: Prof. Dr. Markus Schäffter Hochschule Ulm Hochschule Ulm, 2019
Datenschutz und Informationssicherheit sind wie zwei Inseln Unterschiedliche Welten: Unterschiedliche Ziele Unterschiedliche Prinzipien Unterschiedliche Begriffe Informationssicherheit: Datenschutz: Hochschule Ulm, 2019 2
Datenschutz und Informationssicherheit sind wie zwei Inseln Unterschiedliche Welten: Unterschiedliche Ziele Unterschiedliche Prinzipien Unterschiedliche Begriffe Informationssicherheit: Werte: Systeme, Programme, Menschen, Daten, Datenschutz: Personenbezogene Daten: Daten von lebenden Menschen Hochschule Ulm, 2019 3
Datenschutz und Informationssicherheit sind wie zwei Inseln Unterschiedliche Welten: Unterschiedliche Ziele Unterschiedliche Prinzipien Unterschiedliche Begriffe Informationssicherheit: Best Practices Datenschutz: Datenschutz-Prinzipien Hochschule Ulm, 2019 4
Datenschutz und Informationssicherheit sind wie zwei Inseln Unterschiedliche Welten: Unterschiedliche Ziele Unterschiedliche Prinzipien Unterschiedliche Begriffe Informationssicherheit: Schutzbedarf, Gefährdungen Datenschutz: Persönlichkeitsrechte Hochschule Ulm, 2019 5
Datenschutz und Informationssicherheit sind wie zwei Inseln Unterschiedliche Welten: Unterschiedliche Ziele Unterschiedliche Prinzipien Unterschiedliche Begriffe Informationssicherheit: IT-Systeme, Anwendungen Datenschutz: Verarbeitungen Hochschule Ulm, 2019 6
Technischer Datenschutz: Datenschutz aus Sicht der Informationssicherheit Datenschutz: DSMS DSGVO. BDSG/LDSG + Spezifische Gesetze: SGB, TKG, KWG, LHG usw. Informationssicherheit: ISMS ISO 27001: Vorgehensweise, Zertifizierungsschema ISO 27002: Best Practice Katalog ISO 27003: ISMS für KMU Hochschule Ulm, 2019 7
Technischer Datenschutz: Datenschutz aus Sicht der Informationssicherheit Datenschutzprinzipien: Lizenzierungsprinzip Zweckbindung Datensparsamkeit Speicherbegrenzung Rechenschaftspflicht Datenschutz: DSMS DSGVO. BDSG/LDSG + Spezifische Gesetze: SGB, TKG, KWG, LHG usw. Informationssicherheit: ISMS ISO 27001: Vorgehensweise, Zertifizierungsschema ISO 27002: Best Practice Katalog ISO 27003: ISMS für KMU Hochschule Ulm, 2019 8
Technischer Datenschutz: Datenschutz aus Sicht der Informationssicherheit Datenschutz: DSGVO. BDSG/LDSG + Spezifische Gesetze: SGB, TKG, KWG, LHG usw. In der Informationssicherheit bestehen viele Erfahrungen hinsichtlich Planung und Umsetzung von ISMS Datenschutzprinzipien: Lizenzierungsprinzip Zweckbindung Datensparsamkeit Speicherbegrenzung Rechenschaftspflicht Das Datenschutzrecht lässt viele Fragen hinsichtlich der praktischen Umsetzung von DSMS offen! Informationssicherheit: ISO 27001: Vorgehensweise, Zertifizierungsschema ISO 27002: Best Practice Katalog ISO 27003: ISMS für KMU Hochschule Ulm, 2019 9
Das Datenschutzrecht lässt viele Fragen hinsichtlich der Umsetzung offen: 1. Gestaltung der Governance-Struktur Muss- und Kann-Aufgaben im Datenschutz, Verantwortlichkeiten, Zuständigkeiten 2. Ausgestaltung eines Datenschutz-Managementsystems Welche Leitlinien, Verfahren, Richtlinien und Ressourcen sind erforderlich? 3. Durchführung von Risikoanalysen Wie misst man Risiken für die Persönlichkeitsrechte der Betroffenen? Wie wird eine Datenschutz-Folgenabschätzung durchgeführt? 4. Auswahl und Umsetzung technisch-organisatorischer Schutzmaßnahmen Welche Maßnahmen sind Stand der Technik? Hochschule Ulm, 2019 10
