Datenschutzmanagement nach ISO 27701
Ein Informationssicherheitsmanagementsystem (ISMS) schützt Organisationen vor Schäden der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität. Datenschutz hingegen schützt Betroffene vor einer negativen Beeinflussung ihrer Rechte und Freiheiten durch die Verarbeitung ihrer personenbezogenen Daten. Ziel des Datenschutzes ist also nicht der Schutz meist wirtschaftlicher Interessen einer Organisation, sondern der Schutz des Grundrechts auf informationelle Selbstbestimmung natürlicher Personen.
Die Ziele von Informationssicherheit und Datenschutz sind nicht identisch, in besonderen Fällen sogar konträr. Dennoch decken die meisten Sicherheitsmaßnahmen sowohl Anforderungenen der Informationssicherheit als auch des Datenschutzes ab.
Daher ist ein eng verknüpftes und aufeinander aufbauendes Datenschutz- und Informationssicherheitsmanagement effizient und sinnvoll.
Die ISO/IEC 27701 definiert ein Datenschutzmanagementsystem als Erweiterung eines Informationssicherheitsmanagementsystems auf Grundlage der ISO/IEC 27001. Die Verknüpfung der Managementsysteme ermöglicht Unternehmen Synergien zu erschließen und das übergreifende Sicherheitsniveau zu verbessern.
Wir unterstützen Sie dabei, Datenschutzmanagementsysteme nach Ihren individuellen Anforderungen zu entwickeln, umzusetzen und kontinuierlich zu verbessern. Unser Ziel ist es, Ihnen die eigenständigen Fortführung des Managementsystems ohne weitere Beratung zu ermöglichen.
Wir haben die Methode unter anderem auf der Konferenz verinice.xp vorgestellt (Foliensatz zum Download).
Verzeichnis der Verarbeitungstätigkeiten
Das Verzeichnis der Verarbeitungstätigkeiten (VdV) dokumentiert alle Prozesse, in denen personenbezogene Daten verarbeitet werden. Gemäß DS-GVO Art. 32 sind die meisten Organisationen verpflichtet, ein VdV zu führen. Auch ohne Verpflichtung ist es empfehlenswert, ein VdV anzulegen. Im Verzeichnis werden Prozesse und die darin verarbeiteten Informationen, Löschfristen, Risiken und spezifische Sicherheitsvorkehrungen dokumentiert.
Im Rahmen einer Ist-Analyse erstellen wir DS-GVO-konforme Verzeichnisse des VdV und können dabei in der Regel erste Verbesserungspotentiale und mögliche Schwachstellen identifizieren.
Datenschutzfolgeabschätzung
Mit der Datenschutzfolgeabschätzung (DSFA) führte die DS-GVO in Art. 35 einen risikobasierten Ansatz als grundlegende Neuerung ein. Ziel der DSFA ist es zum einen, negative Folgen für Betroffene durch die Verarbeitung ihrer Daten zu erkennen. Zum anderen kann sie aber auch nachweisen, dass die Risiken der Datenverarbeitung grundsätzlich tragbar sind. Die DSFA ermöglicht es, angemessene Sicherheitsmaßnahmen auszuwählen, um Folgen bzw. Risiken für Betroffene zu reduzieren.
Wir entwickeln für Sie Kriterien zur Durchführung der Datenschutzfolgeabschätzung und führen diese auf Grundlage ihrer Verarbeitungstätigkeiten durch. Synergien zum Risikomanagement eines ISMS berücksichtigen wir dabei gerne.
Sicherheitsmaßnahmen und -konzepte
Angemessene und dem Stand der Technik entsprechende Sicherheitsmaßnahmen verhindern negativen Einfluss auf die Rechte und Freiheiten Betroffener. Neben spezifischen organisatorischen Maßnahmen, welche z. B. die Rechtmäßigkeit der Datenverarbeitung zum Ziel haben, handelt es sich dabei vor allem um technische Maßnahmen, die vorrangig im IT-Umfeld wirken.
Wir unterstützen Sie sowohl bei Auswahl und Implementierung von Sicherheitsmaßnahmen, als auch bei der Erstellung von Datenschutzkonzepten und Vorgaben. Neben der Berücksichtigung von Empfehlungen der Aufsichtsbehörden für den Datenschutz profitieren Sie zusätzlich von unseren langjährigen Erfahrungen als BSI-zertifizierter IT-Sicherheitsdienstleister.
Schulungen und Sensibilisierungen
Verständnis für den Stellenwert des Datenschutzes sowie das Bewusstsein des eigenen Beitrags sind der Schlüssel zur Erreichung eines angemessenen Datenschutzniveaus.
Gemeinsam mit Ihnen planen wir gemäß Ihren Anforderungen maßgeschneiderte Schulungs- und Sensibilisierungsmaßnahmen, die auch für Ihre Mitarbeitenden mehr als nur Pflichtprogramm sind.
Überprüfungen und Audits
Wir führen unabhängige Audits von Informationssicherheits- und Datenschutzmanagementsystemen durch. Dabei berücksichtigen wir bei Bedarf die internen Vorgaben der zu auditierenden Organisationen oder planen das Audit individuell mit Ihnen. Neben der umfassenden Auditierung von Managementsystemen überprüfen wir bei Bedarf konkrete Sicherheits- bzw. Datenschutzkonzepte sowie Sicherheitsmaßnahmen und deren Umsetzung. Verbesserungspotential wird auf Grundlage anerkannter Best-Practices oder Empfehlungen von Aufsichtsbehörden vorgeschlagen.
In Zusammenarbeit mit unseren Partnern führen wir zusätzlich Zertifizierungsaudits durch.