Aufrufe
vor 2 Jahren

die bank 06 // 2021

  • Text
  • Deutschen
  • Zentralbanken
  • Hinaus
  • Digitalen
  • Befragten
  • Digitale
  • Markt
  • Spacs
  • Banken
  • Unternehmen
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

MANAGEMENT 1 |

MANAGEMENT 1 | Erweiterung des ISO-27001 Standards zum ISO-27701 Standard Transformation ISO 27001 zu ISO 27701 Umsetzung über Rettung der DSGVO ISO 27001 Änderungen ISO 27701 20 IS-Artefakte 9 DS-Artefakte HLS 7 HLS Risikomanagement SOA Verarbeitungsverzeichnis Datenschutzleitlinie Security Controls + 32 = Security Controls 4 Anhang 1 Mobile Device Policy Informationsklassifizierung ... Hinweise für Entwickler + Datenschutzbeauftragter DS-Schulung Löschkonzept Vertraulichkeitserklärung 4 Anhang 2 Dokumentenlenkung Hinweise für Entwickler Vendor ISMS Zertifikat Betroffenenrechtekonzept Interne Audits DSFA (bei Bedarf) » ISO 27701 ergänzt ISO 27001 um personenbezogene Daten und rettet die DSGVO in den Standard durch zwei Anhänge (für Verantwortliche und Auftragsverarbeiter) » Hoher Grad an Konformität kann erreicht werden durch die neun DS-Artefakte, die die obligatorische DSGVO-Implementierung spiegeln und die 20 IS-Artefakte, die ein Subset eines ISMS darstellen Die Frage ist auch, was eine Datenschutzaufsicht sehen möchte: einen Bericht zur ISO 27701 Konformität oder das Verarbeitungsverzeichnis, das Löschkonzept und die Vertragsarchitektur (AV oder gemeinsame Verantwortung), Melange? Quelle: CORE SE. hält eine Organisation ihren Basisschutz im Datenschutz. Verarbeitungsverzeichnis, Datenschutzleitlinie (Organisation) und Datenschutzrichtlinien (für Abteilungen, sofern notwendig), Löschkonzept, Datenschutz- Folgenabschätzung (DSFA) mit vorgesetzter Prüfung des Erfordernisses einer DSFA, die Zusammenstellung der TOM, das Betroffenenrechtekonzept (inklusive der Prozesse zur Vorgehensweise bei den verschiedenen Betroffenenrechtsanfragen) und das Auftragsverarbeitungskonzept (u. a. mit dem Prozess der Prüfung, ob es sich um eine Auftragsverarbeitung handelt und mit dem Muster des Auftragsverarbeitungsvertrags selbst) bilden das Policy-Konvolut. Die weiteren Artefakte des DSMS liegen in der Position des Datenschutzbeauftragten (DSB). Er muss schriftlich benannt und bei der zuständigen Landesdatenschutzaufsicht gemeldet sein; zu seinen Pflichten gehört u. a. auch die Anfertigung eines Jahresberichts. Die Datenschutzerklärungen (DSE) für das Gesicht der Organisation wie Webseite, Apps, Newsletter, Shop etc. müssen anlassbezogen angepasst und regelmäßig überprüft werden. Zu der DSE gehört auch das Consent Management Tool. Schlussendlich sollte die gesamte Belegschaft jährlich geschult werden, am besten in einer kombinierten Schulung zu den Bereichen Datenschutz und Informationssicherheit. Die Schulung muss namensscharf dokumentiert werden können. Zum Thema Schulung gehört auch die Verpflichtung auf die Vertraulichkeit aller Mitarbeitenden. Die DSGVO ist seit drei Jahren in Kraft, sodass alle Unternehmen gesetzeskonform agieren und somit die zehn genannten Artefakte verinnerlicht haben sollten. Eine eigene DSGVO-Verwaltungssoftware ist aus Erfahrung des Autors nicht notwendig und sogar kontraproduktiv, verleiht sie doch hier und da das trügerische Sicherheitsgefühl, DSGVO-konform zu sein, da ja ein Verarbeitungsverzeichnis per Software angelegt ist – aber leider nicht wieder angeschaut wird. Die reine Anzahl an Pflichtdokumenten und -prozessen aus der DSGVO heraus ist überschaubar klein genug, um sie manuell gut organisieren zu können. Es kommt bei einem Managementsystem auf die kontinuierliche Arbeit an, weniger auf dessen perfektes Verwaltungssystem. Vergleichen könnte man das Vorgehen mit einem Back-up: Bes- 40 06 // 2021

MANAGEMENT 2 | Drei-Stufen-Modell zum Aufbau eines DSMS Datenschutzreifegrad Top-10-Bausteine zur Umsetzung der DSGVO 1 DSB: Benennung, Jahresbericht DSMS Audit (ISO-Zertifizierung nicht möglich) » Außen- & Kundenwirkung » Nachweis DSGVO » Nachhaltige interne Verankerung 2 3 Datenschutzleitlinie/-richtlinien Löschkonzept 4 Datenschutz-Folgenabschätzung (DSFA) 5 Technisch-organisatorische Maßnahmen (TOM) Aufbau Datenschutz- Managementsystem (DSMS) » Verbindliche DS-Organisation » Management-Review gem. ISO-27004 6 Verzeichnis der Verarbeitungstätigkeiten (VV) 7 Datenschutzerklärung/en (Webseite, Apps, ...) 8 Betroffenenrechtekonzept Erfüllung Mindestanforderungen der DSGVO (Top 10) » Basis Datenschutz » Umsetzung DSGVO Anforderungen über Top 10 » Vermeidung von Bußgeldern 9 10 Schulung (inkl. Nachweise der Schulung und Vertraulichkeitsverpflichtung Auftragsverarbeitungskonzept Quelle: CORE SE. ser, man erstellt die erste Sicherungskopie auf der Stelle, als erst nach der wochenlangen Planung einer Back-up-Strategie; eine Strategie kann auch nach dem ersten kompletten Back-up noch angegangen werden. Das Management-Review sollte die Funktionsfähigkeit des DSMS innerhalb von drei Jahren umfassen, das heißt alle zehn Artefakte sollten in dieser Zeitspanne überprüft werden. Autor FAZIT Wie bereits beim Informationssicherheits-Managementsystem, so gilt auch beim Datenschutz-Managementsystem: Es ist kein Hexenwerk, sondern kontinuierliche konzentrierte Arbeit an der eigenen Datenschutz-Organisation. Die DSGVO gibt hier ein klares und gut zu organisierendes Set an zehn Mindest-Artefakten vor, das bei angemessener Aufsetzung und kontinuierlicher Pflege für Gesetzeskonformität sorgt. Anders als bei der Informationssicherheit mit dem 27001-Standard kann die Umsetzung entlang des eigens entwickelten ISO-Standards 27701 auf der Datenschutzseite nicht empfohlen werden. Stattdessen sollte in bewährter Manier ein ISMS gemäß 27001-Standard und das ohnehin gesetzlich geforderte Datenschutz- Konvolut gemäß genannter Top-10-Artefakte implementiert werden. Dr. Waldemar Grudzien ist Expert Director bei der CORE SE für Informationssicherheit und Datenschutz. Er ist praktizierender ISB und DSB. Im dritten und letzten Teil der Miniserie wird am Beispiel von Microsoft Azure gezeigt, wie ein Hyperscaler beide Managementsysteme aus der Cloud unterstützen kann. 06 // 2021 41

die bank