Berührungspunkte: Informationssicherheit und Technischer Datenschutz Informationssicherheit Datenschutz Hochschule Ulm, 2019 11
Berührungspunkte: Informationssicherheit und Technischer Datenschutz Informationssicherheit Datenschutz-Compliance ISO 29100 (Privacy Framework) ISO 29151 (Code of Practice for PII) ISO 31000 (Risk Management) BSI Baustein 1.5 (Datenschutz) Datenschutz Technischer Datenschutz: Art. 24 DSGVO (Schutzmaßnahmen) Art. 32 DSGVO (TOM) Art. 5 (2) DSGVO (Rechenschaftspflicht) Hochschule Ulm, 2019 12
Beispiele für Synergien zwischen IS und DS 1. Leitlinien für IS und DS mit Managementauftrag zum Aufbau entspr. Managementsysteme 2. Aufbau einer entspr. Organisation, geführt durch Stabsstelle 3. Übergreifende Risikoanalyse zur Auswahl wirksamer und angemessener Schutzmaßnahmen Betrachten wir 1. und 2. genauer! Hochschule Ulm, 2019 13
Beispiel #1: Leitlinien als Managementauftrag: 1. Delegation von Verantwortung Informationssicherheit (ISO 27001) A.5.1.1 (Informationssicherheitsrichtlinien) Ein Satz Informationssicherheitsrichtlinien ist festgelegt, von der Leitung genehmigt, herausgegeben und den Beschäftigten sowie relevanten externen Parteien bekanntgemacht. A.5.1.2 (Überprüfung der Richtlinien) Die Informationssicherheitsrichtlinien werden in geplanten Abständen oder jeweils nach erheblichen Änderungen überprüft, um sicherzustellen, dass sie nach wie vor geeignet, angemessen und wirksam sind. Datenschutz Art. 24 DSGVO (Verantwortung) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen [TOM] um[ ]. Art. 5 (2) DSGVO (Rechenschaftspflicht) Der Verantwortliche ist für die Einhaltung [der Datenschutz-Grundsätze] verantwortlich und muss dessen Einhaltung nachweisen können. Hochschule Ulm, 2019 14
Beispiel #1: Leitlinien mit Managementauftrag: 2. Inhalt des Managementauftrags Informationssicherheit ISO 27002 / A.5.1.1: Inhalt der Leitlinie Die Informationssicherheitspolitik sollte Aussagen enthalten über: a) Def. Informationssicherheit, Ziele und Grundsätze; b) Zuordnung von Verantwortlichkeiten zu Rollen; c) Prozesse für den Umgang mit Abweichungen und Ausnahmen. Datenschutz [Schäffter2017]: Inhalt angelehnt an ISMS Beschreibung des Stellenwerts des Datenschutzes in der verantw. Stelle Zielstellung des Datenschutzes (Compliance vs. Wettbewerbsvorteil) Verankern der Datenschutzprinzipien Verteilung der Verantwortlichkeiten Einbettung der DS-Organisation in die Aufbau- & Ablauforganisation Vergabe konkreter Kompetenzen Umgang mit Verstößen Verpflichtung zur Dokumentation (Quelle: Schäffter, Datenschutzmanagement 2.0) Hochschule Ulm, 2019 15
Beispiel #2: Organisation als Stabsstelle: 1. Kompetenzen der Beauftragten für IS / DS Informationssicherheit Aufklären, ermitteln, Feuer löschen - alles möglichst unbemerkt. Der CISO ist Prediger, Geheimagent und Notarzt in einem. (Simon Hülsbömer, Computerwoche, 3.6.2008) Der CISO: Aufklärer, Polizist und Bergführer in Personalunion. (Jürgen Mauerer, Computerwoche, 10.5.2016) Datenschutz Fachkenntnisse von Datenschutzbeauftragten: Datenschutzrecht, IT-Strukturen, IT-Sicherheit, Betriebswirtschaftliche Prozesse, Managementsysteme, Risikoanalysen, Auditund Prüfverfahren, Beratungskompetenz, persönliche Integrität, Durchsetzungsvermögen, Überzeugungsfähigkeit (Berufliches Leitbild, BvD 2016) Hochschule Ulm, 2019 16
