In vielen Unternehmen sind Datenschutz und Informationssicherheit organisatorisch und faktisch noch weitgehend getrennt. Zwar arbeiten der Informationssicherheitsbeauftragte und der Datenschutzbeauftragte punktuell zusammen; von einem integrierten Ansatz kann meist aber nicht die Rede sein. Das ist schade.
In einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 werden technische und organisatorische Maßnahmen zum Schutz von Informationen gegen die Verletzung von Verfügbarkeit, Vertraulichkeit und Integrität risikobasiert ausgewählt und umgesetzt. Dabei werden in der Regel die Risiken für das Unternehmen selbst betrachtet.
Im Datenschutz sind ebenfalls risikobasiert technische und organisatorische Maßnahmen auszuwählen und umzusetzen (vgl. DSGVO Art. 25 u. Art. 32). An dieser Stelle sind jedoch die Risiken der Betroffenen zu betrachten. Trotzdem können die Risikobewertung nach derselben Methode durchgeführt und Synergien damit genutzt werden.
Auch die regelmäßige Überprüfung und Bewertung der Maßnahmen hinsichtlich ihrer Angemessenheit und Wirksamkeit ist aus datenschutzrechtlicher Sicht erforderlich (vgl. DSGVO Art 32 Ab.1 lit. d). Eine solche Überprüfung ist im ISMS nach ISO 27001 schon angelegt. Auch hier können Datenschutz und Informationssicherheit ein gemeinsames Vorgehen umsetzen.
Es ist daher nur konsequent, dass die ISO mit der ISO 27701 eine Norm vorlegt, die das Datenschutzthema in ein ISMS nach ISO 27001 integriert. Zu diesem Zweck werden Normkapitel und Anhang A der ISO 27001 sowie die Umsetzungshinweise der ISO 27002 um datenschutzrechtliche Aspekte entsprechend erweitert und angepasst.
Die einheitliche Betrachtung von Informationssicherheit und Datenschutz führt zu einem integriertem Managementsystem. So werden Ressourcen geschont, indem Doppelarbeiten und sich schlimmstenfalls widersprechende Ansätze verhindert werden.
Informationssicherheitsbeauftragter und Datenschutzbeauftragter treten jetzt bei der Planung und Umsetzung technischer und organisatorischer Maßnahmen der Informationssicherheit und des Datenschutzes gemeinsam gegenüber den Vertretern anderer Interessenbereiche im Unternehmen auf. Im Ergebnis führt dieser Ansatz zu einer Stärkung sowohl der Informationssicherheit als auch des Datenschutzes.
Seminar „Datenschutz in ein bestehendes ISMS integrieren“
In unserem Seminar „Datenschutz in ein bestehendes ISMS integrieren“ betrachten wir den Aufbau der ISO 27701. Wir zeigen, wie der Datenschutz in ein bestehendes ISMS nach ISO 27001 integriert werden kann bzw. wie der Datenschutz beim Aufbau eines ISMS als integraler Bestandteil gleich berücksichtigt wird.