über Kun­den und Inter­es­sen­ten
  • Vor­ga­ben bei Aus­schrei­bun­gen von Ban­ken oder Ver­si­che­run­gen erfül­len

Im Gespräch mit der Geschäfts­lei­tung soll­ten Sie sich die Frei­ga­be zum Auf­bau eines „Pla­nungs­teams ISMS“ ein­ho­len. Unab­hän­gig davon ob künf­tig exter­ne Spe­zia­li­sten zur Unter­stüt­zung her­an­ge­zo­gen wer­den, gilt es, die wich­ti­gen näch­sten Schrit­te gemein­sam zu pla­nen.

Mög­li­ches Team

Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter (ISB)

Die Bestel­lung eines ISB ist in jeden Fall eine gute Ent­schei­dung. Damit bil­den Sie eine zen­tra­le Stel­le mit direk­tem Focus auf IT-Sicher­heit. Die not­wen­di­ge Fach­kun­de ist auf­zu­bau­en, bei­spiels­wei­se über die UDIS Aka­de­mie Ulm.

Ver­tre­ter der IT-Abtei­lung

Spä­ter kann ein zusätz­li­cher IT-Mit­ar­bei­ter not­wen­dig sein, der die erkann­ten Anfor­de­run­gen tech­nisch umsetzt.

Vor­han­de­ne Manage­ment­be­auf­trag­te

Exi­stiert in Ihrem Unter­neh­men bereits ein Manage­ment­be­auf­trag­ter, bei­spiels­wei­se für Qua­li­tät oder Umwelt­schutz, soll­ten Sie die­se Stel­le mit in das ISMS-Team auf­neh­men. Das Team pro­fi­tiert von vor­han­de­nen Manage­ment-Erfah­run­gen.

Daten­schutz­be­auf­trag­ter

Durch den erkann­ten Auf­trag aus der DS-GVO ein Manage­ment-System zu eta­blie­ren, soll­ten wir im eige­nen Inter­es­se das The­ma ISMS vor­an­trei­ben.

Vor­be­rei­ten­de Auf­ga­ben

Um eine kom­men­de Schutz­be­darfs­ana­ly­se und Risi­ko­ein­schät­zung erst mög­lich zu machen, müs­sen die vor­han­de­nen Daten­ver­ar­bei­tungs­pro­zes­se im Unter­neh­men bekannt sein. Soll­te eine vor­han­de­ne Ver­fah­rens­über­sicht ver­al­tet sein oder Lücken auf­wei­sen, müs­sen die­se geschlos­sen wer­den.

Mein Tipp:

Die DS-GVO bie­tet die Chan­ce eines Neu­an­fangs. Über einen ein­fa­chen Fra­gen­ka­ta­log an die Abtei­lun­gen, kön­nen nicht gemel­de­te Daten­ver­ar­bei­tungs­vor­gän­ge erkannt und erfasst wer­den.

Für den pas­sen­den Weg ent­schei­den

Zusam­men mit dem Team gilt es mög­li­che Stan­dards zu bewer­ten. Abhän­gig von der Grö­ße und Aus­rich­tung Ihres Unter­neh­mens kom­men ver­schie­de­ne Mög­lich­kei­ten in Fra­ge. Die bekann­te­sten sind ISO27001 und IT-Grund­schutz. Für klei­ne und mit­tel­stän­di­sche Unter­neh­men kom­men auch ISIS12 und VdS3473 in Fra­ge. Ein wei­te­rer Weg führt über die in Art.40, 41 DS-GVO beschrie­be­nen „geneh­mig­ten Ver­hal­tens­re­geln“. Die­se adres­sie­ren Kleinst­un­ter­neh­men, wer­den von Ver­bän­den und ande­ren Ver­ei­ni­gun­gen aus­ge­ar­bei­tet und über ein fest­ge­leg­tes Ver­fah­ren von der Daten­schutz­auf­sichts­be­hör­de geneh­migt.

Fazit

Für unser Unter­neh­men wer­de ich ein ISMS auf Basis der Cyber-Richt­li­nie VdS3473 emp­feh­len. Aus mei­ner Sicht bie­tet die­se Richt­li­nie einen idea­len Mit­tel­weg aus umzu­set­zen­den Maß­nah­men und not­wen­di­gen per­so­nel­len sowie finan­zi­el­len Res­sour­cen. Zusätz­lich stellt sie eine fun­dier­te Grund­la­ge für eine mög­li­che, spä­te­re Zer­ti­fi­zie­rung nach ISO27001 dar.

Einen kosten­lo­sen Quick-Check zur Fest­stel­lung des Sta­tus der Infor­ma­ti­ons­si­cher­heit in Ihrem Unter­neh­men kön­nen Sie über die Web­sei­te  http://​www​.vds​-quick​-check​.de durch­füh­ren.

Ste­fan Bach­mann