ISMS: Das bringt ein Informations-Sicherheits-Management-System
Was ist ein ISMS?
Ein ISMS ist ein Management-System für Informationssicherheit. Es bildet ab,
- welche technischen und organisatorischen IT-Sicherheitsmaßnahmen notwendig sind,
- wie sie sich umsetzen lassen und
- wie Verantwortliche ihren Erfolg kontrollieren und überwachen.
Aus Sicht des Datenschutzes ist wichtig: Personenbezogene Daten haben darin keine Sonderstellung. Ein ISMS behandelt sie wie andere zu schützende Daten.
Wie stehen Datenschutz und Informationssicherheit zueinander?
Datenschutz und IT-Sicherheit gehören zusammen, so sagen Datenschützer. IT-Sicherheitsbeauftragte sehen das häufig genauso. Denn sie erachten den Datenschutz persönlich als wichtig.
Genau betrachtet käme die Informationssicherheit jedoch ohne den Datenschutz aus. Im Gegenteil: Manchmal erscheint der Datenschutz für die IT-Sicherheit sogar als hinderlich.
So ist es nicht verwunderlich, dass der Baustein „Datenschutz“ formal nicht zur IT-Grundschutz-Zertifizierung des Bundesamts für Sicherheit in der Informationstechnik (BSI) gehört.
Der BSI-Baustein „Datenschutz“ basiert auf dem Datenschutzrecht und ist nicht Teil der internationalen Norm ISO/IEC 27001 (Information Security Management). Er soll die Verbindung der Anforderungen des Standard-Datenschutzmodells zum IT-Grundschutz darstellen.
Der IT-Grundschutz, den das BSI entwickelt hat, versteht sich als Basis der Informationssicherheit. Er hilft, die erforderlichen IT-Sicherheitsmaßnahmen zu identifizieren und umzusetzen.
Daher ist das ISMS ein eigener Baustein im IT-Grundschutz-Kompendium des BSI.
ISMS setzt keinen Fokus auf personenbezogene Daten
Für Datenschutzbeauftragte jedoch ist es entscheidend, sich mit der Sicherheit der Verarbeitung personenbezogener Daten zu befassen. Das zeigt ganz deutlich die Datenschutz-Grundverordnung (Artikel 32 DSGVO).
Das Instrument ISMS hilft generell, zu schützende Daten abzusichern. Damit dient es zugleich der Sicherheit personenbezogener Daten.
Was bei ISMS zu beachten ist, beschreibt unter anderem der BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS).
ISMS ersetzt kein Datenschutz-Management-System!
Es wäre jedoch falsch, ein Datenschutz-Management-System als Sonderfall eines Informations-Sicherheits-Management-Systems (ISMS) zu sehen.
Selbst in Fragen der Sicherheit personenbezogener Daten und damit der Datensicherheit braucht ein ISMS Erweiterungen, um dem Datenschutz gerecht zu werden. Nicht nur in rechtlichen Fragen, auch in technischen.
Beispiel Verschlüsselung bei E-Mail
Ein Beispiel hierfür liefert die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Datenbei der Übermittlung per E-Mail“. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat sie am 13. März 2020 veröffentlicht.
Sie enthält die aus Datenschutzsicht notwendigen Schritte zur Prüfung, wie Verschlüsselung personenbezogene Daten in E-Mails schützen muss.
Dabei bezieht sie sich für die Transportverschlüsselung zwar auf eine Technische Richtlinie des BSI. Die Entscheidung, ob eine Transportverschlüsselung ausreicht oder eine Ende-zu-Ende-Verschlüsselung notwendig ist, hängt aber vom Risiko für die betroffenen Personen ab, deren Daten in falsche Hände geraten könnten.
Ein Datenschutz-Management-System (DSMS) setzt idealerweise auf ein ISMS auf. Es muss aber das ISMS entsprechend der datenschutzrechtlichen Vorgaben organisatorisch und technisch erweitern.
Helfen kann hierbei insbesondere das Standard-Datenschutzmodell (SDM, siehe oben).
