Datenschutzaudit nach BSI Grundschutz

Transkript

1 Datenschutzaudit nach BSI Grundschutz 1. Auflage Datakontext Frechen 2011 Verlag C.H. Beck im Internet: ISBN Zu Inhaltsverzeichnis schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG

2 Vorbemerkung 1 Ziel eines Audits ist es, eine zutreffende Einschätzung eines Istzustandes zu erhalten. Hierdurch erst ergibt sich die Möglichkeit, den Unterschied zwischen IST und SOLL zu bestimmen. Nur wenn über den Abstand von IST und SOLL Klarheit herrscht, besteht die Möglichkeit, gezielte Maßnahmen zu ergreifen, um den Sollzustand zu erreichen. Der im vorliegenden Audit verwendete Sollzustand ist der BSI- Grundschutz. Diese von einer Arbeitsgruppe der Landesaufsichtsbehörden erarbeitete Norm stellt eine Herausforderung für jede Datenschutzorganisation dar, so dass bei der erstmaligen und sachgemäßen Anwendung des Audits von einem deutlichen Abstand von Soll und Ist auszugehen ist. Das vorliegende Verfahren soll es dem Datenschutzbeauftragten auch ohne spezielle Vorkenntnisse bzgl. Auditierung ermöglichen, den Standort seiner Datenschutzorganisation zu finden, um darauf aufbauend ein strategisches Datenschutzmanagement zu gestalten, das Schritt für Schritt zu einem Zustand führt, der auch einer Beurteilung durch einen externen Auditor oder eine Aufsichtsbehörde standhalten kann. Auf dem Weg dorthin misst das Tool die Fortschritte und hilft dabei, die erforderlichen Schritte systematisch aufeinander abzustimmen. Das Verfahren beruht darauf, dass insgesamt 15 Maßnahmen durchzuarbeiten sind. Der Begriff»Maßnahme«erscheint zunächst fragwürdig, weil Maßnahmen üblicherweise erst am Ende einer 7

3 Vorbemerkung Auditierung stehen, wenn feststeht, was zu tun ist. Der Begriff ist hier so zu verstehen, dass diese 15 Maßnahmen, wenn sie alle als umgesetzt gelten können, dazu geeignet sind, BSI-Grundschutzniveau zu erzielen. Um feststellen zu können, ob eine Maßnahme als umgesetzt gelten kann, werden Kontrollfragen gestellt. Von deren Beantwortung hängt die Aussagefähigkeit des Audits ab. Deshalb werden in der nachfolgenden Erläuterung der Maßnahmen Hinweise darauf gegeben, wann eine Kontrollfrage mit»ja«beantwortet werden kann. Es wird dringend empfohlen, diese Hinweise zu beachten, wenn das Audit seine Funktion erfüllen soll. Bei jeder Kontrollfrage sollte vermerkt werden, warum sie mit»ja«oder»nein«beantwortet wurde. Eine Frage ist grundsätzlich immer nur dann mit»ja«zu beantworten, wenn sie tatsächlich voll erfüllt ist. Die Gefahr besteht darin, dass der Anwender, um das Ergebnis erträglicher zu gestalten, ein Kriterium schon dann als erfüllt ansieht, wenn die Anforderungen teilweise erfüllt sind, das Audit wird also»weichgespült«. Für die Aussagefähigkeit des Audits ist es allerdings besser, zunächst die Kontrollfrage mit»nein«zu beantworten und das To Do zu beschreiben und zu terminieren, das erforderlich ist, um eine hundertprozentige Umsetzung der Maßnahmen zu erzielen. 8

4 Das Gefährdungspotential 2 Ein Audit auf der Grundlage des BSI-Grundschutzes hat grundsätzlich das Ziel, die Gefährdungslage im vorliegenden Fall auf dem Gebiet des Datenschutzes zu ermitteln. Diese Gefährdungslage besteht gemäß Baustein 1.5 aus 13 Gefährdungen (B 1.5, Seite 4). Diese Gefährdungen sind wiederum mit 15 Maßnahmen verknüpft, die unterschiedlich auf die Gefährdungen wirken. Grundsätzlich kann man sagen, dass, wenn alle Maßnahmen vollständig erfüllt und praktisch umgesetzt sind, das Gefährdungspotential gleich null ist, das vom Datenschutz ausgeht. In der Praxis besteht allerdings das Problem, dass die Gefährdungslage irgendwo zwischen 0 und 100 Prozent angesiedelt sein dürfte. Im Baustein 1.5 ist sogar eine Tabelle vorhanden, die die Verknüpfung von Maßnahmen darstellt. Dort, wo eine Maßnahme auf eine Gefährdung wirkt, ist dies mit einem»x«gekennzeichnet. Hierbei handelt es sich durchaus um eine wichtige Information, jedoch hilft sie nicht bei der Quantifizierung des aktuellen Gefährdungspotentials. Das vorliegende Tool schließt diese Lücke, indem die Verknüpfungen zwischen Maßnahmen und Gefährdungen quantifiziert werden. Die Werte, die in diesem Tool verwendet werden, wurden aus einer Vielzahl von Audits abgeleitet und haben sich in der Praxis bewährt. Der Nutzer hat keine Möglichkeit, diese Koeffizienten zu ändern. Der Grund hierfür ist, dass ansonsten die Vergleichbarkeit der Audits nicht mehr gewährleistet ist. 9

