Datenschutz und IT-Sicherheit nach ISO27001

IT-Sicherheit und Datenschutz sind relevante Themen im digitalen Zeitalter, doch treiben mittelständische und grosse Unternehmen oft in die Verzweiflung. Gesetzgeber versuchen auf nationaler und internationaler Ebene zunehmend, Bürger und Verbraucher zu schützen – zum Beispiel durch Regeln zur Verarbeitung personenbezogener Daten (DSGVO). 

Gerade in solchen gesetzlichen Regelungen sind jedoch viele Begriffe enthalten, auf die es in der Praxis ankommt. Schliesslich entstehen aus der DSGVO, aber auch aus anderen Regelungen ernstzunehmende Pflichten für Unternehmen. 

Für fachfremde Personen stellt sich die richtige Interpretation von Gesetzen rund um Datenschutz und IT-Sicherheit als grosse Herausforderung dar. Folgen einer unzureichenden Datensicherung sind jedoch nicht nur intern problematisch, sondern können auch staatliche Sanktionen mit sich bringen.

Aber was genau ist mit Datenschutz und IT-Sicherheit gemeint? Und welche Pflichten ergeben sich für Unternehmen? Kann eine Zertifizierung nach ISO-27001 bei der Einhaltung gesetzlicher Vorgaben helfen? – Dazu mehr in diesem Artikel.

Das Wichtigste in Kürze
  • Durch die Einführung der DSGVO sind Unternehmen dazu verpflichtet, ein Datenschutz-Konzept zu erarbeiten und Massnahmen zum Schutz personenbezogener Daten zu ergreifen.
  • Unternehmen haben die betrieblichen Anforderungen zu erfüllen und intern für Informationssicherheit zu sorgen. Eine Verknüpfung von Datenschutz und Informationssicherheit kann kompliziert erscheinen, birgt aber auch einige Vorteile für Unternehmen.
  • Eine Zertifizierung im Sinne der DSGVO wie die ISO-27701 kann dabei helfen, Datenschutz und Informationssicherheit zu verknüpfen und in einem gemeinsamen Managementsystem zu verflechten.
Worin unterscheiden sich Datenschutz und Informationssicherheit?

Informationssicherheit und Datenschutz hören sich zunächst einmal sehr synonym an. Man könnte meinen, es handele sich dabei um zwei Begriffe, die dasselbe beschreiben. Daneben gibt es noch weitere Begriffe wie Datensicherheit oder IT-Sicherheit, die für Verwirrung sorgen können. Was ist mit welchem Begriff gemeint und wie verwende ich sie richtig? 

Da es sich hier immer um die Sicherheit der Verarbeitung personenbezogener Daten im Unternehmen geht, haben die Begrifflichkeiten selbstverständlich Überschneidungen. Diese sind mal grösser, mal kleiner. Dennoch sind es unterschiedliche Begriffe, die in Unternehmen verschiedene Aufgaben und Stellenwerte einnehmen.

Aufgrund der teils grossen Überschneidungen sind exakte Definitionen und Abgrenzungen nicht möglich. Viel mehr kommt es oft auf den Verfasser und Kontext an, wie die verschiedenen Begriffe zu deuten sind. Das macht es für Verbraucher oder Laien natürlich nicht einfacher.

Um einen Überblick zu verschaffen und die grundlegenden Unterschiede zu verstehen, erklären wir die Begriffe:

Datenschutz

Datenschutz ist der Schutz der Privatsphäre jedes Menschen. In westlichen Ländern und insbesondere in der DACH-Region hat jeder das Recht auf informationelle Selbstbestimmung. Dies garantiert dem Betroffenen, dass er über die Verwendung seiner Daten bestimmen kann.

Gleichzeitig sollen Menschen vor Missbrauch ihrer Daten geschützt werden. Datenschutzrechtliche Vorgaben wie der DSGVO regeln daher den Umgang mit personenbezogenen Daten und die Verpflichtung, jede Person über die Verwendung ihrer Daten zu informieren.

