Informationssicherheit und Datenschutz: Synergien …...Hochschule Ulm, 2019 4 Datenschutz und Informationssicherheit sind wie zwei Inseln Informationssicherheit: Best Practices Datenschutz:

Hochschule Ulm, 2019

Informationssicherheit und Datenschutz:

Synergien heben, Dualismus leben

Prof. Dr. Markus Schäffter

Hochschule Ulm

Hochschule Ulm, 2019 2

Datenschutz und Informationssicherheit sind wie zwei Inseln

Informationssicherheit: Datenschutz:

Informationssicherheit und DatenschutzSynergien heben, Dualismus leben

Unterschiedliche Welten:

Unterschiedliche Ziele

Unterschiedliche Prinzipien

Unterschiedliche Begriffe



Informationssicherheit:

Werte: Systeme, Programme,

Menschen, Daten,

Datenschutz:

Personenbezogene Daten:

Daten von lebenden Menschen









Best Practices

Datenschutz:

Datenschutz-Prinzipien









Schutzbedarf, Gefährdungen

Datenschutz:

Persönlichkeitsrechte









IT-Systeme, Anwendungen

Datenschutz:

Verarbeitungen







Technischer Datenschutz: Datenschutz aus Sicht der Informationssicherheit

Datenschutz: DSMS

DSGVO. BDSG/LDSG

+ Spezifische Gesetze:

SGB, TKG, KWG, LHG usw.

Informationssicherheit: ISMS

ISO 27001: Vorgehensweise, Zertifizierungsschema

ISO 27002: Best Practice Katalog

ISO 27003: ISMS für KMU




Datenschutz: DSMS

DSGVO. BDSG/LDSG



Informationssicherheit: ISMS




Datenschutzprinzipien:

Lizenzierungsprinzip

Zweckbindung

Datensparsamkeit

Speicherbegrenzung

Rechenschaftspflicht




Datenschutz:

DSGVO. BDSG/LDSG







Datenschutzprinzipien:

Lizenzierungsprinzip

Zweckbindung

Datensparsamkeit

Speicherbegrenzung

Rechenschaftspflicht

Das Datenschutzrecht lässt

viele Fragen hinsichtlich der

praktischen Umsetzung von

DSMS offen!

In der

Informationssicherheit

bestehen viele Erfahrungen

hinsichtlich Planung und

Umsetzung von ISMS



Das Datenschutzrecht lässt viele Fragen hinsichtlich der Umsetzung offen:

1. Gestaltung der Governance-Struktur

Muss- und Kann-Aufgaben im Datenschutz, Verantwortlichkeiten, Zuständigkeiten

2. Ausgestaltung eines Datenschutz-Managementsystems

Welche Leitlinien, Verfahren, Richtlinien und Ressourcen sind erforderlich?

3. Durchführung von Risikoanalysen

Wie misst man Risiken für die Persönlichkeitsrechte der Betroffenen?

Wie wird eine Datenschutz-Folgenabschätzung durchgeführt?

4. Auswahl und Umsetzung technisch-organisatorischer Schutzmaßnahmen

Welche Maßnahmen sind Stand der Technik?



Berührungspunkte: Informationssicherheit und Technischer Datenschutz

Informationssicherheit Datenschutz



Berührungspunkte: Informationssicherheit und Technischer Datenschutz

Technischer Datenschutz:

Art. 24 DSGVO (Schutzmaßnahmen)

Art. 32 DSGVO (TOM)

Art. 5 (2) DSGVO (Rechenschaftspflicht)

Datenschutz-Compliance

ISO 29100 (Privacy Framework)

ISO 29151 (Code of Practice for PII)

ISO 31000 (Risk Management)

BSI Baustein 1.5 (Datenschutz)

Informationssicherheit Datenschutz



Beispiele für Synergien zwischen IS und DS

1. Leitlinien für IS und DS mit Managementauftrag zum Aufbau entspr. Managementsysteme

2. Aufbau einer entspr. Organisation, geführt durch Stabsstelle

3. Übergreifende Risikoanalyse zur Auswahl wirksamer und angemessener Schutzmaßnahmen

Betrachten wir 1. und 2. genauer!



