Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
30. September 2023

Das bringt ein ISMS für den Datenschutz

Ein ISMS ist auch für Datenschutzbeauftragte wichtig
Bild: iStock.com / greenbutterfly
4,60 (5)
drucken
Inhalte in diesem Beitrag
Informationssicherheits-Management-Systeme
Informationssicherheit und Datenschutz sind nicht deckungsgleich. Folgerichtig ist der Datenschutz-Baustein kein Bestandteil einer formalen IT-Grundschutz-Zertifizierung. Lesen Sie, warum das Thema „ISMS“ für Datenschutzbeauftragte dennoch wichtig ist.

➧ Was ist ein ISMS?

Ein ISMS ist ein Management-System für Informationssicherheit. ISMS steht für „Information Security Management System“. Es bildet ab,

  • welche technischen und organisatorischen IT-Sicherheitsmaßnahmen notwendig sind,
  • wie sie sich umsetzen lassen und
  • wie Verantwortliche den Erfolg der Sicherheitsmaßnahmen kontrollieren und überwachen.

Aus Sicht des Datenschutzes ist wichtig: Personenbezogene Daten haben darin keine Sonderstellung. Ein ISMS behandelt sie wie andere zu schützende Daten.

➧ Wie stehen Datenschutz und Informationssicherheit zueinander?

Datenschutz und IT-Sicherheit gehören zusammen, so sagen Datenschützer. IT-Sicherheitsbeauftragte sehen das häufig genauso. Denn sie erachten den Datenschutz persönlich als wichtig.

Genau betrachtet käme die Informationssicherheit jedoch ohne den Datenschutz aus. Im Gegenteil: Manchmal erscheint der Datenschutz für die IT-Sicherheit sogar als hinderlich, etwa wenn die IT versucht, mit Monitoring (Überwachung des Datenverkehrs)  mögliche Angriffe zu erkennen.

➧ Wie hängen ISMS, Datenschutz und IT-Grundschutz des BSI zusammen?

Der IT-Grundschutz, den das Bundesamt für Informationstechnik (BSI) entwickelt hat, versteht sich als Basis der Informationssicherheit. Er hilft, die erforderlichen IT-Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Daher ist das ISMS ein eigener Baustein im IT-Grundschutz-Kompendium des BSI.

Was bei ISMS zu beachten ist, beschreibt unter anderem der BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS).

Ebenfalls ein Baustein im IT-Grundschutz ist der BSI-Baustein „Datenschutz“. Er basiert auf dem Datenschutzrecht und ist nicht Teil der internationalen Norm ISO/IEC 27001 (Information Security Management). Er stellt die Verbindung her zwischen den Anforderungen des Standard-Datenschutzmodells und dem IT-Grundschutz.

➧ Welche Rolle spielen personenbezogene Daten in einem ISMS?

Für Datenschutzbeauftragte (DSB) jedoch ist es entscheidend, sich mit der Sicherheit der Verarbeitung personenbezogener Daten zu befassen. Das zeigt ganz deutlich die Datenschutz-Grundverordnung (Artikel 32 DSGVO).

Das Instrument ISMS hilft generell, zu schützende Daten – gleich ob personenbezogen oder nicht – abzusichern. Damit dient es jedoch zugleich der Sicherheit personenbezogener Daten, sie hat aber keine Sonderstellung im ISMS..

➧ Wie unterscheiden sich die Aufgaben von DSB und ISB?