5 Das Gefährdungspotential Die einzelnen Gefährdungen sind im Baustein 1.5 ausführlich beschrieben, so dass hier auf eine gesonderte Darstellung verzichtet werden kann. 10

6 Die Maßnahmen Datenschutzmanagement (M 7.01) Grundsätzliches Das Datenschutzmanagement soll gewährleisten, dass im Unternehmen personenbezogene Daten nur auf einer zulässigen Rechtsgrundlage erhoben, verarbeitet und genutzt werden. Hierzu sind Datenschutzprozesse zu installieren, die die Umsetzung der gesetzlichen Anforderung des Datenschutzes bei der Planung, Einrichtung, dem Betrieb und nach Außerbetriebnahme von Verfahren zur Informationsverarbeitung sicherzustellen haben. Dem Datenschutzmanagement kommt hierbei die Aufgabe zu, die Strukturen zu schaffen, die zur Umsetzung der grundsätzlichen Anforderung erforderlich sind. Das vorliegende Konzept geht von einem vom IT-Sicherheitsprozess unabhängigen Datenschutzmanagement aus. Das vorliegende Audit ist Kernstück des Datenschutzmanagements. Das Audit dient einerseits zur Standortbestimmung und andererseits zu kontinuierlichen Weiterentwicklung der Datenschutzorganisation. Ausgangspunkt für den Aufbau und die Gestaltung ist eine Datenschutzrichtlinie, auch Datenschutzpolicy genannt. In dieser Richtlinie verpflichtet sich das Unternehmen auf die Parameter einer rechtskonformen Datenschutzorganisation. Diese Richtlinie ist deshalb von der Geschäftsleitung formell zu verabschieden und für das Unternehmen verbindlich in Kraft zu setzen. Ebenso sollte die 11

7 Die Maßnahmen Datenschutzrichtlinie die Grundstrukturen der Datenschutzorganisation festlegen. Diese Datenschutzorganisation hat sich an den besonderen Gegebenheiten des Unternehmens auszurichten. Damit das Datenschutzmanagement zuverlässig funktionieren kann, sollte in der Datenschutzrichtlinie ebenfalls vermerkt sein, dass das Unternehmen sich nach den Regeln des BSI-Grundschutzes auditieren lässt und laufend Maßnahmen ergreift, um ein akzeptables BSI- Grundschutzniveau zu erreichen Kontrollfragen 1. Gibt es eine Unternehmensrichtlinie Datenschutz? Hierbei handelt es sich um eine von der Geschäftsführung in Kraft gesetzte und für alle Mitarbeiter, Führungskräfte und ggf. Tochtergesellschaften verbindliche Unternehmensrichtlinie. Folgende Punkte sollte eine solche Richtlinie grundsätzlich regeln: Ziel der Richtlinie Schutzbedarf der betriebliche Datenschutzbeauftragte Verpflichtung/Unterrichtung der Mitarbeiter das Meldewesen an den Datenschutzbeauftragten zur Führung des Verfahrensverzeichnis externe Dienstleister/Datenverarbeitung im Auftrag/Wartung Datenschutzkontrolle ergänzende Regelungen grundsätzliche Anmerkungen zur Datenschutzorganisation Hinweise auf das Datenschutzkonzept (Details siehe M 7.03) Die Frage kann mit»ja«beantwortet werden, wenn eine Policy gemäß den oben angeführten Kriterien vorgelegt werden kann. 12