Beispiel #1: Leitlinien als Managementauftrag: 1. Delegation von Verantwortung

Datenschutz

Art. 24 DSGVO (Verantwortung)

Der Verantwortliche setzt unter

Berücksichtigung der Art, des Umfangs, der

Umstände und der Zwecke der Verarbeitung

sowie der unterschiedlichen

Eintrittswahrscheinlichkeit und Schwere der

Risiken für die Rechte und Freiheiten

natürlicher Personen geeignete technische und

organisatorische Maßnahmen [TOM] um[…].

Art. 5 (2) DSGVO (Rechenschaftspflicht)

Der Verantwortliche ist für die Einhaltung [der

Datenschutz-Grundsätze] verantwortlich und

muss dessen Einhaltung nachweisen können.

Informationssicherheit (ISO 27001)

A.5.1.1 (Informationssicherheitsrichtlinien)

Ein Satz Informationssicherheitsrichtlinien ist

festgelegt, von der Leitung genehmigt,

herausgegeben und den Beschäftigten sowie

relevanten externen Parteien bekanntgemacht.

A.5.1.2 (Überprüfung der Richtlinien)

Die Informationssicherheitsrichtlinien werden in

geplanten Abständen oder jeweils nach

erheblichen Änderungen überprüft, um

sicherzustellen, dass sie nach wie vor geeignet,

angemessen und wirksam sind.



Beispiel #1: Leitlinien mit Managementauftrag: 2. Inhalt des Managementauftrags

Datenschutz

[Schäffter2017]: Inhalt angelehnt an ISMS

• Beschreibung des Stellenwerts des

Datenschutzes in der verantw. Stelle

• Zielstellung des Datenschutzes (Compliance

vs. Wettbewerbsvorteil)

• Verankern der Datenschutzprinzipien

• Verteilung der Verantwortlichkeiten

• Einbettung der DS-Organisation in die Aufbau-

& Ablauforganisation

• Vergabe konkreter Kompetenzen

• Umgang mit Verstößen

• Verpflichtung zur Dokumentation

(Quelle: Schäffter, Datenschutzmanagement 2.0)


ISO 27002 / A.5.1.1: Inhalt der Leitlinie

Die Informationssicherheitspolitik sollte

Aussagen enthalten über:

a) Def. Informationssicherheit,

Ziele und Grundsätze;

b) Zuordnung von Verantwortlichkeiten

zu Rollen;

c) Prozesse für den Umgang mit

Abweichungen und Ausnahmen.



Beispiel #2: Organisation als Stabsstelle: 1. Kompetenzen der Beauftragten für IS / DS

Datenschutz

Fachkenntnisse von Datenschutzbeauftragten:

Datenschutzrecht, IT-Strukturen, IT-Sicherheit,

Betriebswirtschaftliche Prozesse,

Managementsysteme, Risikoanalysen, Audit-

und Prüfverfahren, Beratungskompetenz,

persönliche Integrität, Durchsetzungsvermögen,

Überzeugungsfähigkeit

(Berufliches Leitbild, BvD 2016)


Aufklären, ermitteln, Feuer löschen - alles

möglichst unbemerkt. Der CISO ist Prediger,

Geheimagent und Notarzt in einem.

(Simon Hülsbömer, Computerwoche, 3.6.2008)

Der CISO: Aufklärer, Polizist und Bergführer in

Personalunion.

(Jürgen Mauerer, Computerwoche, 10.5.2016)



Beispiel #2: Organisation als Stabsstelle: 2. Rechtliche Verankerung

Datenschutz

Art. 38 DSGVO, § 38 BDSG neu

Öffentliche Stellen benennen auf jeden Fall

eine/n behördlichen DSB

Nicht-öffentliche Stellen

• In D: ab 10 Beschäftigten, die regelmäßig pb

Daten verarbeiten.

• In der EU: bei regelmäßiger und

systematischer Überwachung von Personen,

bei Verarbeitung sensibler Daten (u.a.

