DS-GVO und IT-Grundschutz

3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle

DS-GVO und IT-GrundschutzTraumhochzeit oder Rosenkrieg?


Robert Krelle

IT-Sicherheitsbeauftragter

Ministerium für Landwirtschaft und Umwelt

Mecklenburg-Vorpommern



DS-GVO IT-GS


DS-GVO

IT-GS

Datenschutz

Informationssicherheit




DS-GVOVerordnung (EU) 2016/679

IT-Grundschutz

Das erste Treffen

Ziele und Rechtsnatur

Passen wir zusammen?

Prozesse, Aufgaben, Verantwortung

Der gemeinsame Alltag

Aus Zwei mach Eins?

Beziehungs-Check-Up


Das erste Treffen



Das erste TreffenDie Ziele von DS-GVO und IT-GS

DS-GVO IT-GS

DatenschutzSchutz personenbezogener Daten

natürlicher Personen

InformationssicherheitSchutz sensibler und vorteilhafter Informationen und Daten

TOMTechnisch-organisatorische

Manßnahmen

Ziel:Gewährleistung der

Persönlichkeitsrechte der Betroffenen

Ziel:Schutz der anwendenden Organisation (Unternehmen, Behörde etc.)


Das erste TreffenDie Rechtsnatur von DS-GVO und IT-GS

DS-GVO IT-GS

EU-Verordnungunmittelbar und in allen

Mitgliedstaaten anzuwenden(Art. 288 Abs. 2 AEUV)

Technisches RegelwerkBest Practices zur Konkretisierung rechtlicher Sorgfaltspflichten



IT-Grundschutz

Das erste Treffen





Aus Zwei mach Eins?

Beziehungs-Check-Up





Übersicht über den Informationssicherheitsprozess

Schritt 1

Schritt 3

Schritt 4Initiierung des

Sicherheitsprozesses

Leitlinie zurInformationssicherheit

erstellen

Organisationdes Sicherheitsprozesses

Erstellung einerSicherheitskonzeption

Umsetzung der Sicherheitskonzeption

Schritt 2

Schritt 5

Aufrechterhaltung &VerbesserungSchritt 6


IT-GS IT-GS

DS-GVO DS-GVO

Initiierung des Sicherheitsprozesses

➢ Übernahme der Verantwortungdurch die Leitungsebene

Leitlinie zurInformationssicherheit

➢ Grundlage für die Ausgestaltung des Sicherheitsprozesses

➢ Natürliche Personen, Wirtschaft und Staat sollten in rechtlicher und praktischer Hinsicht über mehr Sicherheit verfügen (ErwGr 7)

➢ Verantwortlicher (Art. 4 Nr. 7)

➢ Leitlinie zum Datenschutz nichtausdrücklich vorgesehen

➢ kann aber der Erfüllung der Rechenschaftspflicht (Art. 5 Abs. 2) dienen


IT-GS IT-GS

DS-GVO DS-GVO

Organisation des Sicherheitsprozesses➢ Aufbau einer geeigneten

Organisationsstruktur➢ i.d.R. IT-Sicherheits/Informations-

sicherheitsbeauftragter

Sicherheitskonzept

➢ IT-Grundschutz-Vorgehensweise (BSI-Standard 200-2)

➢ Umsetzung „geeigneter […] organisatorischer Maßnahmen“(Art. 24 Abs. 1)

➢ ggf. Datenschutzbeauftragter (Art. 37)

➢ Rechenschaftspflicht (Art. 5)➢ Security (Art. 32)

− Vertraulichkeit, Integrität, Verfügbarkeit

− Risikobewertung➢ Regelm. Evaluierung (Art. 24)


Funktionsbeauftragte

DatenschutzbeauftragterInformationssicherheits-

beauftragter

Regelmäßiges ReportingArt. 39 Abs. 1 lit. a DS-GVOArt. 5 Abs. 2 DS-GVO

ISMS.1.A12 Management-Berichte zur Informationssicherheit

UnabhängigeAufgabenausübung

Art. 38 Abs. 3 DS-GVOISMS.1.A4 Benennung eines Informationssicherheits-beauftragten