Beispiel #2: Organisation als Stabsstelle: 2. Rechtliche Verankerung Informationssicherheit Der CISO ist den deutschen Gesetzen gänzlich unbekannt. Ernennung liegt im Ermessen der GL. (Stephan Schmidt, Fachanwalt für IT-Recht, 9.11.2012) Datenschutz Art. 38 DSGVO, 38 BDSG neu Öffentliche Stellen benennen auf jeden Fall eine/n behördlichen DSB Nicht-öffentliche Stellen In D: ab 10 Beschäftigten, die regelmäßig pb Daten verarbeiten. In der EU: bei regelmäßiger und systematischer Überwachung von Personen, bei Verarbeitung sensibler Daten (u.a. Gesundheitsdaten). Hochschule Ulm, 2019 17
Beispiel #2: Organisation als Stabsstelle Informationssicherheit ITSB i.d.r. Stabsstelle mit ausschließlich beratender Funktion und Berichtspflicht an GL. Wenn als CISO Mitglied der GL, dann mit Weisungsbefugnissen, Verantwortung und Haftung! Streitfragen sind: Zeitaufwand & Budget! (Stephan Schmidt, Fachanwalt für IT-Recht, 9.11.2012) Datenschutz Art. 38 DSGVO (Stellung DSB) Weisungsfreiheit in der Tätigkeit als DSB DSB berichtet unmittelbar an höchste Mgmt- Ebene (=Stabsstelle) Ausstattung mit allen erforderlichen Ressourcen (Streitfragen Zeit & Budget!) Hochschule Ulm, 2019 18
Beispiel #2: Organisation als Stabsstelle: 3. Aufgaben der Beauftragten Informationssicherheit M2.193 BSI-GSK Steuert den IT-Sicherheitsprozess Unterstützt die GL bei Erstellung der ITS- Leitlinie Erstellt das IT-SiKo, erlässt RiLi Überprüft Umsetzung der IS Führt das IS-Mgmt-Team (vgl. auch BSI 200-2, Abschnitt 4.5) Koordiniert IS-relevante Projekte Umsetzung: In jedem Bereich & jedem Projekt ein/e IS-Beauftragte/r! Datenschutz Art. 39 DSGVO (Aufgaben DSB) Unterrichtet, berät alle Ebenen der Org. Überwacht die DS-Compliance Zusammenarbeit mit Aufsicht Ist Anlaufstelle für Anfragen Betroffener Hinzu kommen optionale (insbesondere operationelle) Aufgaben. Hochschule Ulm, 2019 19
Gegen ein integriertes Managementsystem spricht der Dualismus von Informationssicherheit und Datenschutz Informationssicherheit: ISO 29151, 6.1.3 (Aufgabentrennung) Datenschutz: Art. 38 DSGVO (Ausschluss von Interessenskonflikten) Hochschule Ulm, 2019 20
Dualismus von Informationssicherheit IS-Beauftragte/r sorgt für ITS-Compliance: i.a. weisungsgebunden, interessiert an hoher Kontrollfähigkeit: protokollieren & auswerten Interessiert an Data Mining: Intrusion Detection, Data Leakage Detection Interessiert an Datenspeicherung: IT-Forensik-Readiness, Datenschutz DSB hinterfragt DS-Compliance nach DSGVO fachlich weisungsfrei mit Blick auf die Persönlichkeitsrechte, als Advokat der der Betroffenen, Hochschule Ulm, 2019 21
Dualismus von Informationssicherheit IS-Beauftragte/r sorgt für ITS-Compliance: i.a. weisungsgebunden, interessiert an hoher Kontrollfähigkeit: protokollieren & auswerten Interessiert an Data Mining: Intrusion Detection, Data Leakage Detection Interessiert an Datenspeicherung: IT-Forensik-Readiness, Fazit: Datenschutz DSB hinterfragt DS-Compliance nach DSGVO fachlich weisungsfrei mit Blick auf die Persönlichkeitsrechte, als Advokat der der Betroffenen, Die Aufgaben beider Beauftragten stehen im Widerspruch zueinander! Sie müssen als Sparringpartner Kompromisse finden! Hochschule Ulm, 2019 22
