Aufrufe
vor 2 Jahren

die bank 06 // 2021

  • Text
  • Deutschen
  • Zentralbanken
  • Hinaus
  • Digitalen
  • Befragten
  • Digitale
  • Markt
  • Spacs
  • Banken
  • Unternehmen
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

MANAGEMENT

MANAGEMENT MANAGEMENTSYSTEME FÜR INFORMATIONSSICHERHEIT UND DATENSCHUTZ – TEIL 2 Kein guter Datenschutz ohne geeignete Datensicherheit Nachdem der Autor in der ersten Folge einen praktischen Weg zu einem ISMS (Informationssicherheits-Managementsystem) vorgestellt hat, folgt nun der Weg zu einem DSMS (Datenschutz-Managementsystem). Anders als beim ISMS mit dem ISO-Standard 27001 führt der Weg zu einem DSMS nicht über den speziell für die DSGVO erstellten ISO-Standard 27701, sondern ebenfalls über den 27001-Standard unter Beachtung der DSGVO. Auch ein DSMS wird über drei Stufen aufgebaut, ist aber noch nicht zertifizierungsfähig. 38 06 // 2021

MANAGEMENT Datenschutz und Informationssicherheit sind zwei Seiten einer Medaille; ohne gute Datensicherheit ist guter Datenschutz nicht möglich. Das Scharnier zwischen beiden sind die technisch-organisatorischen Maßnahmen (TOM) aus Artikel 32 DSGVO. Der Weg vom 27001 zum 27701 führt in eine Sackgasse Die Beschreibung, Entwicklung und Zertifizierung eines ISMS durch den ISO-Standard 27001 ist gut bekannt und bewährt. Vordergründig lag es für die ISO auf der Hand, diesen Standard zu einem ISO-Standard für Datenschutz weiterzuentwickeln, das Ergebnis ist der ISO-Standard 27701. Bei genauerer Betrachtung ist das aber nicht der beste Weg zu einem DSMS. Der 27001-Standard erfuhr während seiner Entwicklungsphase 47 Änderungen. Diese können über insgesamt 20 Artefakte der Informationssicherheit und neun Artefakte des Datenschutzes umgesetzt werden. Da ISO-27001 ein Standard für Informationssicherheit ist, der von Informations-/IT- Sicherheitsexperten entwickelt wurde, passt er nicht „linear“ auf den Bereich Datenschutz. Diese „Nicht-Linearität“ erklärt auch das „Anflanschen“ der zwei Anhänge an den ISO 27701-Standard zur Integration der DSGVO. Die Anhänge – einer für Verantwortliche, einer für Auftragsverarbeiter – integrieren am Ende offenkundig noch rasch Sprache und Grundstrukturen der DSGVO in den ISO- 27001 Standard. Der 27701-Standard erzeugt Doppelarbeit durch das Erfordernis des Hineindenkens in einen neuen Aufbau anstatt des Denkens in den zwei wohlbekannten Denkräumen „ISMS gemäß 27001“ und „Datenschutz gemäß DS- GVO“. Das zeigt sich in den 29 Artefakten zur Erreichung der Anforderungen aus dem 27701-Standard in der Abbildung ÿ 1. Die 20 Informationssicherheits-Artefakte bilden den Großteil eines ISMS, die neun Datenschutz- Artefakte geben wesentliche Forderungen der DSGVO wieder. Warum also nicht besser beide Werke pur erfüllen, statt eine Quersumme aus beiden zu bilden, die beide Sphären nicht komplett ausfüllt? Den gleichen Gedankengang scheinen auch die Europäischen Akkreditierungsstellen zu gehen, denn eine Zertifizierung gemäß ISO-27701 ist im Gegensatz zu einer Zertifizierung gemäß ISO-27001 bisher nicht möglich. Das schlagende Argument „Pro 27001 plus DSGVO statt 27701“ ist auch die Frage, was eine Datenschutzaufsicht von einer Organisation erwartet: einen Bericht zur ISO 27701-Konformität oder eher ein Dokumentenkonvolut aus Verarbeitungsverzeichnis, Löschkonzept, TOM-Dokument und Auftragsverarbeitungsverträgen? Im Ergebnis kann gesagt werden, dass im Fall der Umsetzung eines DSMS gemäß 27701 mehr Zeit mit dem Mappen zwischen beiden ISO-Standards verbracht wird, als wenn ein ISMS gemäß 27001 aufgebaut und die DSGVO erfüllt wird. Letztere ist ohnehin gesetzlich vorgeschrieben. DSMS in drei Stufen Die erste Stufe eines DSMS setzt zur Erfüllung der Gesetzeskonformität die wesentlichen Forderungen aus der DSGVO um. Die zweite Stufe ist durch mehr Kontinuität und geplante Wiederholbarkeit in Form eines Management-Reviews und einer verbindlichen Datenschutz-Organisation gekennzeichnet. Die verbindliche Datenschutz-Organisation besteht aus den Kontrollfunktionen Datenschutz, Informationssicherheit und Legal sowie dem Management. Auf der dritten Stufe wird der Nachweis über ein funktionierendes Managementsystem im Datenschutz erbracht. Dies kann noch nicht in der Form einer ISO-Zertifizierung erfolgen, jedoch kann natürlich jede Organisation ihr DSMS durch ein Audit auch heute schon überprüfen lassen. Auch so kann eine positive Wirkung nach außen in Richtung Kunden, Investoren und Aufsicht sowie nach innen zur gesamten Belegschaft erzielt werden. Ein Wort zu den zehn Artefakten des Datenschutzes In der rechten Hälfte der Abbildung ÿ 2 findet man zehn Bausteine zur Umsetzung der DSGVO. Mit diesen Top-10-Artefakten er- 06 // 2021 39

die bank