DS-GVO und IT-Grundschutz

Größe: px

Ab Seite anzeigen:

Download "DS-GVO und IT-Grundschutz"

Götz Holtzer
vor 5 Jahren
Abrufe

1 DS-GVO und IT-Grundschutz Traumhochzeit oder Rosenkrieg?

2 Robert Krelle IT-Sicherheitsbeauftragter Ministerium für Landwirtschaft und Umwelt Mecklenburg-Vorpommern

4 DS-GVO IT-GS

5 DS-GVO Datenschutz Informationssicherheit IT-GS

6 DS-GVO und IT-Grundschutz Traumhochzeit oder Rosenkrieg?

7 DS-GVO Verordnung (EU) 2016/679 Beziehungs- Check-Up IT-Grundschutz Das erste Treffen Ziele und Rechtsnatur Passen wir zusammen? Prozesse, Aufgaben, Verantwortung Der gemeinsame Alltag Aus Zwei mach Eins?

8 Das erste Treffen Ziele und Rechtsnatur

9 Das erste Treffen Die Ziele von DS-GVO und IT-GS DS-GVO IT-GS Datenschutz Schutz personenbezogener Daten natürlicher Personen Informationssicherheit Schutz sensibler und vorteilhafter Informationen und Daten Ziel: Gewährleistung der Persönlichkeitsrechte der Betroffenen TOM Technisch-organisatorische Manßnahmen Ziel: Schutz der anwendenden Organisation (Unternehmen, Behörde etc.)

10 Das erste Treffen Die Rechtsnatur von DS-GVO und IT-GS DS-GVO IT-GS EU-Verordnung unmittelbar und in allen Mitgliedstaaten anzuwenden (Art. 288 Abs. 2 AEUV) Technisches Regelwerk Best Practices zur Konkretisierung rechtlicher Sorgfaltspflichten

11 DS-GVO Verordnung (EU) 2016/679 Beziehungs- Check-Up IT-Grundschutz Das erste Treffen Ziele und Rechtsnatur Passen wir zusammen? Prozesse, Aufgaben, Verantwortung Der gemeinsame Alltag Aus Zwei mach Eins?

12 Passen wir zusammen? Prozesse, Aufgaben, Verantwortung

13 Übersicht über den Informationssicherheitsprozess Schritt 6 Aufrechterhaltung & Verbesserung Initiierung des Sicherheitsprozesses Schritt 1 Erstellung einer Sicherheitskonzeption Schritt 4 Schritt 5 Umsetzung der Sicherheitskonzeption Leitlinie zur Informationssicherheit erstellen Schritt 2 Schritt 3 Organisation des Sicherheitsprozesses

IT-GS Initiierung des Sicherheitsprozesses Übernahme der Verantwortung durch die Leitungsebene IT-GS Leitlinie zur Informationssicherheit Grundlage für die Ausgestaltung des Sicherheitsprozesses

14 IT-GS Initiierung des Sicherheitsprozesses Übernahme der Verantwortung durch die Leitungsebene IT-GS Leitlinie zur Informationssicherheit Grundlage für die Ausgestaltung des Sicherheitsprozesses DS-GVO Natürliche Personen, Wirtschaft und Staat sollten in rechtlicher und praktischer Hinsicht über mehr Sicherheit verfügen (ErwGr 7) Verantwortlicher (Art. 4 Nr. 7) DS-GVO Leitlinie zum Datenschutz nicht ausdrücklich vorgesehen kann aber der Erfüllung der Rechenschaftspflicht (Art. 5 Abs. 2) dienen

IT-GS Organisation des Sicherheitsprozesses Aufbau einer geeigneten

IT-GS Sicherheitskonzept IT-Grundschutz-Vorgehensweise (BSI-Standard 200-2)

1) ggf. Datenschutzbeauftragter (Art. 37) Rechenschaftspflicht (Art.

15 IT-GS Organisation des Sicherheitsprozesses Aufbau einer geeigneten Organisationsstruktur i.d.r. IT-Sicherheits/Informationssicherheitsbeauftragter IT-GS Sicherheitskonzept IT-Grundschutz-Vorgehensweise (BSI-Standard 200-2) DS-GVO DS-GVO Umsetzung geeigneter [ ] organisatorischer Maßnahmen (Art. 24 Abs. 1) ggf. Datenschutzbeauftragter (Art. 37) Rechenschaftspflicht (Art. 5) Security (Art. 32) Vertraulichkeit, Integrität, Verfügbarkeit Risikobewertung Regelm. Evaluierung (Art. 24)

16 Funktionsbeauftragte in DS-GVO und IT-GS Regelmäßiges Reporting Unabhängige Aufgabenausübung Kontrollkompetenz Schulung/Sensibilisierung von Mitarbeitern Datenschutzbeauftragter Art. 39 Abs. 1 lit. a DS-GVO Art. 5 Abs. 2 DS-GVO Art. 38 Abs. 3 DS-GVO Art. 38 Abs. 2 und 3 DS-GVO Art. 39 Abs. 1 lit. b DS-GVO Informationssicherheitsbeauftragter ISMS.1.A12 Management-Berichte zur Informationssicherheit ISMS.1.A4 Benennung eines Informationssicherheitsbeauftragten ISMS.1.A11 Aufrechterhaltung der Informationssicherheit ISMS.1.A14 Sensibilisierung zur Informationssicherheit

17 DS-GVO Die Einhaltung der Vorgaben der Rechenschaftspflicht nach Art. 5, 24 DS-GVO kann praktisch nur dann erfolgen, wenn das Managementsystem des Verantwortlichen auch hierauf ausgerichtet wird. Managementsystem IT-GS Ein angemessenes Sicherheitsniveau für alle Geschäftsprozesse, Informationen und IT- Systeme erfordert ein funktionierendes und in die Institution integriertes Sicherheitsmanagement. Konzeption Sicherheitskonzept Rechenschaftspflicht Sicherheit der Verarbeitung Umsetzung Sicherheitsmaßnahmen Technische und organisatorische Maßnahmen Überprüfung Regelmäßige Audits Überprüfung und Aktualisierung der Maßnahmen

18 DS-GVO Verordnung (EU) 2016/679 Beziehungs- Check-Up IT-Grundschutz Das erste Treffen Ziele und Rechtsnatur Passen wir zusammen? Prozesse, Aufgaben, Verantwortung Der gemeinsame Alltag Aus Zwei mach Eins?

19 Der gemeinsame Alltag Aus Zwei mach Eins?

ergänzen Risikoanalyse des IT-GS um Datenschutzaspekte

20 DS-GVO + IT-GS = IMS Eingerichtetes ISMS (BSI-Standards bis 3) Managementprozesse um Datenschutzaspekte ergänzen Risikoanalyse des IT-GS um Datenschutzaspekte erweitern Sicherheitskonzept zur Erfüllung der Rechenschaftspflicht nutzen

21 Rationalisierung der Managementprozesse Organisation Berichtswesen Einbindung der Mitarbeiter Überwachung und Verbesserung ISMS.1.A4: Benennung eines ISB/IT-SiBe Art. 37 DS-GVO: Benennung DSB arbeitsteiliges Vorgehen Höhepunkt der Synergie: Personalunion Statusbericht zur Informationssicherheit und zum Datenschutz Gemeinsame Vorfallbehandlung - ggf. meldepflichtig (z.b. Art. 33, 34 DS- GVO, ggf. 8b BSIG) Gemeinsame Schulungs- und Sensibilisierungsmaßnahmen Belehrungen, ggf. Verpflichtung zur Geheimhaltung/ Verschwiegenheit Gemeinsames Meldewesen Audits von Dienstleistern (Outsourcing + Auftragsverarbeitung) Wirksamkeitskontrollen Lenkung von Korrekturmaßnahmen

22 Sicherheitskonzept und Datenschutz 3. Modellierung DS-Management, Nichtverkettbarkeit, Transparenz, Intervenierbarkeit, Datensparsamkeit 6. Umsetzung = Umsetzung von Datenschutz 2. Schutzbedarfsfeststellung Vorprüfung DSFA (Art. 35 DS-GVO) 5. Risikoanalyse Risiken für die Betroffenen 1. Strukturanalyse Identifikation der Verarbeitungstätigkeiten 4. IT-Grundschutz-Check Datenschutz-Check

23 DS-GVO Verordnung (EU) 2016/679 Beziehungs- Check-Up IT-Grundschutz Das erste Treffen Ziele und Rechtsnatur Passen wir zusammen? Prozesse, Aufgaben, Verantwortung Der gemeinsame Alltag Aus Zwei mach Eins?

24 DS-GVO IT-GS

25 DS-GVO und IT-Grundschutz Traumhochzeit oder Rosenkrieg? Bildnachweis: flowers _1920.jpg heartbreak _1920.jpg Robert Krelle Ministerium für Landwirtschaft und Umwelt Mecklenburg-Vorpommern Lizenz: CC0 Creative Commons

Ähnliche Dokumente

Datenschutz und Informationssicherheit

Niedersächsischer CyberSicherheitstag 2018 Fachforum 5 Datenschutz und Informationssicherheit Axel Köhler Informationssicherheitsbeauftragter der Landesverwaltung Einheitliches Managementsystem für Informationssicherheit