Gesundheitsdaten).


Der CISO ist den deutschen Gesetzen gänzlich

unbekannt. Ernennung liegt im Ermessen der

GL.

(Stephan Schmidt, Fachanwalt für IT-Recht,

9.11.2012)



Beispiel #2: Organisation als Stabsstelle

Datenschutz

Art. 38 DSGVO (Stellung DSB)

• Weisungsfreiheit in der Tätigkeit als DSB

• DSB berichtet unmittelbar an höchste Mgmt-

Ebene (=Stabsstelle)

• Ausstattung mit allen erforderlichen

Ressourcen (Streitfragen Zeit & Budget!)


ITSB i.d.R. Stabsstelle mit ausschließlich

beratender Funktion und Berichtspflicht an GL.

Wenn als CISO Mitglied der GL, dann mit

Weisungsbefugnissen, Verantwortung und

Haftung!

Streitfragen sind: Zeitaufwand & Budget!

(Stephan Schmidt, Fachanwalt für IT-Recht,

9.11.2012)



Beispiel #2: Organisation als Stabsstelle: 3. Aufgaben der Beauftragten

Datenschutz

Art. 39 DSGVO (Aufgaben DSB)

• Unterrichtet, berät alle Ebenen der Org.

• Überwacht die DS-Compliance

• Zusammenarbeit mit Aufsicht

• Ist Anlaufstelle für Anfragen Betroffener

Hinzu kommen optionale (insbesondere

operationelle) Aufgaben.


M2.193 BSI-GSK

• Steuert den IT-Sicherheitsprozess

• Unterstützt die GL bei Erstellung der ITS-

Leitlinie

• Erstellt das IT-SiKo, erlässt RiLi

• Überprüft Umsetzung der IS

• Führt das IS-Mgmt-Team (vgl. auch BSI

200-2, Abschnitt 4.5)

• Koordiniert IS-relevante Projekte

• Umsetzung: In jedem Bereich & jedem

Projekt ein/e IS-Beauftragte/r!



Gegen ein integriertes Managementsystem spricht der Dualismus von Informationssicherheit

und Datenschutz

Datenschutz:

Art. 38 DSGVO (Ausschluss

von Interessenskonflikten)


ISO 29151, 6.1.3 (Aufgaben-

trennung)



Dualismus von Informationssicherheit und Datenschutz


Datenschutz

DSB hinterfragt DS-Compliance

• nach DSGVO fachlich weisungsfrei

• mit Blick auf die Persönlichkeitsrechte,

• als Advokat der der Betroffenen,


IS-Beauftragte/r sorgt für ITS-Compliance:

• i.A. weisungsgebunden,

• interessiert an hoher Kontrollfähigkeit:

protokollieren & auswerten

• Interessiert an Data Mining:

Intrusion Detection, Data Leakage Detection

• Interessiert an Datenspeicherung:

IT-Forensik-Readiness,




Datenschutz

DSB hinterfragt DS-Compliance

• nach DSGVO fachlich weisungsfrei

• mit Blick auf die Persönlichkeitsrechte,

• als Advokat der der Betroffenen,


IS-Beauftragte/r sorgt für ITS-Compliance:

• i.A. weisungsgebunden,

• interessiert an hoher Kontrollfähigkeit:

protokollieren & auswerten

• Interessiert an Data Mining:

Intrusion Detection, Data Leakage Detection

• Interessiert an Datenspeicherung:

IT-Forensik-Readiness,

Fazit:

• Die Aufgaben beider Beauftragten stehen im Widerspruch

zueinander!

• Sie müssen als Sparringpartner Kompromisse finden!



Konfliktfelder nach Ann Cavoukian:

• Effiziente Kontrolle vs. Schutz der Privatsphäre

Protokollierung und Überwachung müssen datenschutzkonform erfolgen

• Usability vs. Schutz der Privatsphäre

Die Personalisierung von Diensten muss das Recht auf informationelle Selbstbestimmung achten!