Die Aufgabenteilung zwischen den Datenschutzbeauftragten (DSB) und den Informationssicherheitsbeauftragten (ISB) sieht der IT-Grundschutz so:

  • Grundsätzlich sind die DSB zuständig dafür, die Einhaltung der Anforderungen der DSGVO zu überwachen.
  • Die ISB sind aber bei strategischen Entscheidungen stets einzubeziehen. Außerdem sind die ISB dafür zuständig, dass alle Sicherheitsanforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden.
Cybersicherheit für Datenschutzbeauftragte

Cybersicherheit für Datenschutzbeauftragte

So beraten Sie datenschutzkonform bei der Vorbeugung, der Abwehr und bei der Erholung von Cyberangriffen:

  • Cyberbedrohungen für den Datenschutz systematisch ermitteln
  • Angriffe erkennen und Meldepflichten erfüllen – mit zahlreichen Checklisten und Muster-Texten
  • Datenschutz und Cyberschutz wiederherstellen und verbessern
➜ Jetzt Datenschutzverletzungen wirksam vorbeugen

➧ Ersetzt ein ISMS ein Datenschutz-Management-System?

Es wäre jedoch falsch, ein Datenschutz-Management-System (DSMS) als Sonderfall eines Informations-Sicherheits-Management-Systems zu sehen.

Selbst in Fragen der Sicherheit personenbezogener Daten und damit der Datensicherheit braucht ein ISMS Erweiterungen, um dem Datenschutz gerecht zu werden. Nicht nur in rechtlichen Fragen, auch in technischen.

Beispiel Verschlüsselung bei E-Mail

Ein Beispiel hierfür liefert die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat sie im Mai 2021 veröffentlicht.

Sie enthält die aus Datenschutzsicht notwendigen Schritte zur Prüfung, wie Verschlüsselung personenbezogene Daten in E-Mails schützen muss.

Dabei bezieht sie sich für die Transportverschlüsselung zwar auf eine Technische Richtlinie des BSI. Die Entscheidung, ob eine Transportverschlüsselung ausreicht oder eine Ende-zu-Ende-Verschlüsselung notwendig ist, hängt aber vom Risiko für die betroffenen Personen ab, deren Daten in falsche Hände geraten könnten.

Praxis-Tipp
Ein Datenschutz-Management-System setzt also insgesamt idealerweise auf ein ISMS auf. Es muss aber das ISMS entsprechend der datenschutzrechtlichen Vorgaben organisatorisch und technisch erweitern.

Helfen kann hierbei insbesondere das Standard-Datenschutzmodell (SDM). Das Standard-Datenschutzmodell orientiert sich methodisch am IT-Grundschutz des BSI. Es übersetzt datenschutzrechtliche Anforderungen in einen Katalog von Gewährleistungszielen.

Oliver Schonschek

Oliver Schonschek
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
IT-Sicherheit
drucken
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
Verwandte Beiträge
25. Oktober 2024
DP+
Die neue EU-Verordnung DORA bringt zahlreiche neue Sicherheits- und Berichtspflichten für Finanzunternehmen. Dabei gibt es viele Schnittstellen zum Datenschutz.
Bild: iStock.com/dem10

Achtung, DSB: DORA für Finanzunternehmen kommt!

Ratgeber
Cybersicherheit IT-Sicherheit
24. Oktober 2024
DP+
Die IT-Sicherheitslage erfordert es heute, Netzwerkaktivitäten umfassend zu überwachen (XDR). Dies birgt Risiken für den Datenschutz der Belegschaft.
Bild: iStock.com/gorodenkoff

Umfassende IT-Sicht versus gläserner User

Ratgeber
Cybersicherheit IT-Sicherheit KI
23. Oktober 2024
DP+
NIS
Bild: iStock.com/posteriori

NIS 2: Was gilt wann?

Ratgeber
Cybersicherheit IT-Sicherheit
26. September 2024
DP+
Phishing-Tests sind ein wichtiges Hilfsmittel, um Unternehmen resilienter gegen Cyberbedrohungen zu machen. Doch sie bergen Tücken im Hinblick auf den Datenschutz.
Bild: iStock.com/Baris-Ozer

Phishing-Tests: Richtig gemacht, Daten geschützt

Ratgeber
Betriebsrat Checklisten IT-Sicherheit
20. August 2024

Download Checkliste: Sicherheit von USB-Sticks testen

Downloads
IT-Sicherheit
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.