16. Dezember 2016 - ISMS und Datenschutz

Was bringt ein Informations-Sicherheits-Management-System für den Datenschutz?

Informationssicherheit und Datenschutz sind nicht deckungsgleich. Folgerichtig ist der Datenschutz-Baustein kein Bestandteil einer formalen IT-Grundschutz-Zertifizierung. Lesen Sie, warum das Thema „ISMS“ dennoch für Datenschutzbeauftragte wichtig ist.

Ein ISMS kann nur die Basis sein, die um den Datenschutz erweitert werden muss Ein ISMS ist nicht speziell auf personenbezogene Daten zugeschnitten. Es braucht daher Erweiterungen (Bild: Nongkran_ch / iStock / Thinkstock)

Informationssicherheit und Datenschutz

Datenschutz und IT-Sicherheit gehören zusammen, so sagen Datenschützer. IT-Sicherheitsbeauftragte sehen das häufig genauso. Denn sie erachten den Datenschutz persönlich als wichtig.

Genau betrachtet käme die Informationssicherheit ohne den Datenschutz aus. Im Gegenteil: Manchmal erscheint der Datenschutz für die IT-Sicherheit sogar als hinderlich.

So ist es nicht verwunderlich, dass der Baustein „Datenschutz“ formal nicht zur IT-Grundschutz-Zertifizierung des Bundesamts für Sicherheit in der Informationstechnik (BSI) gehört. Er basiert auf deutschem Datenschutzrecht und ist nicht Teil der internationalen Norm ISO/IEC 27001 (Information Security Management).

Der IT-Grundschutz, den das BSI entwickelt hat, versteht sich als Basis der Informationssicherheit. Er hilft, die erforderlichen IT-Sicherheitsmaßnahmen zu identifizieren und umzusetzen.

ISMS behandelt alle zu schützenden Daten gleich

Welche technischen und organisatorischen IT-Sicherheitsmaßnahmen notwendig sind, wie sie sich umsetzen lassen und wie Verantwortliche ihren Erfolg kontrollieren und überwachen, lässt sich im Rahmen eines ISMS, eines Management-Systems für Informationssicherheit, abbilden.

Personenbezogene Daten haben darin keine Sonderstellung. Ein ISMS behandelt sie wie andere zu schützende Daten.

Kein Fokus auf personenbezogene Daten

Für Datenschutzbeauftragte jedoch ist es entscheidend, sich mit der Sicherheit der Verarbeitung personenbezogener Daten zu befassen. Das zeigen sowohl das Bundesdatenschutzgesetz (§ 9 BDSG und Anlage) als auch die Datenschutz-Grundverordnung (Artikel 32 DSGVO).

Das Instrument ISMS hilft generell, zu schützende Daten abzusichern. Damit dient es zugleich der Sicherheit personenbezogener Daten.

Was bei ISMS zu beachten ist, beschreibt unter anderem der BSI-Standard 100-1 – Managementsysteme für Informationssicherheit (ISMS).

ISMS ersetzt kein Datenschutz-Managementsystem

Es wäre jedoch falsch, ein Datenschutz-Management-System als Sonderfall eines Informations-Sicherheits-Management-Systems (ISMS) zu sehen. Selbst in Fragen der Sicherheit personenbezogener Daten und damit der Datensicherheit braucht ein ISMS Erweiterungen, um dem Datenschutz gerecht zu werden. Nicht nur in rechtlichen Fragen, auch in technischen.

Beispiel Orientierungshilfe „Mandantenfähigkeit“

Ein Beispiel hierfür liefert die Orientierungshilfe „Mandantenfähigkeit“ des Arbeitskreises Technik der Konferenz der Datenschutzbeauftragten des Bundes und der Länder.

Sie enthält die aus Datenschutzsicht notwendigen Schritte zur Prüfung, ob automatisierte Verfahren ausreichend getrennt sind, wenn Unternehmen eine gemeinsame IT-Infrastruktur nutzen (Mandantenfähigkeit). Außerdem stellt sie die notwendigen Ergänzungen bestehender Datenschutz- und Informationssicherheits-Management-Systeme vor, um dem Datenschutz bei einer Mandantentrennung gerecht zu werden.

Ein Datenschutz-Management-System (DSMS) setzt idealerweise auf ein ISMS auf. Es muss aber das ISMS entsprechend der datenschutzrechtlichen Vorgaben organisatorisch und technisch erweitern.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln