Die DSGVO koppelt Informationssicherheit und Datenschutz
Von Eduard Heilmayr, Delphin Consult
Sandra Wiesbeck ist Vorstandsvorsitzende des Bayerischen IT-Sicherheitsclusters e.V. in Regensburg. Der Zusammenschluss von IT-Anwenderunternehmen, Universitäten und Instituten erarbeitet in Netzwerken und Projektgruppen konkrete Security- und Safety-Lösungen für öffentliche Verwaltungen und mittelständische Unternehmen. Bekannt ist der Bayerische IT-Sicherheitscluster vor allem für ISIS12, ein von einem Netzwerk innerhalb des Clusters entwickeltes ISMS (Information Security Management System), das speziell auf die Bedürfnisse mittlerer Organisationen zugeschnitten ist; es wird vom IT-Planungsrat für den Einsatz in Verwaltungen mit bis zu 500 PC-Arbeitsplätzen empfohlen.
Gerade erst ist ISIS12 um relevante Datenschutzmodule erweitert worden: In insgesamt sieben Schritten soll das sogenannte Datenschutz-Management-System iDSM7 den Schutz personenbezogener Daten in der öffentlichen Verwaltung und Kommunen sicherstellen. In Bayern wurde die Förderung von ISIS12 für kleine und mittlere Kommunalverwaltungen im Februar verlängert. Bisher wurden rund 170 unterstützt. Das nachfolgende Interview mit Sandra Wiesbeck thematisiert den Stand der Dinge bei der DSGVO-Umsetzung und gibt konkrete Empfehlungen zur fristgerechten Implementierung in öffentlichen Verwaltungen und Unternehmen.
Die Einführung erklärt, warum Kommunen in der Pflicht sind, weshalb der IT-Sicherheitscluster ISIS12 entwickelt hat und wie das System funktioniert. Der Folgebeitrag erläutert die Förderbedingungen in Bayern. Anschließend geht Sandra Wiesbeck noch genauer auf die Anforderungen an kommunale Informationssicherheit ein. Dazu gibt es einen Report von der ISIS12-Zertifizierung in Dingolfing, einen ISIS12-Anwenderbericht aus dem Landkreis Neu-Ulm und ein Interview zum EU-DSGVO-Modul sowie einen Report zur ISIS12-Zertifizierung der Universität Bamberg. Jüngste Nachträge zeichnen die Update-Entwicklung über ISIS12 2.0 und die erste Zertifizierung nach dem neuen Modell bis zur Umbennenung in CISIS12 nach. Als Extra erklärt ein Sonderbeitrag die ISA+Informations-Sicherheits-Analyse zum geordneten Einstieg in die Informationssicherheit. (Bild: Bayerischer IT-Sicherheitscluster e.V.)
Kommunale ITK: Auf welchen Gebieten besteht Ihren Erfahrungen nach der dringendste, konkrete Handlungsbedarf, um rechtzeitig die Anforderungen der EU-DSGVO und der neuen Bayerischen Datenschutzgesetzes gerecht zu werden?
Sandra Wiesbeck: Es sind vor allem zwei gravierende Neuerungen, bei denen Handlungsbedarf besteht: Zum einen gilt ab 25. Mai die Beweislastumkehr: Unternehmen und Kommunen haben aktiv nachzuweisen und umfassend zu dokumentieren, was sie im Bereich der Informationssicherheit getan haben und welche Sicherheitsmaßnahmen entsprechend dem jeweiligen Datenniveau getroffen wurden. Zweitens vervielfachen sich mit der DSGVO die zu erfüllenden Informations- und Transparenzverpflichtungen bei Datenerhebung und Datenverarbeitung, ebenso wie auch die Meldepflichten an zuständige Aufsichtsbehörden.
Kommunale ITK: Welche gesetzlichen Vorgaben sind Behörden und Kommunen unklar und erschweren dadurch die Umsetzung?
Sandra Wiesbeck: Die Dokumentation der internen Prozesse für die Verarbeitung personenbezogener Daten sowie die Durchführung der Datenschutz-Folgenabschätzung für besonders sensible Informationen bereiten meiner Erfahrung nach die größten Probleme. Die Themenbereiche Informationssicherheit und Datenschutz hatten bisher nur etwa 10 % Überschneidung aufgewiesen, ab dem 25. Mai 2018 verschmilzt die DSGVO Datenschutz und Informationssicherheit immer mehr zu einem großen Bereich – die Überlappung zwischen beiden beträgt fast 90 %.
Kommunale ITK: Was schafft hier schnell und effizient Abhilfe?
