Es dürfte sich rumgesprochen haben: Personenbezogene Daten sind zu schützen. Das es dabei nur sekundär um die personenbezogenen Daten an sich geht, sondern primär die Person vor Schaden bewahrt werden soll, auf die sich diese Daten beziehen (der sog. “Betroffene”), wird den meisten Anwendern der DSGVO ebenfalls klar sein. Doch was will der Gesetzgeber hier eigentlich von den sog. “Verantwortlichen”, also all den Unternehmen, Vereinen, Bundes- und Landesbehörden sowie Kommunalverwaltungen? Werfen wir mal einen Blick auf Artikel 32 DSGVO.
So steht es in Artikel 32 DSGVO
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
Was will Artikel 32 DSGVO in der Praxis?
Dreh- und Angelpunkt sind die technischen und organisatorischen Maßnahmen, auch kurz TOM genannt. Mittels einer geeigneten Auswahl und Anwendung dieser Schutzmaßnahmen (quasi eine Art Werkzeugkasten) sollen personenbezogene Daten vor den alltäglichen Risiken bei deren Verarbeitung (also Erhebung, Speicherung, Nutzung, aber auch beabsichtigter Löschung und Vernichtung) geschützt werden. Dabei soll nicht alles an Schutzmaßnahmen ergriffen werden, was irgendwie geht, sondern der Gesetzgeber spricht von einer Angemessenheit. Die Schutzmaßnahmen müssen also zum Schutzwert der betroffenen personenbezogenen Daten passen. Dabei sollen dann auch Faktoren wie die Eintrittswahrscheinlichkeit und das zu erwartende Schadensausmaß für den Betroffenen — ganz wichtig: nicht für die eigene Organisation — berücksichtigt werden.
Interessanterweise erfindet “der Datenschutz” hier das Rad mal nicht neu. Wir finden Punkte wie
- Vertraulichkeit,
- Integrität und
- Verfügbarkeit,
- die Sicherstellung der Wiederherstellbarkeit von Daten z.B. im Rahmen von Business Continuity Management und Notfallmanagement, aber auch
- Revisionszyklen (PDCA) zur Überprüfung der Wirksamkeit vorhandener Schutzmaßnahmen sowie zur
- Identifikation von möglicherweise zusätzlichen oder anzupassenden Schutzmaßnahmen aufgrund neuer Risiken oder Veränderungen an bestehenden Risiken.
Und ganz egal, ob man das hören mag oder nicht: Am Ende beschreiben diese Punkte und Begrifflichkeiten ein klassisches Informationssicherheitsmanagementsystem, kurz ISMS. Wer sich mit dem Thema Informationssicherheit schon näher befasst hat, wird feststellen: Personenbezogene Daten sind eine Untermenge der schützenswerten Informationen einer Organisation. Na, schau mal einer an.
Schreibt Artikel 32 DSGVO nun ein ISMS vor?
Die Begriffe Informationssicherheit oder ISMS fallen zwar nicht wörtlich, aber gerade die in Artikel 32 Absatz 1 DSGVO genannten Punkte, beschreiben dem Sinn nach nichts anderes als ein Informationssicherheitskonzept bzw. ISMS. Das bedeutet nun nicht, dass man ein solches ISMS zur Einhaltung von Art. 32 DSGVO einführen muss, um rechtskonform unterwegs zu sein. Aber es wird halt mühselig. Gut, es gibt immer Menschen und Organisationen, die mögen es umständlich 🙂
Was liegt also näher, als sich diesen Anforderungen systematisch zu nähern, statt einfach wild ein paar möglicherweise geeignete Schutzmaßnahmen zusammenzuschustern? Und sobald man ein Informationssicherheitskonzept eingeführt hat, geht es ja nicht nur den personenbezogenen Daten gut. Auch alle anderen “Kronjuwelen” einer Organisation fühlen sich behütet und beschützt. Also gleich mehrere Fliegen mit einer Klappe erschlagen. Grüße vom tapferen Schneiderlein.
Dabei sollte man jedoch im Hinterkopf behalten, dass Informationssicherheit sich im Rahmen der sog. Risikoanalyse vorrangig mit den Auswirkungen auf die Organisation befasst. Die Fragestellung lautet zu Beginn: Was für Auswirkungen haben die Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit von schützenswerten Informationen (und damit sind personenbezogene Daten eingeschlosen) für meine Organisation im Hinblick auf
- mögliche Vertragsverletzungen und Rechtsverstöße,
- finanzielle Schäden wie Vertragsstrafen, Bußgelder oder auch Schadenersatz,
- negative Auswirkungen auf Reputation / Image,
- mögliche Beeinträchtigung der Aufgabenerfüllung,
- mögliche Beeinträchtigungen der informationellen Selbstbestimmung (Datenschutz) und
- bei einem Sidekick in Richtung Notfallmanagement auch Gefahr für Leib und Leben.
Die Risiken im Bereich Datenschutz werden zwar schon grob erfasst, aber im Hinblick auf die Auswirkungen für die Organisation. Der Trick besteht darin, mögliche Risiken für den Betroffenen wie Identitätsdiebstahl oder Verlust seiner Betroffenenrechte und noch weiterer Punkte zu inkludieren. Kein Hexenwerk. Und vor allem muss man das Rad nicht neu erfinden.
Welche Systematik für ein Informationssicherheitskonzept darf es denn sein?
Das Schöne ist, es gibt auf dem Markt seit Jahrzehnten bewährte und kontinuierlich weiterentwickelte Standards für Informationssicherheit. Und selbst wenn diese die Auswirkungen im Datenschutz für den Betroffenen nicht bereits inkludiert haben, sind diese in der Risikobetrachtung mit wenigen Handgriffen integriert und berücksichtigt. “That’s no rocket science!”
