BfDI legt Berichte vor

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden. 

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen – jeweils sehr wichtigen – Themen durch Erwähnungen gerecht zu werden. 

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind  

  • Alltagserleichterung und Praxistauglichkeit, 
  • Datenpannenmeldungen,
  • Zweckbindung, 
  • Data Protection by Design, 
  • Befugnisse der Aufsichtsbehörden und Sanktionspraxis, 
  • Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz, 
  • Direktwerbung,
  • Profiling und 
  • Akkreditierung. 

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage  und Stellungnahmen der Datenethikkommission. 

Einige Zahlen zur Tätigkeit des BfDI 

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen. 

Empfehlungen des BfDI für Einrichtungen und Bürger 

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert. 

Gremienarbeit und Gesetzgebung 

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein. 

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung – wie etwa StPOZollfahndungsdienst und der geplanten Darknet Gesetzgebung – gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits-­ und Sozialwesen eingegangen. 

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich 

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e-Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert. 

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern. 

Zusammenfassung 

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise. 

Um Ihnen Informationen und Inhalte zu ISIS12 als Managementsystem für Informationssicherheit (ISMS) und die Einsatzmöglichkeiten im kommunalen Verwaltungsbereich besser präsentieren zu können, haben wir einen neuen Webauftritt ins Netz gestellt.

Sie finden diesen unter der URL https://www.informationssicherheit-kommunalverwaltung.de. Dort stellen wir Ihnen das ISMS ISIS12 näher vor und beschreiben Ihnen den Weg zu möglichen Fördermitteln (aktuelles Förderprogramm in Bayern für kommunale Verwaltungen und in Sachsen für kleine und mittlere Unternehmen).

a.s.k. Datenschutz Sascha Kuhrau ist seit Anfang August 2015 zertifizierter ISIS12 Berater. Wir unterstützen Sie bei der Einführung und Umsetzung von ISIS12 in Ihrer Organisation.

Seit dem 06. August 2015 ist es offiziell – a.s.k. Datenschutz Sascha Kuhrau ist geprüfter und zertifizierter ISIS12-Berater.

Mit ISIS12 steht eine Systematik zur Einführung eines ISMS (Informationssicherheitsmanagementsystem) zur Verfügung, die in der Komplexität drastisch gegenüber dem BSI IT Grunschutzkatalog reduziert ist, ohne dabei in die Abstraktheit der ISO270001 Zertifizierung abzudriften.

Als ISIS12-Berater unterstütze ich Sie bei der Einführung und auf Wunsch Zertifizierung eines Informationssicherheitsmanagementsystems nach dem ISIS12 Standard.

Bayerische Kommunen können die Einführung mit bis zu 15.000 Euro fördern lassen. Voraussetzung ist die Unterstützung durch einen zertifizierten ISIS12-Berater wie a.s.k. Datenschutz Sascha Kuhrau. In Sachsen gibt es ein ISIS12 Förderprogramm für kleine und mittlere Unternehmen (KMU).

Sprechen Sie mich an, gerne stelle ich Ihnen ISIS12 persönlich vor.

 

Informationssicherheit wird immer wichtiger. Diese kann heute eigentlich nur noch durch etablierte, funktionierende Informationssicherheitsmanagementsysteme (kurz ISMS) und IT-Servicemanagementprozesse gewährleistet werden. Wünscht man sich dabei noch ein Zertifikat am Ende des Weges, wird schnell der Ruf nach BSI IT Grundschutz oder der ISO 27001 laut. Doch sind diese für KMU oder auch Kommunalverwaltungen wirklich leistbar und geeignet? Gerade bei kleineren Mitarbeiterzahlen?

Seien wir ehrlich! Der BSI IT Grundschutz ist ein toller Werkzeugkasten, aber für eine Zertifzierung mit 4.800 Seiten Material in 5 dicken Ordnern kaum zu bewältigen. Greift man daher zur international bekannteren ISO 27001 reibt man sich ob des hohen Abstraktionslevels irritiert die Augen. Alternativen? Aber sicher.