Dualismus von Konfliktfelder nach Ann Cavoukian: Effiziente Kontrolle vs. Schutz der Privatsphäre Protokollierung und Überwachung müssen datenschutzkonform erfolgen Usability vs. Schutz der Privatsphäre Die Personalisierung von Diensten muss das Recht auf informationelle Selbstbestimmung achten! Gewinnspanne und Marktanteil vs. Schutz der Privatsphäre Neue Technologien erfordern eine Technik-Folgenabschätzung! Data Mining / Big Data vs. Schutz der Privatsphäre Eine Datenvorratshaltung widerspricht essentiellen Datenschutz-Prinzipien! Hochschule Ulm, 2019 23
Allgemeiner Lösungsansatz: Planen, steuern, Richtlinien erstellen Umsetzung Hochschule Ulm, 2019 24
Umsetzung an der Hochschule Ulm Hochschule Ulm, 2019 Hochschule Ulm, 2019 Hochschule Ulm, 2019 25
Umsetzung an der Hochschule Ulm Informationssicherheit Verantwortung durch Prorektor/in (festgelegt in LHG BW) CISO: Professorale Leitung (4 SWS) Tätigkeitsbeschreibung nach Vorlage des BSI, vgl. M2.193 Datenschutz Verantwortung durch Rektor/in (festgelegt in DSGVO, LDSG BW) bdsb: Professorale Leitung (4 SWS) Tätigkeitsbeschreibung nach Art. 39 DSGVO Hochschule Ulm, 2019 26
Umsetzung an der Hochschule Ulm Informationssicherheit Verantwortung durch Prorektor/in (festgelegt in LHG BW) CISO: Professorale Leitung (4 SWS) Tätigkeitsbeschreibung nach Vorlage des BSI, vgl. M2.193 Datenschutz Verantwortung durch Rektor/in (festgelegt in DSGVO, LDSG BW) bdsb: Professorale Leitung (4 SWS) Tätigkeitsbeschreibung nach Art. 39 DSGVO Gemeinsamkeiten Keine Zeit (3 Zeitstunden pro Woche, d.h. ca. 8% einer Vollzeitstelle) Kein Budget (<1T p.a.) Fokus auf Steuerung, Beratung und Kontrolle Hochschule Ulm, 2019 27
Umsetzung an der Hochschule Ulm Informationssicherheit Leitlinie zum ISMS in Anlehnung an BSI Aufbau eines IS-Mgmt-Team in Anlehnung an BSI 200-2 (gefordert durch VwV InfoSich BW). Datenschutz Leitlinie in Anlehnung an [Schäffter2018] Teilnahme am IS-Mgmt-Team, wannimmer dies erforderlich ist Hochschule Ulm, 2019 28
Umsetzung an der Hochschule Ulm Informationssicherheit Leitlinie zum ISMS in Anlehnung an BSI Aufbau eines IS-Mgmt-Team in Anlehnung an BSI 200-2 (gefordert durch VwV InfoSich BW). Datenschutz Leitlinie in Anlehnung an [Schäffter2018] Teilnahme am IS-Mgmt-Team wenn erforderlich Gemeinsamkeiten Leitlinie als Managementauftrag vorhanden Fokus auf Steuerungsaufgaben Operationelle Umsetzung an Fachebene delegiert Hochschule Ulm, 2019 29
Umsetzung an der Hochschule Ulm Informationssicherheit Datenschutz Gemeinsamkeiten Operationelle Umsetzung der Anforderungen in IS und DS auf der Fachebene Schaffung von Verfahrungsverantwortlichen in Verwaltung, IT-Betrieb, Fakultäten, Instituten, Laboren und in den Forschungsgruppen Festlegen der Tätigkeitsbeschreibungen Überzeugen und schulen der Verfahrensverantwortlichen Hochschule Ulm, 2019 30
Herzlichen Dank für Ihre Aufmerksamkeit Kontakt: Prof. Dr. Markus Schäffter Hochschule Ulm www.hs-ulm.de/schaeffter schaeffter@hs-ulm.de Dokumentation zum Nachlesen Systematische Ableitung eines DSMS auf Basis von ISO 27000 / 29100 mit vielen Checklisten und Vorlagen u.a. für Verfahrensverzeichnis, Richtlinien und Vertragsergänzungen. (Schäffter2017) Praktische Umsetzung eines DSMS für KMU und Hochschulen mit vielen Checklisten und konkreten Vorlagen. (Schäffter2018) Hochschule Ulm, 2019