8 Regelung der Verantwortlichkeiten im Bereich Datenschutz (M 7.02) 2. Besteht ein formelles Datenschutzmanagement? Das Datenschutzmanagement hat insbesondere Zuständigkeiten in der konkreten Datenschutzorganisation und die Zusammenarbeit mit anderen Stellen im Haus, die in Datenschutzprozesse eingebunden sind, wie IT-Sicherheit, Revision usw. festzulegen. Es regelt die Personalkapazitäten, die den Datenschutzbeauftragten unterstützen sollen, und deren fachliche und disziplinarische Zusammenarbeit. Das Datenschutzmanagement muss nachweisen können, dass es die Kernanforderung an ein Datenschutzmanagement gewährleistet, nämlich die rechtzeitige Einbindung des Datenschutzbeauftragten in alle datenschutzrelevanten neuen Vorhaben bzw. Änderungen in bestehenden Prozessen, in denen personenbezogene Daten verwendet werden. Die Frage kann mit»ja«beantwortet werden, wenn eine unternehmensweit verbindliche Regelung der Zuständigkeiten und der Ansprechpartner vorhanden ist. Der hierzu erforderliche Beschluss der Geschäftsleitung sollte ebenfalls vorgelegt werden können. 3.2 Regelung der Verantwortlichkeiten im Bereich Datenschutz (M 7.02) Grundsätzliches Die Gewährleistung der Datenschutzanforderungen ist für alle Verfahren, mit deren Hilfe personenbezogene Daten verarbeitet werden, von grundlegender Bedeutung. Aus Sicht des Risikomanagements stellt der Datenschutz, von Branche zu Branche unterschiedlich, insbesondere im speziellen Fall des Reputationsrisikos ein hoch bewertetes Risiko dar. 13

9 Die Maßnahmen Die Aspekte des Datenschutzes sind daher risikoorientiert vor allem rechtzeitig in den relevanten Geschäftsprozessen zu berücksichtigen. Der Datenschutzbeauftragte trägt in diesem Zusammenhang eine besondere Verantwortung. Er berät als oberster Risikomanager im Bereich Datenschutz nach dem Prinzip der Verhältnismäßigkeit das Management hinsichtlich des Aufbaus und der Aufrechterhaltung eines angemessenen Datenschutzniveaus. Er kontrolliert zusammen mit anderen zuständigen Kontrollinstanzen (z.b. Revision) die Einhaltung der datenschutzrechtlichen Anforderungen einerseits und die Umsetzung der im Unternehmen gültigen Datenschutzrichtlinien andererseits. Dabei gehört es zu den anspruchsvollsten Aufgaben des Datenschutzbeauftragten, der Geschäftsleitung ein dem Unternehmen angemessenes Datenschutzmanagement vorzuschlagen. Um hierzu die Grundlage zu bilden, ist zunächst das hier beschriebene Audit durch den Datenschutzbeauftragten sorgfältig durchzuführen. Das Ergebnis des Audits ist eine quantitative Standortbestimmung des Datenschutzniveaus. Aus diesem Ergebnis sind die erforderlichen Maßnahmen abzuleiten, die strategisch zu einem angemessenen Niveau führen. Aus diesen Maßnahmen kann auch der erforderliche Personal- und Mittelbedarf abgeleitet werden, um sowohl bestehende Mängel möglichst schnell zu beheben als auch die zukünftige dem BSI-Grundschutz entsprechende Datenschutzorganisation auf diesem Niveau aufrechtzuerhalten. Hierbei ist er durch die Bereitstellung von Personal und Sachmitteln zu unterstützen. Die Verantwortlichkeiten sind in der Datenschutzpolicy bzw. dem Datenschutzkonzept konkret zu beschreiben und im laufenden Betrieb aktuell und wirksam zu gestalten. Die Aufgaben des Datenschutzbeauftragten und die erforderlichen organisatorischen Rahmenbedingungen sind im Kapitel 1.5 des BSI- 14

10 Regelung der Verantwortlichkeiten im Bereich Datenschutz (M 7.02) Grundschutzes ausführlich beschrieben, insofern wird zur weiteren Vertiefung hierauf verwiesen Kontrollfragen 1. Ist ein betrieblicher Datenschutzbeauftragter ordnungsgemäß bestellt? Die Bestellung hat schriftlich zu erfolgen. Die Bestellung selbst ist eine Urkunde, die auch vom DSB als Zeichen seines Einverständnisses mit der Bestellung gegengezeichnet werden sollte. Die unabhängige und organisatorisch herausgehobene Stellung ist für eine wirkungsvolle Tätigkeit des DSB von ausschlaggebender Bedeutung. Er darf bei der Wahrnehmung seiner Aufgaben nicht den Weisungen der Organisationseinheiten unterliegen, die er zu kontrollieren hat. In seiner Funktion als DSB sollte er der Geschäftsleitung zugeordnet sein. Dies ist im Organigramm für alle Mitarbeiter erkennbar darzustellen. Eine Bestellung zum Datenschutzbeauftragten sollte folgende formalen Kriterien erfüllen: Hinweis auf 4f BDSG Beschreibung der direkte Anbindung des DSB an die Geschäftsleitung Bekräftigung Weisungsfreiheit Zusicherung Unterstützung durch die Geschäftsleitung Darstellung der Aufgaben; auch derjenigen, die über die gesetzlichen Aufgaben hinausgehen Zusicherung der rechtzeitigen Information über neue Vorhaben der Geschäftsleitung Zusicherung der Geschäftsleitung, die erforderlichen Meldungen an das Verfahrensverzeichnis zu gewährleisten 15

11 Die Maßnahmen Hinweis auf das Zeit- und Mittelbudget Gegenzeichnung des Datenschutzbeauftragten Die Frage kann mit»ja«beantwortet werden, wenn eine Bestellung mit den oben aufgeführten Kriterien vorgelegt werden kann. 2. Hat der DSB eine den gesetzlichen Anforderungen entsprechende Fachkunde? Die Fachkunde richtet sich nach den Erfordernissen des Betriebes, in dem der DSB tätig ist. Die Anforderungen sind umso höher, je mehr personenbezogene Daten in den Kernprozessen verarbeitet werden. Der Nachweis der Fachkunde kann über Schulungs- und Informationsseminare und die Beteiligung an ERFA-Kreisen erfolgen. Die Beantwortung dieser Frage macht oft Probleme, insbesondere dann, wenn der Datenschutzbeauftragte dieses Audit selbst durchführt. Wichtig ist eine den Anforderungen entsprechende Grundausbildung, wie sie z.b. durch die GDD angeboten wird. Fehlt eine solche Grundausbildung, sollte diese nachgeholt werden bzw. eine Zertifizierung der Fachkunde angestrebt werden (GDD Cert), um noch mögliche Defizite zu erkennen. Eine solche Zertifizierung erleichtert den Nachweis der Fachkunde erheblich. 3. Stehen der Datenschutzorganisation genügend Zeit und Mittel zur Verfügung? Auch diese Frage verlangt vom Auditor viel Fingerspitzengefühl. Als grobe Faustregel kann gelten, dass ein Datenschutzbeauftragter ab Mitarbeitern, die für ein Unternehmen tätig sind, dessen Kundenstamm im Wesentlich aus natürlichen Personen besteht, zu 100 Prozent als Datenschutzbeauftragter tätig sein sollte. Hilfreich ist hier die Kenntnis über die personelle Ausgestaltung der Daten- 16

12 Aspekte eines Datenschutzkonzepts (M 7.03) schutzorganisation in vergleichbaren Unternehmen. Über diese Kenntnisse sollte der Datenschutzbeauftragte selbst aufgrund der Teilnahme an ERFA-Kreisen verfügen. Weiterhin müssen dem DSB genügend Mittel zur Verfügung stehen, um eine den Anforderungen des BSI-Grundschutzes entsprechende Datenschutzorganisation auszufüllen. In diesem Zusammenhang ist auch die laufende Fortbildung durch die Teilnahme an ERFA-Kreisen und Spezialseminaren zum Datenschutz zu gewährleisten. 3.3 Aspekte eines Datenschutzkonzepts (M 7.03) Grundsätzliches Ein Datenschutzkonzept sollte in Form einer Dienstanweisung unterhalb der Datenschutzpolicy regeln, welche konkreten Vorgehensweisen beim Umgang mit personenbezogenen Daten einzuhalten sind. Wichtig ist, dass die Punkte geregelt sind; sie müssen nicht in einem in sich geschlossenen Schriftstück niedergelegt sein, sondern können sich durchaus auf mehrere Einzelregelungen verteilen. Beurteilen Sie auch den Verbindlichkeitswert von bestehenden Regelungen. Ein Datenschutzkonzept sollte folgende Punkte verbindlich regeln: konkrete Ausgestaltung der Datenschutzorganisation Aufgaben des Datenschutzbeauftragten in dem durch die Bestellung abgedeckten Bereich Regelungen zur Verpflichtung und Unterrichtung der Mitarbeiter Gestaltung und Meldeverfahren des Verfahrensverzeichnis konkrete Einbindung des DSB in Übergabe- und Änderungsprozesse von Verfahren 17