Die bis zum 25. Mai 2018 umzusetzende Datenschutzgrundverordnung der EU (DSGVO) zwingt Unternehmen zum Handeln. Datenschutz und Informationssicherheit wird damit ein zunehmend wichtigeres Thema. Hier ist die Geschäftsleitung gefordert. Sie muss Datenschutz und IT-Sicherheit herstellen und die Maßnahmen regelmäßig überprüfen. Damit soll verhindert werden, dass Daten von Nichtberechtigten genutzt oder verändert werden, IT-Systeme ausfallen und dadurch wirtschaftliche Einbußen entstehen.

Gerade der Zugriff über mobile Endgeräte auf Unternehmensdaten schafft Risiken, die durch technische und organisatorische Maßnahmen minimiert werden können. Eine Möglichkeit, diesen Anforderungen gerecht zu werden, ist die Einführung eines Informationsmanagementsystems nach der ISO 27001.

Auch der Schutz personenbezogener Daten kann ohne IT-Sicherheit nicht gewährleistet werden. Deshalb sieht die DSGVO vor, die Wirksamkeit des Datenschutzes u.a. mit Hilfe der ISO 27001 nachzuweisen.

Großunternehmen rationalisieren ihre IT-Geschäftsprozesse ständig weiter. Lieferanten werden zunehmend dazu verpflichtet, Angebote und Abrechnungen direkt in die unternehmenseigenen Datensysteme einzutragen. Damit hat die IT-Sicherheit und der Schutz der Daten auch die kleinen und mittleren Unternehmen und Lieferanten erreicht. Sei werden z.B. über die Einkaufsbedingungen gezwungen, den Nachweis der Zertifizierung nach ISO 27001 erbringen zu müssen, um weiter im Geschäft bleiben zu können.

 

Informationssicherheit

 

Informationssicherheit bedeutet, dass durch technische und organisatorische Maßnahmen die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität von Datenbeständen  gewährleistet werden. Eine Zertifizierung mit der ISO 27001 schafft die Grundlage die Informationssicherheit im Unternehmen deutlich zu steigern.

Um dies zu erreichen, werden Risiken identifiziert, bewertet und anschließend Maßnahmen erarbeitet, um die Risiken zu minimieren. Dazu beschreibt die ISO 27001, was eine Organisation sicherstellen muss, um die eigenen Aktivitäten im Bereich Datensicherheit steuern zu können. Zudem sind 114 Controls aufgeführt, die ein Unternehmen mindestens umsetzen muss, um eine hohes Maß an IT-Sicherheit gewährleisten zu können.

Wer sein Unternehmen in Richtung Industrie 4.0 weiterentwickeln möchte und dabei auch verstärkt mobile Endgeräte einsetzt, sollte über eine Verbesserung seiner Datensicherheit nachdenken und eine freiwillige Zertifizierung gemäß ISO 27001 anstreben.

Datensicherheit ist eine Voraussetzung für effektiven Datenschutz. Dementsprechend ist in der DSGVO der Nachweis eines funktionierenden Datenschutz-Managementsystems u.a. mit Hilfe eine Zertifizierung nach der ISO 27001 zulässig. Ein Grund mehr, sich mit dieser Zertifizierung zu beschäftigen.

Das IT-Sicherheitsgesetz ist am 25.07.2015 in Kraft getreten. Demnach müssen Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung gemäß KRITIS-Verordnung vom 22.04.2016 und Unternehmen aus den Sektoren Finanzen, Transport und Verkehr sowie Gesundheit gemäß KRITIS-Verordnung vom 21.07.2017 jeweils 2 Jahre nach in Krafttreten der Verordnungen ihr IT-Sicherheitssystem gemäß ISO 27001 zertifiziert haben, sofern sie die in den Verordnungen genannten Schwellwerte überschreiten.

  

Datenschutz

 

Das Bundesdatenschutzgesetz (BDSG) wurde als Grundlage für die Erarbeitung der europäischen Datenschutzgrundverordnung (DSGVO) verwendet. Trotz dieser bewährten Basis bringt die Umsetzung der DSGVO für die Unternehmen erhebliche organisatorische Veränderung.

Was ändert sich? - einige Beispiele

  • Die Verarbeitung personenbezogener Daten darf ohne Weisung des Verantwortlichen - der Geschäftsleitung - nicht mehr durchgeführt werden. Die Weisung ist zu dokumentieren.
  • Der Verantwortliche muss auf Grund der Beweislastumkehr nachweisen, dass er ordnungsgemäß gehandelt hat, egal ob ein Schaden eingetreten ist oder nicht.
  • Die Beweislastumkehr geht soweit, dass die Aufsichtsbehörde jederzeit und verschuldensunabhängig Dokumentationen und Aufzeichnungen anfordern kann. Aus ihnen muss ersichtlich sein, dass die Regelungen der DSGVO befolgt und ständig aktualisiert werden.
  • Können die geforderten Unterlagen nicht vollständig vorgelegt werden, kommt es zu hohen Bußgeldern und zur Haftung der Geschäftsführung.

Das bedeutet, dass Unternehmen ein Datenschutz-Managementsystem aufbauen sollten, in dem Dokumentationen und Aufzeichnungen vorgehalten und gepflegt werden sollten, mit denen der Nachweis gesetzeskonformen Handelns bei Datenschutz erbracht werden kann.

Unternehmen, die bereits eine Zertifizierung nach einer Norm wie z.B. der ISO 9001 haben, sollten eine eine Integration der Regelungen der DSGVO in das Managementhandbuch oder die vorhandenen Geschäftsprozesse vornehmen und ein integriertes Managementsystem erstellen. Diese und große Unternehmen sollten überlegen, ob sie den Datenschutz mit der ISO 27001 für Informationssicherheit ergänzen und damit den Nachweis für ordnungsgemäßes Handeln erbringen.

Um Sie schnell auf den neuesten Stand im Datenschutz zu bringen, bieten wir Ihnen Schulungen an.