Geschrieben am 07.01.2020 von:
Verantwortliche unter der DS-GVO hadern noch immer mit der Implementierung angemessener Sicherheits- und Datenschutzmaßnahmen. Auf der Suche nach geeigneten Standards, an denen sich Unternehmen orientieren können, wird man aber sogar doppelt und dreifach fündig. Zwei dieser Standards sollen jetzt miteinander gekoppelt werden können: der BSI-Grundschutz und das Standard-Datenschutzmodell (SDM) in der Version 2.0 (verabschiedet auf der Novemberkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder).
Unternehmen können damit in Zukunft effektiver an den Aufbau von Datenschutz- und Informationssicherheitsmanagementsystemen herangehen.
Worum geht’s?
Der BSI-Grundschutz ermöglicht es, systematisch bei der Identifizierung erforderlicher Sicherheitsmaßnahmen vorzugehen und diese Maßnahmen dann – basierend auf den BSI-Sicherheitsstandards – auch umzusetzen. Zweck ist die Sicherstellung von Informationssicherheit. Die Maßstäbe, an denen sich der IT-Grundschutz orientiert, überschneiden sich teilweise mit den Schutzzielen, die beim Datenschutz zu beachten sind: unter anderem Vertraulichkeit, Verfügbarkeit und Integrität. An diesen Schutzzielen setzt auch die Koppelung der beiden Kompendien an.
Das SDM ist eine Methodik, mit der Verantwortliche bei der Auswahl, Bewertung und Überwachung geeigneter technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten unterstützt werden sollen, damit diese im Einklang mit den geltenden Schutzzielen der DS-GVO verarbeitet werden können.
Bei der Modernisierung der BSI-Grundschutzmethodik wurde das Verhältnis zwischen Datenschutz und Informationssicherheit neu definiert. In das BSI-Grundschutz-Kompendium wurde sozusagen eine Schnittstelle zum Datenschutz integriert (Baustein „CON.2“). CON.2.A1 des neuen BSI-Grundschutz-Kompendiums enthält jetzt die Anforderung, dass geprüft werden muss, ob das SDM angewendet wird. Wird das SDM nicht angewendet, muss dies näher dargelegt werden.
Spiegelbildlich wurde auch das „neue“ SDM teilweise an die Struktur und Methodik des BSI-Grundschutz-Kompendiums angepasst. In Teil E 1 des SDM wird klargestellt, dass die SDM-Methodik vergleichbare Modellierungsmechanismen verfolgt wie die Methodik des BSI-Grundschutzes. So kann es durch die Anwender einfacher umgesetzt werden. Bei der Umsetzung des BSI-Standards kann die Anwendung des SDM künftig in die Einhaltung des neuen BSI-Standards integriert werden.
Die Schnittstelle zwischen Datenschutz und Informationssicherheit…
… und Recht und Technik.
Unternehmen, die ihre IT-Strukturen modernisieren wollen, können sich durch die Koppelung des SDM mit dem BSI-Grundschutz in Zukunft für die Verbesserung der Informationssicherheit an den Vorgaben des BSI-Grundschutzes orientieren. Wenden sie bei der Erfüllung der Anforderung des CON.2 das SDM an, werden die Verbesserungen der Informationssicherheit und die Einhaltung der Schutzziele des Datenschutzes gleichzeitig mitverwirklicht.
Unternehmen können den Aufbau von Datenschutzmanagementsystemen und Informationssicherheitsmanagementsystemen (ISMS) so in Zukunft besser koordinieren und in ihre Prozesse integrieren. In Bezug auf Standardsetzung hat sich im Jahr 2019 daher einiges getan.
An der Schnittstelle zwischen Recht und Technik darf aber nicht vergessen werden, dass Informationssicherheit und Datenschutz zwei vollkommen verschiedene Schutzzwecke verfolgen. Das Datenschutzrecht bezweckt den Schutz der Personen, die hinter personenbezogenen Daten stehen. Datenschutz in Grundrechtsschutz. Informationssicherheit soll hingegen die informationsverarbeitenden und -lagernden Systeme und Institutionen vor Gefahren und Bedrohungen schützen.
Eine Sichtweise, die den Aufbau eines Datenschutzmanagementsystems ausschließlich als Zwischenschritt beim Aufbau eines ISMS betrachtet lässt unbeachtet, dass die Anforderungen des Datenschutzes sich nicht nur auf die IT-Systeme erstrecken, sondern für alle (z.B. analoge) Prozesse gelten, bei denen im Unternehmen personenbezogene Daten verarbeitet werden.
In jedem Fall müssen Unternehmen bei der Verbesserung von Informationssicherheit und dem Datenschutz aktiv werden und proaktiv denken. Lassen Sie sich beraten!