Download Handout - PDF
Die Anforderungen an Datenschutz und Informationssicherheit nehmen stetig zu. Die Frage, in welchem Verhältnis Informationssicherheit und Datenschutz zueinanderstehen, gewinnt dabei immer mehr an Bedeutung. Der Vortrag zeigt ein einheitliches Vorgehen bei der Auswahl angemessener Maßnahmen für den Datenschutz und die Informationssicherheit auf.
Es gehört mit zu den wichtigen Aufgaben des Datenschutzes, durch die Auswahl geeigneter angemessener technisch und organisatorischer Maßnahmen das Verarbeitungsrisiko auf ein angemessenes Schutzniveau zu reduzieren. Die DS-GVO hat an unterschiedlichen Stellen die Anforderungen an die technischen und organisatorischen Maßnahmen formuliert. Stellvertretend werden die Art. 5, 24, 25 und 32 DS-GVO genannt.
Diese Anforderungen sind im Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS) berücksichtigt und er stellt eine praktische Handlungsanweisung für die Umsetzung des technisch-organisatorischen Datenschutzes dar. Er beschreibt in acht Prozessschritten eine ganzheitliche Methode, mit der die Anforderungen der DS-GVO zur Ermittlung der geeigneten technisch-organisatorischen Maßnahmen (TOM) ordnungsgemäß umgesetzt werden können. Der Autor hat bei der Landesbeauftragten für den Datenschutz Niedersachsen diesen Prozess entwickelt und zeigt mit ihm den verantwortlichen Stellen ein methodisches Vorgehen auf, mit dem diese die für die Verarbeitungstätigkeiten angemessenen Sicherungsmaßnahmen auswählen können. Das prozessbasierte methodische Vorgehen stellt sicher, dass die gefundenen Lösungen nachvollziehbar, belastbar und reproduzierbar sind sowie die Maßnahmen regelmäßig evaluiert werden. Der Verantwortliche kann diesen Prozess sowohl bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) als auch bei der Absicherung einer Verarbeitungstätigkeit nutzen, für die keine DSFA zu erstellen ist:
Im zweiten Teil des Vortrags werden die 8 einzelnen Schritte des dargestellten Prozesses ZAWAS als Vorgehensweise zur Auswahl angemessener Sicherungsmaßnahmen auf die Informationssicherheit übertragen.
Datenschutz hat den Schutz der Rechte und Freiheiten natürlicher Personen zum Ziel. Informationsmanagement schützt schwerpunktmäßig die Informationen eines Unternehmens, aber bezieht auch die Gewährleistung der informationellen Selbstbestimmung mit ein. Unterschiede ergeben sich für die zu betrachtenden Schutzziele bzw. Gewährleistungsziele, die beim Datenschutz zahlreicher sind. Die Anzahl der zu schützenden Ziele und deren Gegenstand hat keinen Einfluss auf die methodische Vorgehensweise zur Auswahl angemessener Sicherungsmaßnahmen. Der bestehende Prozess ZAWAS kann mit zwei Erweiterungen auf die Informationssicherheit übertragen werden:
• Eine Prüfung der rechtlichen Grundlagen ist beim Datenschutz obligatorisch. Aber auch für die Informationssicherheit gibt es rechtliche Vorschriften, die zu berücksichtigen sind. Darüber hinaus ist die Informationssicherheit durch regulatorische Anforderungen geprägt.
• Beim Datenschutz sind die Gewährleistungsziele und bei der Informationssicherheit die Schutzziele abzusichern. Beim IT-Grundschutz kann bei einem Geschäftsprozess mit normalem Schutzbedarf auf eine Risikoanalyse verzichtet werden, da diese bereits implizit in den jeweiligen Bausteinen vorliegt.
Der neu entstandene Prozess ZAWAS 4.0 ist die Antwort der Informationssicherheit und des Datenschutzes auf die Digitalisierung. Es lassen sich erhebliche Synergieeffekte heben, die einerseits zu einer ressourcenschonenderen Ermittlung der Maßnahmen führen und andererseits durch die Nutzung eines einheitlichen Verfahrens die Qualität der Ergebnisse steigert und somit zu einem verbesserten Niveau des Datenschutzes als auch der Informationssicherheit führen.
