BSI – Rahmenbedingungen für TOMs
Eine der großen Herausforderungen der EU-Datenschutzgrundverordnung (EU-DSGVO) ist die Definition und Anwendung der technisch organisatorischen Maßnahmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) legt die grundlegenden Aspekte der Informationssicherheit, die Informationssicherheitsziele und die zielführenden Prüfungen fest. Es bietet sozusagen eine Hilfestellung zur Umsetzung und Anwendung der technisch organisatorischen Maßnahmen.
Die Festlegung der Rahmenbedingungen für die organisatorischen Maßnahmen liegt grundsätzlich in der Verantwortung der Geschäftsführung. Je größer das Unternehmen und je schützenswerter die Daten, die das Unternehmen nutzt, umso höher liegen auch die Anforderungen an die technischen Voraussetzungen. Die größte Herausforderung liegt darin den Geschäftszweck, die gesetzlichen Vorgaben und die Kosten aufeinander abzustimmen.
Ob eine firmeninterne IT oder ein externer IT-Dienstleister, ob 10 oder 500 Mitarbeiter, die Unterschiede zur Umsetzung sind unerheblich. Im besten Fall sind Teile der Anforderungen durch den IT-Verantwortlichen bereits umgesetzt. Meist jedoch fehlt in den Unternehmen die schriftliche Dokumentation der etablierten Maßnahmen und für einen risikobasierten Ansatz sind keine Grundlagen vorhanden.
Abhilfe kann hier die Vorlage des Bundesinstituts für Informationssicherheit geben. In Formularen und Checklisten, Beispielen und Maßnahmenkatalogen wird exakt definiert, wie die IT-Strukturen abgebildet werden können, wie Sicherheits-Mechanismen implementiert und die Wiederherstellung nach einem Störungsfall gewährleistet werden kann.
Natürlich sind auch hier kompetentes Fachwissen und eine gewisse Anpassung der Vorlagen notwendig, um Unternehmen der verschiedenen Größenordnungen optimal und kosteneffektiv abzubilden. Der Verantwortliche erhält jedoch nicht nur den Gegenwert in der optimalen Absicherung seiner IT- und Unternehmenslandschaft, auch die Anforderungen der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes-neu werden optimal umgesetzt und erfüllt.
Für die Praxis sind künftig exakte Dokumentationen notwendig. Ob entsprechend der Vorgaben des BSI, eine Umsetzung nach ISO 27000 oder selbst erstellter Templates. Der BSI-Grundschutz ist technisch ausgerichtet und beschreibt konkret und detailliert, wie Organisationen bei der Minimierung von IT-Risiken vorgehen sollten. Die ISO 27001 hingegen orientiert sich an Geschäftsprozessen. Entsprechend abstrakter und offener ist die Norm gehalten, die Unternehmen mehr Freiheitsgrade bei der Umsetzung eines ISMS lässt. Der grundsätzliche Vorteil von Umsetzung und Dokumentation nach BSI oder ISO 27000 ist die Möglichkeit von Auditierungen. Diese Auditierungen erleichtern die Beurteilung und Prüfung im Sinne der Europäischen Datenschutzgrundverordnung (EU-DSGVO) beispielsweise in der Abwägung zu Art. 32 Abs. 1 und 2 EU-DSGVO, in Bezug auf die Sicherheit der Verarbeitung.
Das künftige Streben der Unternehmen sollte also in der Nachweisbarkeit von Maßnahmen liegen. Diese werden durch die Aufsichtsbehörden ebenso wie das Reagieren bei Vorfällen beurteilt und gewertet, sollte es zu einer Eskalation kommen. Die Messlatte legen hierbei unter anderem die EU-DSGVO und das IT-Sicherheitsgesetz fest.
Der Aufbau und die Auswahl kompetenter Ansprechpartner, ob als Angestellter, Dienstleister oder Berater, sowohl im IT- als auch im Datenschutzumfeld bedeuten zunächst Aufwand. Das gilt sowohl in zeitlicher, personeller als auch in finanzieller Weise. Der Mehrwert zeigt ich jedoch unmittelbar nachdem ein Schaden eingetreten ist. Die Abwägung von Kosten und Nutzen obliegt grundsätzlich der Geschäftsführung. Doch vielleicht kommt man unter dem Strich, durch die Zuhilfenahme der betreffenden Fachkräfte günstiger weg als ohne die dringend benötigte Fachkompetenz. Fragen sie Ihren Datenschutzbeauftragten.
Über BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine Bundesoberbehörde im Geschäftsbereich des Bundesministeriums, die für Fragen der IT-Sicherheit zuständig ist. Der Leitsatz des BSI lautet: „Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.“. Hilfestellungen bei IT-Sicherheitstechnischen Fragen gewähren die kostenfreien IT-Grundschutz-Kataloge des BSI.
IT-Sicherheit geht Hand in Hand mit dem Datenschutz. Eine Ausrichtung nach BSI kommt durch die Steuerung und Strukturierung der EU-DSGVO und dem BDSG sehr entgegen und gibt dem Datenschutzbeauftragten eine entsprechend fundierte Dokumentation zur Hand.
Benötigen Sie Unterstützung?
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!