IT und Datenschutz
Der neue Datenschutz-Baustein 1.5 im BSI-Grundschutz
Der Begriff IT-Security ist heute ein anerkannt weiter und meint letztlich eine Vielzahl unterschiedlicher Themen aus den Bereichen Technik, betriebliche Organisation, wirtschaftliche Vorsorge und Recht. Der IT-Grundschutz gemäß den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verfolgt daher einen ganzheitlichen Sicherheitsansatz, mit dem alle relevanten Teilbereiche der IT-Security möglichst umfassend identifiziert und mit der „Ist-Lage“ abgeglichen werden sollen, um hiernach über einen konkreten Maßnahmenkatalog Schadenspotentiale zu minimieren.
Wer hierzu die beschriebenen Prozesse umsetzt, gewinnt neben der tatsächlichen Optimierung seines IT-Schutzes auch einen ausgewiesenen Compliance-Standard, der den grundsätzlichen Sorgfaltsmaßstäben der Rechtssprechung beim Umgang mit IuK-Systemen genügen muss. Mit dem entsprechenden Zertifikat werden folglich auch persönliche Haftungsrisiken der verantwortlich handelnden Geschäftsleitung deutlich minimiert.
Neben rein technisch-praktischen Aspekten wie denen der Gebäudesicherheit und des Einsatzes von Programmen gegen unbefugten Zugriff oder gegen Virenbefall, schließt das aktuelle IT-Grundschutzhandbuch des BSI damit eben auch alle primär rechtlichen Anforderungen mit ein, die beim Erwerb eines Zertifikats nach den Maßstäben des IT-Grundschutzhandbuches Berücksichtigung finden müssen. Obgleich derzeit noch nicht formaler Bestandteil einer formalen IT-Grundschutz-Zertifizierung, definiert aufgrund der untrennbaren Verflechtung von Datenschutz und den eingesetzten IuK-Systemen bereits jetzt der ergänzende IT-Grundschutz-Baustein B 1.5 zum Thema "Datenschutz" Kernanforderungen, welche das Pflichtenbild von privaten und öffentlichen Anwendern für den IT-Grundschutz in Deutschland praxisnah komplettieren.
Der vom Bundesbeauftragten für den Datenschutz und Informationsfreiheit gemeinsam mit dem Arbeitskreis Technik der Datenschutzbeauftragten des Bundes und der Länder sowie den Datenschutzaufsichtsbehörden der Länder erstellte Baustein nebst zugehöriger Tabellen und Materialien beschäftigt sich dabei neben dem Gesichtspunkt des Datenschutzes auch mit der Datensicherheit, d. h. mit der Integrität und dem Bestand der Daten. Die Verarbeitung personenbezogener Daten kann rechtskonform auch insoweit nur im Rahmen eines Datenschutzprozesses als Herzstück des Datenschutzmanagements erfolgen. Dieses stellt von der zulässigen Erhebung der Daten bis zur notwendigen Löschung auch bei sich änderndem Umfeld die Einhaltung geltenden Datenschutzrechtes im Sinne des Maßnahmekatalogs nach § 9 BDSG nebst Anlage kontinuierlich sicher.
Jede einzelne Maßnahme muss sich dabei aber unter Wirtschaftlichkeitsgesichtspunkten in der betrieblichen oder behördlichen Praxis bewähren und ist überdies zur Erlangung eines ISO/IEC 27001-Zertifikats auf der Basis von IT-Grundschutz in bereits vorhandene Prozessmanagementstrukturen (z. B. ITIL oder ISMS) effektiv zu integrieren.
Wir helfen Unternehmen, die noch über keine Strukturen zur Umsetzung des Datenschutzes verfügen, bei der Etablierung dieser Prozesse oder führen für eine konsistente und wirksame Sicherheitskonzeption nach BSI-Grundschutz ergänzende Sicherheitsbetrachtungen und Risikoanalysen durch, um technische Lösungen umzusetzen.
Alle rechtlichen Inhalte auf dieser Seite wurden mitgeteilt von
Rechtsanwalt Henrik Angster
esb Rechtsanwälte Stuttgart