Kontrollkompetenz Art. 38 Abs. 2 und 3 DS-GVOISMS.1.A11 Aufrechterhaltung der Informationssicherheit

Schulung/Sensibilisierungvon Mitarbeitern

Art. 39 Abs. 1 lit. b DS-GVOISMS.1.A14 Sensibilisierung zur Informationssicherheit

in DS-GVO und IT-GS


Konzeption

• Sicherheitskonzept• Rechenschaftspflicht• Sicherheit der Verarbeitung

Umsetzung

• Sicherheitsmaßnahmen• Technische und organisatorische

Maßnahmen

Überprüfung

• Regelmäßige Audits• Überprüfung und Aktualisierung

der Maßnahmen

Management-system

IT-GS

Ein angemessenes Sicherheitsniveau für alle Geschäftsprozesse, Informationen und IT-Systeme erfordert ein funktionierendes und in die Institution integriertes Sicherheitsmanagement.

DS-GVO

Die Einhaltung der Vorgaben der Rechenschaftspflicht nachArt. 5, 24 DS-GVO kannpraktisch nur dannerfolgen, wenn das Managementsystem des Verantwortlichen auchhierauf ausgerichtet wird.



IT-Grundschutz

Das erste Treffen





Aus Zwei mach Eins?

Beziehungs-Check-Up



Aus Zwei mach Eins?


DS-GVO + IT-GS = IMS

Risikoanalyse des IT-GS um DatenschutzaspekteerweiternManagementprozesse

um Datenschutzaspekteergänzen

Sicherheitskonzeptzur Erfüllung der Rechenschaftspflichtnutzen

Eingerichtetes ISMS(BSI-Standards 200-1 bis 3)


• ISMS.1.A4:Benennung eines ISB/IT-SiBe

• Art. 37 DS-GVO:Benennung DSB

• arbeitsteiliges Vorgehen

• Höhepunkt der Synergie: Personalunion

• “Statusbericht zurInformations-sicherheit und zumDatenschutz”

• GemeinsameVorfallbehandlung -ggf. meldepflichtig(z.B. Art. 33, 34 DS-GVO, ggf. § 8b BSIG)

• GemeinsameSchulungs- und Sensibilisierungs-maßnahmen

• Belehrungen, ggf. Verpflichtung zurGeheimhaltung/Verschwiegenheit

• GemeinsamesMeldewesen

• Audits von Dienstleistern(Outsourcing + Auftragsverarbeitung)

• Wirksamkeits-kontrollen

• Lenkung von Korrektur-maßnahmen

Rationalisierung der Managementprozesse

Organisation Berichtswesen Einbindung der Mitarbeiter

Überwachung und Verbesserung

01 02 03 04


3. ModellierungDS-Management, Nichtverkettbarkeit,

Transparenz, Intervenierbarkeit, Datensparsamkeit

6. Umsetzung= Umsetzung von Datenschutz

1. StrukturanalyseIdentifikation der

Verarbeitungstätigkeiten

4. IT-Grundschutz-CheckDatenschutz-Check

5. RisikoanalyseRisiken für die Betroffenen

2. Schutzbedarfs-feststellungVorprüfung DSFA(Art. 35 DS-GVO)

Sicherheitskonzept und Datenschutz



IT-Grundschutz

Das erste Treffen





Aus Zwei mach Eins?

Beziehungs-Check-Up


DS-GVO IT-GS



Robert Krelle

Ministerium für Landwirtschaft und Umwelt

Mecklenburg-Vorpommern

Bildnachweis:

flowers-260894_1920.jpgheartbreak-1209211_1920.jpg

Lizenz: CC0 Creative Commonswww.pixabay.com

http://www.pixabay.com/

Documents

DS-GVO und IT-Grundschutz