Information Security Management System
In Schutz investieren oder Bußgeld riskieren?
Die Frist ist fast abgelaufen und in wenigen Wochen erhält die EU-DSGVO volle Gültigkeit. Doch längst nicht alle Unternehmen werden die Anforderungen des neuen Rechtsrahmens fristgerecht umgesetzt haben. Ihnen drohen Bußgelder. Um diese zu verhindern, kommen sie nicht herum, Geld auszugeben.
Es war eine der größten Datenpannen im letzten Jahr und die gravierendste in der schwedischen Geschichte: Unter Missachtung von Sicherheitsvorschriften verlagerte die schwedische Transportbehörde Daten zum Teil unverschlüsselt in die Cloud zweier Dienstleister aus Tschechien und Serbien. Dabei handelte es sich um sehr sensible Informationen, unter anderem zu Führerscheindaten, Zeugenschutzprogrammen und Soldaten. Die Mitarbeiter der Cloud-Anbieter hatten zuvor keine Sicherheitsüberprüfung durchlaufen und dadurch unberechtigt vollen Zugriff auf die Daten. Eine unglaubliche Datenpanne, die ab Mai richtig teuer werden kann. Denn die EU-DSGVO sieht für solche Fälle empfindliche Strafen vor. Ihr Ziel: Ein einheitlich hohes Datenschutzniveau in den Mitgliedstaaten zu etablieren. Für Unternehmen, die sowohl eigene als auch Cloud-Services von externen Dienstleistern nutzen, gibt es mit der neuen Verordnung einiges zu beachten.
Daten und jeweilige Risiken erfassen
Unternehmen sind in der Pflicht, den Schutzbedarf, die Risiken und den aktuellen Sicherheitsstatus von personenbezogenen Daten kontinuierlich zu überprüfen. Die Datenschutzgrundverordnung bildet ein Spannungsfeld aus einer sogenannten Datenschutzfolgeabschätzung und der Abwägung von Risiken und Rechten einzelner Personen. Sobald Unternehmen personenbezogene Daten verarbeiten, sind sie für die erforderliche Datenschutzfolgeabschätzung verpflichtet, „eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen“ (Artikel 35, DSGVO) durchzuführen. Dabei ist es zunächst unerheblich, ob sie diese auf den eigenen Servern oder in der Cloud eines Drittanbieters verarbeiten und speichern. Diese Analyse sowie das Ergebnis sind dann in der Datenschutzfolgeabschätzung aufzuschlüsseln und zu erfassen. Es handelt sich dabei im Grunde um eine Vorabkontrolle, wie sie bereits seit Jahren für sensible Daten im Bundesdatenschutzgesetz vorgeschrieben ist. Mit der EU-DSGVO erhält sie allerdings eine höhere Verbindlichkeit sowie strengere Vorgaben. Unternehmen müssen dafür genau ermitteln, welche personenbezogenen Daten sie in welchem Umfang wo erheben und gespeichert haben. Ebenso erforderlich ist eine Analyse der damit einhergehenden Risiken und der zu treffenden Maßnahmen, um diese zu minimieren. Die Ergebnisse sind dann in der Datenschutzfolgeabschätzung darzustellen.
Datenschutzmanagement sorgt für Prozesstransparenz
Für den Cloud-Einsatz ist eine Klassifikation der Daten unumgänglich, um zu entscheiden, welche Daten sich etwa für die Public Cloud eignen. Um alle datenbezogenen Prozesse zu organisieren, zu kontrollieren und zu dokumentieren, ist es nötig, ein Datenschutzmanagement zu implementieren. Dafür empfiehlt sich konkret ein ISMS (Information Security Management System) als zentrale Steuerungsplattform. Es trägt wesentlich dazu bei, den Schutz der Daten und die Sicherheit ihrer Verarbeitung zu gewährleisten. Das ISMS leitet sich indirekt aus Artikel 32 der EU-Datenschutzgrundverordnung ab. Demnach sind Unternehmen verpflichtet, zum Schutz der personenbezogenen Daten organisatorische und technische Maßnahmen zu ergreifen, die dem Stand der Technik entsprechen. Ein ISMS zielt auf die ganzheitliche Informationssicherheit ab und schließt damit auch die personenbezogenen Daten ein. Darüber hinaus sind Unternehmen mit einem ISMS eher in der Lage, ihrer neuen Rechenschaftspflicht gemäß Artikel 5 der EU-DSGVO nachzukommen. Laut dieser ist jeder Datenverarbeitende in der Pflicht, die Einhaltung der Verordnung nachzuweisen. Ein ISMS trägt zudem insgesamt zu einer höheren Sicherheit der IT-Landschaft bei. Und diesen Vorteil sollten Unternehmen unbedingt für sich nutzen. Die Kosten zur Einführung eines ISMS hängen unter anderem von der Größe des Unternehmens ab, belaufen sich aber bei mittelständischen Unternehmen auf einen niedrigen fünfstelligen Betrag. Dabei sollte allerdings der Aufwand für die Vorbereitung und Prozessarbeit nicht unterschätzt werden.
Im Cloud-Kontext arbeiten viele Unternehmen verstärkt mit Cloud Providern zusammen, die im Umgang mit Sicherheit und Risikoszenarien meist routinierter sind. Dennoch bleibt das beauftragende Unternehmen weiterhin die verantwortliche Stelle. Dies wiederum stellt nicht automatisch einen Freibrief für IT-Dienstleister dar, ihre Hände im Fall einer Datenpanne in Unschuld zu waschen. Mit der EU-DSGVO kommt auf sie eine höhere Beratungs- und Informationspflicht zu – speziell in Hinblick auf den „Privacy-by-Design“-Ansatz, der auf eine grundlegende, ganzheitliche Sicherheit personenbezogener Daten abzielt.
- In Schutz investieren oder Bußgeld riskieren?
- Hohe Bußgelder sollen abschrecken
Lesen Sie mehr zum Thema