Datensicherheit

Bei Datensicherheit geht es auch um den Schutz von Daten, allerdings ist dieser Begriff allgemeiner gefasst. Es geht hier nicht nur um personenbezogene Daten, sondern um jegliche Art von Daten, die schützenswert sind. Hierunter fallen analoge wie digitale Daten, zum Beispiel geheime Informationen eines Unternehmens oder dessen Produkte.

Die Datensicherheit soll vor Manipulation, Diebstahl, Verlust oder auch der einfachen Kenntnisnahme schützen. Im Gegensatz zu Datenschutz spielen die Verarbeitung und Erhebung von Daten nicht unbedingt eine Rolle, sondern es geht um die Frage, wie Daten allgemein vor unberechtigtem Zugriff geschützt werden können.

Informationssicherheit

Insbesondere die die ISO-Normen 27001 und 27701 sprechen von Informationssicherheit, also dem Schutz von Informationen aller Art. Auch hier ist es unerheblich, ob es sich um digitale oder analoge Informationen, mit oder ohne Personenbezug handelt. Die Datensicherheit kann als Teil der Informationssicherheit angesehen werden, da letztere weitreichender ist.

IT-Sicherheit

Genau wie die Datensicherheit kann die IT-Sicherheit als Teil der Informationssicherheit gesehen werden und beschreibt elektronisch gespeicherte Informationen und IT-Systeme. Darunter fällt neben der technischen Verarbeitung von Informationen auch die Funktionssicherheit der IT-Systeme.

Welche Pflichten haben Unternehmen im Hinblick auf Datenschutz?

Datenschutzvorgaben werden in den EU-Staaten insbesondere in der DSGVO (Datenschutzgrundverordnung) geregelt. Dazu kommt in Deutschland noch das deutsche Bundesdatenschutzgesetz (BDSG).

Die DSGVO lässt den einzelnen Mitgliedsstaaten einen gewissen Spielraum, weshalb das BDSG angepasst und ergänzt wurde. Für Unternehmen ist aber nach wie vor die DSGVO relevanter.

Es ist eine strukturierte Vorgehensweise vorgeschrieben:

  • Unternehmen müssen, um datenschutzrechtliche Massnahmen ergreifen zu können, immer Schutzbedarfe und Schutzziele formulieren und daraus ein integriertes Managementsystem erarbeiten.
  • Durch Risikoanalysen werden Schutzziele festgelegt und es lässt sich feststellen, welche Gefahren es gibt und wo der Schutzbedarf besonders hoch ist. Danach werden dann auch entsprechende technische und organisatorische Massnahmen erarbeitet, um die Schutzziele zu erreichen.
  • Schutzziele sind immer der Soll-Zustand und werden nicht nur von Unternehmen selbst aufgestellt, sondern finden sich auch in Standards wieder.

Bezüglich dieser festgelegten Schutzziele müssen Unternehmen Massnahmen ergreifen, um diese Ziele zu erreichen. Dabei müssen die Ziele in Bezug auf Datenschutz und Informationssicherheit mit einbezogen werden.

Klartext:  Eine klare Trennung einzelner Ziele und darauf gerichtete Massnahmen lassen sich in der Praxis meist nicht realisieren. Alle Schutzziele und deren Massnahmen sind zusammenhängend und sind als Ganzes zu betrachten.

