Datenschutz und Cyber-Security: Es wird nicht ohne ein ISMS gehen

Datenschutz und Cyber-Security: Es wird nicht ohne ein ISMS gehen

100 Tage DSGVO: Was hat sich in der Datenschutzpraxis wirklich schon verändert? Wie würde mein persönliches Fazit lauten, wenn ich heute eine Zwischenbilanz ziehe?

Offensichtlich sind die positiven Effekte der DSGVO noch begrenzt, rechtliche Detailfragen bleiben selbst unter Experten umstritten und die zentralen Dokumentationen wie das Datenschutzhandbuch und das Verzeichnis der Verarbeitungstätigkeiten sind allenfalls gedanklich vorbereitet.

Doch woran liegt das?

Klar, gerade im Mittelstand jenseits der Digitalunternehmen wurde der 24-monatige Vorbereitungs- und Umsetzungszeitraum gekonnt ignoriert. Und in den letzten Wochen vor dem 25. Mai 2018 wurden per Kraftakt Datenschutzerklärungen für Webseiten erstellt, um Abmahnrisiken zu reduzieren.

Helfen diese Maßnahmen, den Datenschutz für Bewerber, Beschäftigte, Kunden und Lieferanten zu verbessern? Sicher nicht! Denn aus der Perspektive der Datenschützer handelt es sich bei den ad hoc-Maßnahmen eher um Kleinigkeiten.

Was wirklich gefordert ist verdeutlichte jüngst die Fragebogenaktion der Landesbeauftragten für den Datenschutz in Niedersachsen: 50 Unternehmen unterschiedlicher Größe wurden anlasslos angeschrieben, um den Umsetzungsstand zur DSGVO zu evaluieren. Dort im Mittelpunkt: Die Datenschutz-Organisation nebst der dazugehörigen Dokumentationen. Und damit ist nicht zuletzt der Nachweis der technischen und organisatorischen Maßnahmen gemeint. Diese sogenannten TOM`s haben es durchaus in sich und liegen keinesfalls in der alleinigen Verantwortung der Datenschutzbeauftragten.

Das Schlüsselwort bei den TOM`s heißt dann auch Informationssicherheit oder Informationssicherheitsmanagementsystem (ISMS)! Dabei geht es nicht nur um die IT-Security an sich, sondern immer auch um die Organisation und den akzeptierten Nachweis der Informationssicherheit. Genauer: Informationssicherheit beschreibt den Management-Prozess, der bei der Definition des erforderlichen IT-Sicherheitsniveau startet, Richtlinien und Verfahren festlegt und insbesondere auch die kontinuierliche Verbesserung der operativen Prozesse sicherstellt.

Einmal etabliert ist ein ISMS auch darauf ausgelegt mit den sich schnell ändernden Bedrohungslagen Schritt zu halten und dabei nicht nur auf technische Lösungen zu setzen, sondern den optimalen Mix aus Technik, Prozess und Anwender-Sensibilisierung zu finden.

Wichtig für den Mittelstand: ISMS ist nicht immer gleichbedeutend mit einer ISO 27001-Zertifizierung. Abhängig vom Schutzbedarf und der Motivation für nachweisbare Informationssicherheit reicht es außerhalb des Anwendungsbereiches des IT-Sicherheitsgesetzes oft auch aus, sich an ein übliches ISMS nur anzulehnen. Zum Beispiel an die VDS 3473, die einen guten und wirtschaftlich darstellbaren Basisschutz liefert und bei Bedarf trotzdem zertifizierbar ist.

Aus Sicht des Datenschutzes bleibt hier zunächst festzuhalten: Nur wenigen und oft sehr kleinen Unternehmen wird es gelingen, den Nachweis ausreichender Informationssicherheit ohne ein etabliertes ISMS zu führen. Alle anderen werden ohne ISMS schon bei der Formulierung der Leitlinie zur Informationssicherheit an Grenzen stoßen.

 

Autor: Björn Jansen, IT-Architekt 


Sind Sie unsicher, ob Ihr Unternehmen DSGVO-konform arbeitet?

Zum DSGVO-Check

Erhalten Sie effektive Maßnahmen, um Ihre Cyber Security zu erhöhen.

Zum Cyber Security Check

 

Das könnte Sie auch interessieren