Sicher kennen viele Leser eine ISO 27001 als weltweite Norm für Informationssicherheit oder auch den IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (kurz BSI). Es hält sich das Gerücht hartnäckig, diese seien für kleine und kleinste Organisationen viel zu groß und aufwändig. Die Praxis zeigt, dem ist nicht so. Aber selbst, wenn man dieser Argumentation folgt, so gibt es Alternativen wie (Reihenfolge nicht wertend)
- ISIS12 / CISIS12 — ein Informationssicherheitskonzept in 12 Schritten
- SiKoSH — in 7 Schritten zu einem ISMS
- VDS 10000 — ehemals 3473, ursprünglich ein Fragebogen für Risiken im Bereich Cybersicherheit
- TISAX — im Kontext von Automobilzulieferern weit verbreitet oder
- das unter dem Titel “Arbeitshilfe” bekannte Konzept zu Einführung und Betrieb eines ISMS der Innovationsstiftung Bayrische Kommune.
Darüberhinaus gibt es auch noch weitere Systematiken und Vorgehensweisen, aber wir beschränken uns mal auf die oben genannten Vertreter. Unsere Empfehlung lautet stets: Nutzen Sie eine der vorhandenen Vorgehensweisen und erfinden Sie das Rad bitte nicht neu. Warum? Diese Vorgehensweisen / Vertreter für ein ISMS
- haben sich über lange Zeit in der Praxis bewährt,
- sind für jede Art von Organisation anwendbar, da — welch’ Überraschung — Informationssicherheit universell ist,
- decken allesamt stets die Mindestanforderungen an Informationssicherheit ab,
- sind skalierbar im Hinblick auf Organisationsgrößen aber auch auf das zu erreichende Sicherheitsniveau,
- sparen Ihnen Zeit und Nerven,
- helfen, gern gemachte Fehler bei Einführung und Betrieb eines ISMS von vornherein zu vermeiden (RTFM).
Die “Arbeitshilfe” — der ideale Einstieg in Artikel 32 DSGVO für kleine und große Einrichtungen
Wessen Organisation noch so gar keine Erfahrung hat mit dem Thema Informationssicherheit oder die ISO 27001 und dem IT-Grundschutz für zu wuchtig hält, steigt idealerweise über die “Arbeitshilfe” in das Thema ein. Damit können größere Organisationen erste Erfahrungen sammeln, bevor es danach mit “größeren” Standards ans Eingemachte geht. Und bei kleineren Einrichtungen kommt man bei konsequenter Anwendung des Standards “Arbeitshilfe” bereits zu einem funktionierenden ISMS mit dazugehörigen PDCA-Zyklus.
Dieser Standard wurde 2016 im Auftrag der Bayrischen Kommunalen Spitzenverbände von uns für die Innovationsstiftung Bayrische Kommune entwickelt. Mittlerweile ist Version 4.0 aktuell. Ein Update auf Version 5.0 wird voraussichtlich in 2023 erscheinen. Ist der Standard dann überhaupt für Unternehmen und Vereine geeignet, wenn er doch aus dem kommunalen Bereich stammt? Ja klar. Wie zuvor schon geschrieben, ist Informationssicherheit eine universelle Angelegenheit, die vom anzustrebenden Schutzwert für schützenswerte Informationen ausgeht. Dabei ist es unerheblich, ob eine Firma oder eine Verwaltung Informationssicherheit betreibt. Der einzige Knackpunkt bei Nutzung der Arbeitshilfe: Gelegentlich muss man Begrifflichkeiten wie Bürgermeister, Landrat oder Verwaltung gegen die Pendants aus der freien Wirtschaft tauschen. Aber das bekommen Sie hin 🙂
In 9 Kapiteln führt die “Arbeitshilfe” eine Organisation in die notwendigen Anforderungen für ein ISMS ein und legt die Grundlagen für den späteren Betrieb im Hinblick auf “ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.” Gleichzeitig unterstützt die Systematik bei der Entdeckung möglicher Schwachstellen und zeigt Lösungswege auf, diese zeitnah zu beseitigen.
Die Systematik, Anleitung und Dokumente zur Bearbeitung der “Arbeitshilfe” stehen kostenfrei zum Download zur Verfügung. Im ersten Durchlauf werden auch keine Investitionen in eine ISMS-Software notwendig. Im laufenden Betrieb empfiehlt sich diese dann später jedoch, um die Dokumentation und regelmäßige Nachprüfung, aber auch das Berichtswesen zu erleichtern. Bei Interesse an einer solchen Lösung sprechen Sie uns bitte an.
Kleines Schmankerl: Je nach Bundesland können Fördermittel aus diversen Töpfen zur Erhöhung der Informationssicherheit oder IT-Sicherheit oder Digitalisierung angezapft werden. Wenn Sie sich also zur Unterstützung und Begleitung der Einführung oder auch für Mitarbeiterschulungen externe Hilfe heranholen, können die Ausgaben hierfür gefördert werden.
Weitere Infos zur Arbeitshilfe finden Sie hier auf unserem Blog.
Wenn man ein solches ISMS dann auch noch mit einem funktionierenden Datenschutzmanagementsystem (DSMS) verknüpft, dann hat man einige Sorgen weniger bzw. sich unnötige Umstände und Mühen aufgrund unsystematischer Vorgehensweisen erfasst. Gleichzeitig hat man, den aktiven Betrieb beider Systeme vorausgesetzt, auch nicht bange zu sein, sollte die Landesdatenschutzbehörde mal klingeln. Und das ist viel wert. Das wissen zumindest die Organisationen, bei denen das schon der Fall war 😉
Hahn IT Services, Schwaig
No responses yet