Der IT-Planungsrat hat in einem Beschluss vom 18. März 2015 ISIS12 als ein praxistaugliches Vorgehen zur Einführung eines ISMS empfohlen. Dieses entspräche den Leitlinien für Informationssicherheit des Planungsrats. Vorausgegangen war ein entsprechendes Gutachten von Fraunhofer AISEC zu ISIS12 zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung. In diesem wurde die Tauglichkeit für Verwaltungen mit bis zu 500 Mitarbeitern bestätigt.

a.s.k. Datenschutz, Sascha Kuhrau ist vom Bayerischen IT-Sicherheitscluster e.V. (dem Anbieter von ISIS12) für die Durchführung von Beratungsleistungen zur Einführung von ISIS12 in KMU und öffentlichen Verwaltungen zertifiziert.

ISIS12?

  • ISIS12 ist ein Verfahren, das die Einführung eines ISMS mit vergleichsweise geringerem Aufwand ermöglicht..
  • ISIS12 kann als Vorstufe zur Zertifizierung nach BSI IT-Grundschutz bzw. ISO/IEC 27001 dienen.
  • ISIS12 ist ein Informationssicherheitsmanagementsystem (ISMS), das über die Dauer eines Zyklus in 12 Verfahrensschritten eingeführt wird.
  • ISIS12 wurde speziell für kleinere Organisationen entwickelt.
  • Während des gesamten Prozesses stehen die speziell geschulten und zertifzierten ISIS12-Dienstleister beratend zur Seite.
  • Das leicht anwendbare und automatisierte ISIS12-Softwaretool unterstützt bei der Implementierung.
  • Ein spezielles ISIS12-Handbuch beschreibt alle Schritte explizit und klar verständlich.
  • Der ISIS12-Katalog wurde durch die radikale Reduzierung des BSI IT-Grundschutzkataloges der Zielgruppe – kleine und mittelständische Unternehmen und nun auch kommunale Verwaltungen – angepasst.

ISIS12 ist ein ISMS, speziell für kleinere Organisationen entwickelt, für die die Einführung der verbreiteten ISMS zu aufwändig wäre.

Quelle: https://www.bsp-security.de/isis12/isis12

Und was ist mit Zertifizierung?

Wer den Weg zur Einführung eines ISMS beschritten und erfolgreich absolviert hat, kann sich am Ende mit einer Zertifizierung belohnen. Diese wird von der DQS GmbH ISIS12 Deutsche Gesellschaft zur Zertifizierung von Managementsystemen durchgeführt. Die Mühe soll sich ja gelohnt haben für alle Beteiligten.

Fördermittel für bayerische Kommunen

Bayerische Kommunen können für die Einführung eines ISMS nach ISIS12 Fördermittel erhalten. In einem ersten Programm werden folgende Leistungen gefördert:

  • Beratungsdienstleistungen bei der Implementierung von ISIS12
  • Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter
  • Erstzertifizierung des Managementsystems zur Informationssicherheit

Förderfähig sind nur solche Leistungen, die von fachkundigen, lizensierten IT-Dienstleistern wie a.s.k. Datenschutz erfolgen. Von der Förderung ausgeschlossen sind Ausgaben für den Erwerb von Hard- und Software, Betriebskosten sowie technische und bauliche Schutzmaßnahmen.

Gefördert werden bis zu 50% der förderfähigen Ausgaben, bis zu einer Summe von maximal 15.000 Euro (brutto inkl. MwSt.).

Alle weiteren Informationen zur Förderung von ISIS12 für bayerische Kommunen können Sie auf den ISIS12-Seiten des Bayerischen IT-Sicherheitsclusters e.V. abrufen.

Wenn Sie sich zur Umsetzung entschieden haben, unterstützen wir Sie gerne bei der Antragstellung (diese muss vor der Auftragsvergabe erfolgen!) und selbstverständlich bei der erfolgreichen Einführung von ISIS12 in Ihrer Organisation.