DSGVO und IT-Sicherheits-Rahmenrichtlinie
DSGVO: Überarbeiten Sie Ihre IT-Sicherheitsziele
Mehrere Vorgaben der Datenschutz-Grundverordnung machen deutlich, wie wichtig die IT-Sicherheit für den Schutz personenbezogener Daten ist.
Daher ist es Aufgabe der Unternehmen, die DSGVO-Vorgaben, die die IT-Sicherheit direkt oder indirekt betreffen, in ihr IT-Sicherheitskonzept und ihre IT-Sicherheits-Rahmenrichtlinie aufzunehmen.
Das dient zum einem der Dokumentation. Zum anderen stellt es sicher, dass Nutzer und Administratoren die Vorgaben bei der technischen Umsetzung berücksichtigen.
Neben Artikel 32 (Sicherheit der Verarbeitung), Artikel 33 (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde) und Artikel 34 (Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person) sind etwa die sicherheitsrelevanten Grundsätze für die Verarbeitung personenbezogener Daten nach Artikel 5 DSGVO zu nennen, die im IT-Sicherheitskonzept verankert werden müssen.
Die IT-Sicherheit muss integraler Bestandteil der Organisation aufseiten der Leitung, der IT-Anwender und der IT-Administratoren sein. Gleiches gilt für den Datenschutz.
Ein dazu passendes Sicherheitskonzept sieht deshalb vor, Verantwortlichkeiten und Schutzziele in der IT-Sicherheitsordnung festzulegen sowie die Maßnahmen in der IT-Sicherheits-Rahmenrichtlinie zu konkretisieren.
Nur so lassen sich Verfügbarkeit, Integrität und Vertraulichkeit der Applikationen, Dienste und Daten sowie weitere sicherheitsrelevante Ziele der DSGVO wie die Belastbarkeit gewährleisten.
Prüfen Sie Ihr IT-Sicherheitskonzept
Das Sicherheitskonzept darf nicht dabei stehen bleiben, Zuständigkeiten, Rollen und Ziele festzulegen.
Die Verarbeitung personenbezogener Daten wirksam abzusichern, erfordert ein stufenweises Vorgehen:
- IT-Sicherheitsordnung erstellen und verabschieden als Organisations-Richtlinie, die sich auch auf die sicherheitsrelevanten Vorgaben der DSGVO bezieht
- IT-Sicherheits-Rahmenrichtlinie erstellen und in Kraft setzen auf Basis der Schutzziele, auch die der DSGVO mit IT-Sicherheitsbezug
- einzelne Sicherheits-Richtlinien erstellen und umsetzen unter Bezugnahme auf die Rahmen-Richtlinie
- einen IT-Sicherheitsprozess initiieren, der die Organisations-, Rahmen- und Einzel-Richtlinien laufend im Hinblick auf aktuelle Anforderungen und Bedrohungen sowie der Vorgaben der DSGVO und weiterer Datenschutzgesetze hin überprüft und dafür sorgt, dass die Richtlinien bei Bedarf überarbeitet werden.
Der Prozess ist nötig, weil die DSGVO selbst ein Verfahren fordert, das die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüft, bewertet und evaluiert. Nur so lässt sich die Sicherheit der Verarbeitung auf Dauer gewährleisten.
Wecken Sie Verständnis für die Notwendigkeit der Richtlinien
Der Aufwand, der damit verbunden ist, eine IT-Sicherheitsrahmenrichtlinie und Einzelrichtlinien zu erstellen und umzusetzen, kann dazu führen, dass Kritik laut wird.
Es finden sich jedoch zahlreiche Argumente dafür:
- Das Sicherheits- und Datenschutz-Bewusstsein bei den IT-Anwendern ist immer noch nicht ausgeprägt genug.
- Ohne definierte Zuständigkeiten und Rollen fühlt sich niemand wirklich verantwortlich.
- Ohne Richtlinien lassen sich IT-Verstöße und Datenschutz-Verletzungen schwieriger feststellen und verfolgen.
- Kommt neue Hard- und Software zum Einsatz, steigert das den Schulungsbedarf bei allen Beteiligten.
Eine IT-Sicherheits-Rahmenrichtlinie hilft dabei, ein Sicherheitsbewusstsein zu schaffen. Sie macht auf die Bedrohungslage aufmerksam und regelt die Erfassung der sicherheitskritischen Bereiche und Anwendungen.
Darüber hinaus sorgt sie für den notwendigen Überblick, ob für alle Teilbereiche Sicherheits-Richtlinien vorhanden sind.
Füllen Sie die Struktur der IT-Sicherheits-Rahmenrichtlinie
Damit die IT-Sicherheits-Rahmenrichtlinie diese Aufgaben erfüllen kann, muss sie bestimmte Bestandteile enthalten, unter anderem:
- aktuelle IT-Sicherheit und Anforderungen aus der DSGVO und weiterer Datenschutzvorgaben mit IT-Sicherheitsbezug
- Verantwortlichkeiten, Stellenwert und Ziele der IT-Sicherheit sowie der Datensicherheit nach DSGVO
- Bezug auf anzuwendende nationale und internationale Standards (wie BSI, ISO, ITSEC) sowie auf Compliance-Vorgaben wie der DSGVO
- Begriffsdefinitionen als gemeinsame Basis
- Erläuterung der vorhandenen IT-Sicherheitsmaßnahmen
- Hinweise zur Analyse der Risiken und des Schutzbedarfs, auch mit Bezug auf die DSGVO
- Darstellung des IT-Sicherheitsprozesses, der die Pflege und Kontrolle der Sicherheitsrichtlinien sicherstellt
Definieren Sie einzelne Schutzmaßnahmen
Je nach identifizierten Risiken und Schutzbedarf führt die IT-Sicherheits-Rahmenrichtlinie dann Maßnahmen aufseiten der IT-Anwender und IT-Administratoren auf, um die Schutzziele, die die Leitung vorgibt, auf einzelne Bereiche anzuwenden.
Für den Datenschutz und die Sicherheit der Verarbeitung gilt nach DSGVO hierbei, dass der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein Schutzniveau zu gewährleisten, das dem Risiko angemessen ist.
Dabei berücksichtigen sie jeweils den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeit und Schweren des Risikos für die Rechte und Freiheiten natürlicher Personen.
Um zu beurteilen, wann ein Schutzniveau angemessen ist, sind nach DSGVO die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind.
Das betrifft insbesondere die – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, den Verlust, die Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die der Verantwortliche übermittelt, speichert oder auf andere Weise verarbeitet.
Diese Vorgaben aus der DSGVO müssen in die Entwicklung der Richtlinien einfließen, um eine Umsetzung der Datensicherheit nach DSGVO sicherzustellen.
Was ist sonst noch wichtig?
Achten Sie bei den Richtlinien darauf, dass
- die Richtlinien durchführbar sind,
- sie klare, nicht zu komplexe Beschreibungen enthalten,
- die Richtlinien sich nicht gegenseitig widersprechen und
- ihre Einhaltung überprüft wird.
Machen Sie dabei deutlich, dass nicht zwingend alle Maßnahmen in jedem Fall zur Anwendung kommen. Vielmehr ist ein risikobasierter Ansatz richtig.
Ist es in Einzelfällen nötig, von den verbindlich vorgegebenen Schutzmaßnahmen abzuweichen, so geht das nicht, ohne dies genau zu begründen, zu dokumentieren und mit den für die IT-Sicherheit und für den Datenschutz Verantwortlichen abzustimmen.