• Gewinnspanne und Marktanteil vs. Schutz der Privatsphäre

Neue Technologien erfordern eine Technik-Folgenabschätzung!

• Data Mining / Big Data vs. Schutz der Privatsphäre

Eine Datenvorratshaltung widerspricht essentiellen Datenschutz-Prinzipien!



Allgemeiner Lösungsansatz:


Planen, steuern,

Richtlinien erstellen

Umsetzung


Umsetzung an der Hochschule Ulm


© Hochschule Ulm, 2019

© Hochschule Ulm, 2019



Datenschutz

• Verantwortung durch Rektor/in

(festgelegt in DSGVO, LDSG BW)

• bDSB: Professorale Leitung (4 SWS)

• Tätigkeitsbeschreibung nach

Art. 39 DSGVO


• Verantwortung durch Prorektor/in

(festgelegt in LHG BW)

• CISO: Professorale Leitung (4 SWS)

• Tätigkeitsbeschreibung

nach Vorlage des BSI, vgl. M2.193




Datenschutz

• Verantwortung durch Rektor/in

(festgelegt in DSGVO, LDSG BW)

• bDSB: Professorale Leitung (4 SWS)

• Tätigkeitsbeschreibung nach

Art. 39 DSGVO


• Verantwortung durch Prorektor/in

(festgelegt in LHG BW)

• CISO: Professorale Leitung (4 SWS)

• Tätigkeitsbeschreibung

nach Vorlage des BSI, vgl. M2.193


Gemeinsamkeiten

• Keine Zeit (3 Zeitstunden pro Woche,

d.h. ca. 8% einer Vollzeitstelle)

• Kein Budget (<1T€ p.a.)

• Fokus auf Steuerung, Beratung und Kontrolle



Datenschutz

• Leitlinie in Anlehnung an [Schäffter2018]

• Teilnahme am IS-Mgmt-Team, wannimmer

dies erforderlich ist


• Leitlinie zum ISMS in Anlehnung an BSI

• Aufbau eines IS-Mgmt-Team in

Anlehnung an BSI 200-2 (gefordert

durch VwV InfoSich BW).




Datenschutz

• Leitlinie in Anlehnung an [Schäffter2018]

• Teilnahme am IS-Mgmt-Team wenn

erforderlich


• Leitlinie zum ISMS in Anlehnung an BSI

• Aufbau eines IS-Mgmt-Team in

Anlehnung an BSI 200-2 (gefordert

durch VwV InfoSich BW).


Gemeinsamkeiten

• Leitlinie als Managementauftrag vorhanden

• Fokus auf Steuerungsaufgaben

• Operationelle Umsetzung an Fachebene

delegiert



DatenschutzInformationssicherheit


Gemeinsamkeiten

• Operationelle Umsetzung der Anforderungen in IS und DS auf der Fachebene

• Schaffung von „Verfahrungsverantwortlichen“ in Verwaltung, IT-Betrieb, Fakultäten,

Instituten, Laboren und in den Forschungsgruppen

• Festlegen der Tätigkeitsbeschreibungen

• …Überzeugen und schulen der Verfahrensverantwortlichen

Hochschule Ulm, 2019

Herzlichen Dank für Ihre Aufmerksamkeit

Kontakt:

Prof. Dr. Markus Schäffter

Hochschule Ulm

www.hs-ulm.de/schaeffter

[email protected]

Dokumentation zum Nachlesen

Systematische Ableitung eines DSMS auf

Basis von ISO 27000 / 29100 mit vielen

Checklisten und Vorlagen u.a. für

Verfahrensverzeichnis, Richtlinien und

Vertragsergänzungen. (Schäffter2017)

Praktische Umsetzung eines DSMS für

KMU und Hochschulen mit vielen

Checklisten und konkreten Vorlagen.

(Schäffter2018)


Documents

Informationssicherheit und Datenschutz: Synergien …...Hochschule Ulm, 2019 4 Datenschutz und Informationssicherheit sind wie zwei Inseln Informationssicherheit: Best Practices Datenschutz: