EU-Datenschutz und Digitalisierung


Wien (01.06.2017) -

Symposium zu Informationssicherheit
(Foto: Fotodienst, Martina Draper)

Was bringt die Zukunft angesichts des neuen EU-Datenschutzes mit Bußgeldern bis zu 20 Millionen Euro und der zunehmenden Digitalisierung mit dem vieldiskutierten Internet of Things? Sicherlich: Unsicherheit. Die aktuellen Entwicklungen waren Top-Themen auf dem "13. Information-Security-Symposium" von CIS und Quality Austria in Wien. Im stilvollen Kursalon Wien fand sich mit mehr als 220 Fachteilehmern das Who-is-Who der heimischen Security-Szene ein. Tenor des Tages: Mit einem strukturierten ISO-Managementsystem sind Organisationen für die Zukunft besser gerüstet als ohne.

Neue Schlagworte wie Flexurity und Securitalisierung sprechen für sich. Hinsichtlich der Herausforderungen der nahenden Zukunft scheint derzeit vor allem eine allgemeine Unsicherheit sicher zu sein. Angesichts der aktuellen Entwicklungen stellten die Zertifizierungsorganisationen CIS und Quality Austria ihr "13. Information-Security-Symposium, WIEN 2017" im Mai unter das Motto: "EU-Datenschutz & Digitalisierung - neue Sicherheit mit ISO 27001". Das juristische Highlight der renommierten Veranstaltung präsentierte Wirtschaftsjurist und Datenschutzexperte Dr. Markus Frank. "Bei vielen Unternehmen sind bei der Umsetzung der EU-Datenschutzgrundverordnung erhebliche Unsicherheiten festzustellen, wie man bei den umfangreichen neuen Anforderungen Prioritäten setzen kann, um möglichst effizient vorzugehen und dennoch die erheblichen Haftungsrisiken zu mindern", betonte er in seinem Vortrag. Bußgelder bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro machen die im Mai 2018 national in Kraft tretende EU-DSGVO zu einem dringlichen Thema.

Franks Empfehlung: "Viele Organisationen haben zahlreiche Verarbeitungstätigkeiten und müssen Prioritäten setzen bei den vorzunehmenden Risiko-Abschätzungen und den zu treffenden technischen und organisatorischen Schutz-Maßnahmen (TOMs). Je nach Art und Umfang der Verarbeitungstätigkeiten und Risiko-Situation ist entweder ein Managementsystem für Datensicherheit DSGVO-konform einzurichten oder es genügen einzelne TOMs." Dabei stelle die DSGVO unterschiedliche Anforderungen an Verantwortliche und Auftragsverarbeiter. Weiters führte Dr. Markus Frank aus: "Die leider recht abstrakt formulierten Vorgaben der DSGVO sind im Lichte der jahrzehntelangen Rechtsprechung des EuGH und des EGMR zu verstehen." Wichtige Fragen vor diesem Hintergrund seien etwa: Was bedeuten konkret die zu schützenden 'Risiken für Rechte und Freiheiten der Betroffenen'? Welche Gewichtung misst die Rechtsprechung den Implementierungskosten von Sicherheitsmaßnahmen zu? Wie soll etwa ein IT-Techniker geeignete technische Maßnahmen definieren, wenn ihm die Zielsetzung 'Schutz der Rechte Betroffener' nicht vom Juristen konkret verständlich gemacht wird?"

DSGVO: Fragen über Fragen

Nur mit ausreichendem Verständnis dieser abstrakten Anforderungen werde ein Umsetzungsteam in der Lage sein, die relevantesten Datenschutz-Risiken richtig zu erkennen und zu bewerten und effizient die geeigneten Schutz-Maßnahmen zu definieren und umzusetzen, brachte Rechtsanwalt Dr. Markus Frank die vorherrschenden Schwachpunkte in den Organisationen auf den Punkt.

Diesbezüglich zog Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS, einen Vergleich mit bestehenden Managementsystemen: "ISO 27001 deckt als Standard für Informationssicherheit alle in einem Unternehmen vorhandenen Informationen ab, gemäß Geltungsbereich. Im Vergleich dazu betrifft das Datenschutzgesetz nur personenbezogene Daten. ISO 27001 geht also inhaltlich einerseits über die Datenschutz-Anforderungen hinaus. Andererseits deckt der Standard die tiefergehenden Datenschutz-Spezifika wie etwa Einhaltung der Geheimhaltungsinteressen oder Wahrung der Betroffenenrechte nicht ab." Erich Scheibers Resümee dazu lautete: "Insgesamt unterstützt eine Zertifizierung nach ISO 27001 EU-DSGVO-konforme Datenschutzzertifizierungen in Hinblick auf Verfügbarkeit, Vertraulichkeit und Integrität von Daten erheblich. Eine zertifiziertes Informationssicherheits-Managementsystem unterstützt die Erfüllung der EU-DSGVO-Anforderungen wesentlich."

Notfall ohne Krise: ISO 22301

Ein Thema das anlässlich der zunehmenden Unsicherheitsfaktoren ebenfalls ins Schwarze traf, war der Vortrag des Bundesrechenzentrums: Friedrich Koller von der Stabsabteilung Sicherheit und Qualität sprach über den erfolgreichen Weg mit dem erst vor wenigen Jahren veröffentlichten Standard für Business Continuity Management (BCM) ISO 22301, der sich mehr und mehr in den Köpfen der Führungskräfte verankert. Unter dem Vortragstitel "Vom Notfall zum Normalbetrieb, rasch und ohne Krise" berichtete er über Implementierung, Zertifizierung und Betrieb des BCM-Systems im BRZ. Als E-Government-Partner der österreichischen Verwaltung entwickelt und betreibt die BRZ GmbH mehr als 400 IT-Lösungen und verfügt über eines der größten Rechenzentren Österreichs. "In Ergänzung zu bestehenden Zertifizierungen nach ISO 9001, ISO 27001 und ISO 27018 für Cloud Privacy haben wir gemäß ISO 22301 Rollen und Aufgaben zugeteilt, Notfallpläne erstellt, Notfallübungen strukturiert geplant und durchgeführt, Notfallräume eingerichtet sowie Schulungen durchgeführt - um Krisen möglichst zu vermeiden oder im Falle ihres Auftretens Folgen möglichst gering zu halten", gab Friedrich Koller Einblick in die wichtigsten Implementierungsschritte. "Die Idee von BCM ist es, aus Notfallsituationen - wenn sie tatsächlich auftreten - rasch wieder herauszukommen", berichtete er in seinem praxisnahen Vortrag. Deutliche inhaltliche Überschneidungen mit ISO 9001 und ISO 27001 hätten die BCM-Einführung erleichtert. Als wichtige Erfahrung gab er dem interessierten Fachpublikum weiter: "Die Vertrauensbildung sollte man nicht vernachlässigen: Wir suchen Ursachen um sie zu beseitigen und nicht Schuldige, um sie zu bestrafen!" https://at.cis-cert.com/System-Zertifizierung/Business-Continuity/BCM-nach-ISO-22301-im-Ueberblick.aspx



CIS Certification & Information Security Services GmbH,
Heike Galley



Advertising