Sandra Wiesbeck: Um den geänderten Dokumentationspflichten und der Beweislastumkehr gerecht werden zu können, ist es sinnvoll, die DSGVO-Vorbereitungen mit der Einführung eines Informationssicherheitsmanagementsystems zu verbinden. Kommunen, die aktuell ein ISMS, wie ISIS12 einführen, sind daher auf dem besten Weg, die Anforderungen der DSGVO zu erfüllen.
Kommunale ITK: Wie wirkt sich die noch ausstehende Verabschiedung des BayDSG auf die Umsetzung der EU-DSGVO in diesem Zusammenhang aus?
Sandra Wiesbeck: Die Regelungen des neuen Bayerischen Datenschutzgesetzes und der Datenschutz-Grundverordnung (DSGVO) müssen im Zusammenhang gelesen und angewendet werden. Auch wenn die Vorschriften der DSGVO nach dem Konzept des Gesetzentwurfs grundsätzlich für sämtliche Verarbeitungen personenbezogener Daten durch bayerische öffentliche Stellen gelten sollen, muss stets sorgfältig geprüft werden, ob nicht vorrangige Rechtsvorschriften diesen Anwendungsbefehl im Hinblick auf den konkreten Verarbeitungsvorgang ändern. Dies betrifft insbesondere die Verarbeitung personenbezogener Daten im Anwendungsbereich der Datenschutz-Richtlinie für Polizei und Strafjustiz.
Kommunale ITK: Sind die Kommunen mit genügend Ressourcen ausgestattet (Haushaltsmittel und Fach-Know-how), um die noch anstehenden Aufgaben zu lösen?
Sandra Wiesbeck: Meiner Einschätzung nach sind Kommunen eher darauf vorbereitet, die sich bereits intensiv mit der Einführung eines ISMS beschäftigen. Ressourcen sind aktuell sowohl in Kommunen als auch Unternehmen problematisch, da es zum einen zu wenig Fachkräfte bzw. ausgebildete Mitarbeiter gibt. Zum anderen, falls diese vorhanden sind, ist es problematisch, sich neben dem Tagesgeschäft diesem komplexen Thema ausreichend zu widmen.
Kommunale ITK: Welche Maßnahmenschritte empfehlen Sie, um die Kommunen für die rechtzeitige Umsetzung der DSGVO fit zu machen?
Sandra Wiesbeck: Ich empfehle klar die Einführung eines ISMS. Mindestens ist jedoch die Erstellung eines Sicherheitskonzeptes mit zusätzlicher Dokumentation der internen Prozesse notwendig. Des Weiteren sollten die Mitarbeiter ausgebildet werden, und dabei empfehle ich, dass sich mehrere Kommunen zusammenschließen, um Ressourcen zu sparen. Eventuell ist ein externer Datenschutzberater hinzuziehen.
Kommunale ITK: Nach welchen Kriterien sollten die Verantwortlichen in einer Behörde oder Kommune externe Hilfestellung suchen, bewerten und beauftragen?
Sandra Wiesbeck: Der Datenschutz sollte wie die Informationssicherheit immer von der Behördenleitung gesteuert werden und dementsprechend von allen Mitarbeitern.
Kommunale ITK: Welche Hilfestellung bieten Sie als Bayerisches IT-Sicherheitscluster an?
Sandra Wiesbeck: Kostenfreie Erstberatungstage für Interessenten, insbesondere auch für Start-ups, die Veranstaltungsreihe IT-Sicherheit am Donaustrand in Regensburg, Straubing, Deggendorf, Passau und Linz zum Thema DSGVO, außerdem Veranstaltungen im Rahmen des Forums Datenschutz sowie weitere Veranstaltungen, die Ausbildung zum Informationssicherheitsbeauftragten, ab dem zweiten Quartal 2018 auch die Ausbildung zum Datenschutzbeauftragten, ISIS12-Schulungen für Anwender, Workshops für Kommunen, Infos über Newsletter und Mails sowie die Zusammenarbeit mit Kooperationspartnern wie Mittelstandswiki, ISB und Datenschutzbeauftragten sowie vieles mehr.
Eduard Heilmayr war acht Jahre lang Chefredakteur bei „Markt & Technik“, anschließend dort im Verlagsmanagement tätig. 1992 gründete er die AWi Aktuelles Wissen Verlagsgesellschaft mbH in München, die IT-Fachmagazine wie „LANline“, „Windows NT“, „Unix Open“, „Inside OS/2“ und „Electronic Embedded Systeme“ publizierte. Nach dem Verkauf des Verlags gründete er 2004 Delphin Consult. Neben meist mehrjährigen Projektarbeiten für renommierte Medienunternehmen wie Heise oder techconsult publiziert Heilmayr für rund 4000 Leser regelmäßig den redaktionellen Newsletter „Kommunale ITK“, der im MittelstandsWiki eine eigene Rubrik hat.