Die DSGVO sieht als Schutzziele insbesondere vor:

  • Vertraulichkeit der personenbezogenen Daten
  • Verfügbarkeit der Daten (auf die Daten kann gesichert zugegriffen werden)
  • Integrität (die Gewährleistung der Echtheit der Daten)
  • Belastbarkeit von Systemen und Diensten
  • Die schnellstmögliche Wiederherstellung vom Zugang zu den Daten bei Zwischenfällen
  • Intervention ist möglich (Betroffene können ihre Einwilligung in die Datenverarbeitung jederzeit widerrufen)
  • Regelmässige Überprüfung, Evaluierung und Verbesserung der organisatorischen Massnahmen
  • Instruieren der Mitarbeiter, dass diese die Daten nur im vorgegebenen Rahmen verarbeiten und geheim halten
  • Zweckbindung der Datenverarbeitung (Daten dürfen nur für festgelegte und rechtmässige Zwecke verwendet werden, die vorher eindeutig definiert wurden)
  • Datenminimierung
  • Speicherbegrenzung (Speicherung der Daten darf nur für den erforderlichen Zeitraum erfolgen, danach ist eine Löschung erforderlich)
  • Rechenschaftspflicht der Verantwortlichen (das Unternehmen hat die Verantwortung und muss im Zweifel die Einhaltung der Grundsätze nachweisen)
Wie können Unternehmen ihre Schutzziele bestimmen?

Grundlage all jener Sicherheitsmassnahmen ist ein Kreislauf des Sicherheits- oder Risikomanagements. Dieser Kreis bezeichnet verschiedene Stadien, die bei der Verfolgung der Schutzziele immer wieder durchlaufen werden. Folgende Schritte zählen in diesen immer wiederkehrenden Zyklus der Risikominimierung:

1. Identifikation

Für Unternehmen ist es hier besonders wichtig, zu erkennen, welche Bedrohungen für bestimmte Bereiche und Vorgänge bestehen und wo sich Risiken befinden können.

Dabei ist es besonders schwierig, alle Risikofaktoren und fehleranfälligen Prozesse zu erkennen und jeden einzelnen Punkt zu benennen. Es ist daher nicht damit getan, einmal eine solche Analyse durchzuführen, sondern es handelt sich um einen stetigen Prozess – deshalb der Kreislauf.

2. Bewertung

Jedes Risiko muss bewertet werden, mit Hinblick darauf, wie gross das Risiko ist, also wie wahrscheinlich der Eintritt eines Schadensereignisses in Bezug auf Datenschutz für Unternehmen ist. Zusätzlich zur Wahrscheinlichkeit it is that a damaging event will occur to data protection for companies. In addition to the likelihood, it is also necessary to consider how gross der entstehende Schaden für die betroffene Person und das Unternehmen sein würde.

3. Steuerung

Mit Steuerung ist im Grunde die Risikominimierung gemeint. Es sollen also geeignete Massnahmen ergriffen werden, um das Risiko zu eliminieren oder so klein wie möglich zu halten. Das können bestimmte Sicherheitsverfahren, Aufgabenverteilungen, Arbeitsanweisungen an Mitarbeiter oder Umstrukturierungen sein. 

Bei der Tauglichkeit der Massnahmen kommt es auch darauf an, wie das Risiko zuvor bewertet wurde. In diesem Verhältnis sollten auch die getroffenen Massnahmen sein.

4. Überwachung

Hier werden nicht nur die Risiken, sondern auch die getroffenen Massnahmen kontrolliert. Es geht darum zu überprüfen, ob die Risiken effizient und effektiv beseitigt oder minimiert werden konnten oder ob Verbesserungspotenzial besteht. Gegebenenfalls werden bei der Überwachung auch neue Risiken sichtbar, die dann wieder ab Punkt 1 bekämpft werden müssen.

Ist Informationssicherheit auch Datenschutz?

Informationssicherheit ist eine Art „Datenschutz“ für Unternehmen und deren Prozesse. Selbstverständlich haben Unternehmen ein berechtigtes Interesse daran, ihre Daten, Prozesse und Betriebsgeheimnisse zu schützen. Dazu bedarf es – genau wie beim Datenschutz – einem Konzept aus Schutzzielen, Risikoanalysen und Massnahmen.

Dieses Konzept soll dabei nicht Dritte und ihre Daten schützen, sondern die eigenen Daten des Unternehmens, insbesondere Produktions- und Geschäftsprozesse. Diese sind besonders anfällig für vorsätzlichen Datenklau oder Manipulation. Aber auch unbeabsichtigte Einwirkung auf die Daten gilt es für ein Unternehmen systematisch zu vermeiden.

Das Bundesamt für Sicherheit und Informationstechnik (BSI) hat hierzu einen sogenannten IT-Grundschutz entwickelt. Dieser Leitfaden enthält Standards und Massnahmen zur Orientierung für Unternehmen, um zu bestimmen, welcher Schutzbedarf besteht und welche Massnahmen zu ergreifen sind.

Der IT-Grundschutz erfordert, dass der gesamte Informationsfluss mitsamt aller Prozesse, Anwendungen, Systeme etc. betrachtet und analysiert wird. Jeder einzelne System- und Prozessbaustein muss dann einzeln herausgenommen und in einzelne Arbeitsschritte unterteilt werden (sogenanntes „Schichtenmodell“).

Insbesondere bei komplexen Arbeitsprozessen entsteht auf diese Weise mehr Übersichtlichkeit. Dies erleichtert das Finden von Sicherheitsmassnahmen und Risiken. Anschliessend können Aspekte, die den gleichen Schutzbedarf haben, leicht erkannt und gebündelt angegangen werden.

Gleichzeitig werden Überschneidungen und Doppelungen verhindert, was den Aufwand und die Kosten minimiert. Auch eine kontinuierliche Verbesserung oder Aktualisierungen können leichter integriert werden, da nur die tatsächlich betroffene Schicht als solches angegangen wird.

Wie beim Datenschutz auch, bedarf es dazu einem Kreislauf des Risikomanagements, der Risiken filtert, priorisiert, minimiert und dann langfristig überwachen soll.

Wie hängen Informationssicherheit und Datenschutz zusammen?

Wie aus den Definitionen bereits klar wird, geht es beim Datenschutz tagtäglich um den Schutz personenbezogener Daten – also um den Schutz des Menschen und dessen Selbstbestimmung und nicht um den Schutz des Unternehmens.

Die Informationssicherheit umfasst auch diese Daten, im Vordergrund stehen hier jedoch eher prozessbezogene Daten und die technischen Prozesse. Eine Verknüpfung entsteht immer dann, wenn personenbezogene Daten eben diese Prozesse durchlaufen, um etwa verarbeitet oder gespeichert zu werden.

Wichtig zu erwähnen ist auch, dass eine Datenminimierung auch Risikominimierung bedeutet. Natürlich spielt Big Data eine grosse Rolle für Unternehmen, aber nicht nur in Hinblick auf die Datenschutz-Vorgaben der Gesetzgeber, sondern auch für die Umsetzung der Informationssicherheit bedeuten weniger Daten auch weniger Risiken. Insofern ist Datenschutz regelmässig auch eine Erleichterung bei der Informationssicherheit.

Ausserdem schaffen die gesetzlich definierten Schutzziele einen Zusammenhang. Nicht nur, dass Aspekte des Datenschutzes im Unternehmen durch die Informationssicherheit und IT-Sicherheit gewährleistet werden sollen, auch die Mechanismen und Pflichten für Unternehmen sind sich ähnlich, wenn nicht sogar identisch.

So werden auch viele Vorgaben gemacht, wie Datenschutz innerhalb der Informationssicherheit zu handhaben ist: Betroffene müssen zum Beispiel über die Verarbeitung und die dazu stattfindenden Prozesse über ein Auskunftsverfahren informiert werden.

In dieser Hinsicht gibt es vielerlei Möglichkeiten IT-Produkte, Dienstleistungen oder ähnliches anzubieten, und mit etwa einer Zertifizierung für mehr Transparenz gegenüber den Betroffenen zu sorgen und die gesetzlichen Vorgaben zu erfüllen.

Mitarbeiter bilden eine wichtige Schnittstelle zwischen Datenschutz und Informationssicherheit, da sie Unternehmensprozesse leiten oder sogar selbst durchführen und dabei nicht nur die Unternehmenssicherheit, sondern auch den Datenschutz im Blick behalten müssen. Genauso wichtig ist es daher auch, intern für die nötige Sensibilisierung zu sorgen. Mitarbeiter sollten ausreichend über drohende Datenschutzvorfälle und wie diese sanktioniert werden können geschult werden. Die Mitarbeiter sind Teil der First-Line-Of-Defense.

Führt Datenschutz zu mehr Informationssicherheit?

Besonders komplex ist es für Unternehmen, die beiden Konzepte von IT-Sicherheit und Datenschutz zu einem effizienten und effektivem Gesamtkonzept zu verbinden. Eine solche Verbindung hat aber viele Vorteile:

  • Viele Zertifizierungen knüpfen nicht an den Datenschutz, sondern vielmehr an die IT-Sicherheit an, weshalb etablierte Standards und konkrete Massnahmen-Modelle weit verbreitet sind.
  • Auf der anderen Seite gewährt die Gesetzgebung hier viel mehr Freiheiten und reglementiert nicht allzu viel. Für den Gesetzgeber steht allerdings der Datenschutz im Fokus, sodass es hier strenge Regelungen gibt. Es fehlen aber an konkreten Vorgaben zur Umsetzung.
  • Durch die teilweise weitreichenden Überschneidungen bei Datenschutz und Informationssicherheit kann sich mit Hinblick auf beide sowohl an den Gesetzen für Datenschutz als auch an den Standards für Informationssicherheit orientiert werden, sodass beide Seiten davon profitieren und ein konsequentes Gesamtkonzept entstehen kann. Datenschutz ohne Informationssicherheit kann kaum funktionieren.
Wie hilft eine ISO-Zertifizierung dabei, diese Pflichten zu erfüllen?

Eine anerkannte Zertifizierung des Datenschutzmanagements, etwa durch internationale Normen wie die ISO 27701 als internationalen Standard, kann Unternehmen dabei helfen, dass die Bestimmungen zum Datenschutz eingehalten werden können.

Zwar ist die ISO 27701 nicht komplett identisch mit der DSGVO, aber sie kann als Bestandteil für die Erfüllung der gesetzlichen Pflichten vorgebracht werden. Die ISO27701 erweitert hierbei die ISO27001 Zertifizierung und bietet Leitlinien sowie Implementierungskontrollen für den richtigen Umgang mit personenbezogenen Daten.

Im komplexen Dschungel der gesetzlichen Anforderungen rund um das Thema Datenschutz kann es schwierig sein, ein Datenschutzkonzept zu erarbeiten und dabei noch das enge Zusammenspiel mit der Informationssicherheit zu wahren. Eine Zertifizierung prüft hierbei, ob alle Vorgaben erfüllt sind und stellt sicher, dass ein rundes Gesamtkonzept besteht.

Das erleichtert Unternehmen die Erfüllung ihrer gesetzlichen und unternehmerischen Pflichten und bietet nicht nur Hilfestellung bei der Implementierung von Massnahmen, sondern zusätzlich auch diesbezügliche Kontrollen.

Zwar liegt das primäre Ziel der ISO 27701 bei dem Schutz von personenbezogenen Daten, es bietet sich dennoch an, bestehende Synergien zu nutzen. So baut die ISO 27701 auf dem bestehenden Managementsystem für Informationssicherheit (ISMS) auf, ergänzt die Informationssicherheit dabei um relevante Punkte des Datenschutzes und passt daher perfekt in die Schnittstelle von Datenschutz und Informationssicherheit.

Click to access the login or register cheese Click to access the login or register cheese Click to access the login or register cheese