BSI Grundschutz CON.2:Datenschutz und die DSGVO

Der BSI Grundschutz ist ein Hilfsmittel für Unternehmen, Behörden und Institutionen, die systematisch die Absicherung Ihrer Daten und Systeme vorantreiben wollen.

Mit einem ISO 27001-Zertifikat auf der Basis des IT-Grundschutzes kann belegt werden, dass die Maßnahmen zur IT-Sicherheit anerkannten internationalen Standards entsprechen und dadurch zusätzliches Vertrauen bei Kunden und Partnern schaffen.

Ein Bestandteil des BSI Grundschutz ist das Modul CON.2:Datenschutz, um das es nachfolgend gehen soll. Heruntergeladen werden kann es hier.

Schnittmengen zwischen BSI Grundschutz CON.2:Datenschutz und der DSGVO

Das Thema Sicherheit in der Informationstechnik und das Thema Datenschutz haben viele Schnittpunkte.

So sieht Art 32 DSGVO für den Datenschutz vor, dass der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung

• des Stands der Technik
• der Implementierungskosten
• der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
• der Eintrittswahrscheinlichkeit und
• der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die Beurteilung der Geeignetheit der technischen und organisatorischen Maßnahmen erfordert eine Risikoabwägung. Im Rahmen dieser Risikoabwägung wird die Geeignetheit der technischen und organisatorischen Maßnahmen vor allem an der Eintrittswahrscheinlichkeit eines Schadens und an der Schwere eines möglichen Schadens für die betroffenen Personen gemessen.

Genau dieses Ergreifen von angemessenen Maßnahmen ist der Kern des BSI IT-Grundschutzes.

Das Modul CON.2:Datenschutz des BSI Grundschutzes sieht als Basis-Anforderung wiederum Folgendes vor:

3.1 Basis-Anforderungen
Die folgenden Anforderungen MÜSSEN für den Baustein CON.2 Datenschutz vorrangig erfüllt werden:
CON.2.A1Umsetzung Standard-Datenschutzmodell (B)
Die gesetzlichen Bestimmungen zum Datenschutz (DSGVO, BDSG und LDSG) MÜSSEN eingehalten werden. Wird die SDM-Methodik nicht berücksichtigt, die Maßnahmen also nicht auf der Basis der Gewährleistungsziele systematisiert und mit dem Referenzmaßnahmen-Katalog des SDM abgeglichen, SOLLTE dies begründet und dokumentiert werden.

Kern der Basis-Anforderungen des Moduls CON.2:Datenschutz sind demnach

• das Einhalten des Datenschutzes, insbesondere der DSGVO und des BDSG sowie
• eine Umsetzung bzw. zumindest eine inhaltliche Auseinandersetzung mit dem Standard-Datenschutzmodell

Anforderung Einhalten der DSGVO und des BDSG

Exemplarisch als Pflichten nach der DSGVO und dem BDSG seien genannt:

• Erstellen eines Verarbeitungsverzeichnis
• Abschluss von AV-Verträgen mit Dienstleistern
• Datenschutzhinweise für Bewerber, Mitarbeiter, Kunden, Website-Besucher etc.
• rechtskonformer Vertrieb, insbesondere im Bereich E-Mail-Werbung und Online-Werbung
• korrekter Umgang mit Kundendaten mit Detailanforderungen z.B. für Bonitätsprüfungen
• verantwortungsvoller Umgang mit Mitarbeiterdaten
• Sicherstellung der Datensicherheit und -verfügbarkeit
• kritische Sonderthemen wie Videoüberwachung oder biometrische Zeiterfassung
• Erstellung um Umsetzung eines Löschkonzept
• regelmäßige Schulungen der Mitarbeiter
• turnusmäßige Prüfungen alle Vorgänge und Unterlagen im Unternehmen

Wenn Sie zumindest 20 Mitarbeiter haben, müssen Sie einen Datenschutzbeauftragten benennen, der diese Themen entweder bereits umgesetzt oder zumindest angegangen haben sollte. Wenn Sie Geschäftsführer und damit unmittelbar nach dem Gesetz für das Thema Datenschutz in Ihrem Unternehmen sind, dann sollten Sie Ihren Datenschutzbeauftragten darauf ansprechen, in welchem Umfang die Umsetzung bereits erfolgt ist und wie die nächsten Schritte lauten. Aber auch wenn Sie weniger als 20 Mitarbeiter haben, müssen Sie alle Anforderungen der DSGVO und des BDSG umsetzen, auch wenn Sie nicht zwingend einen Datenschutzbeauftragten benennen müssen.

Anforderung Umsetzung oder Auseinandersetzung mit dem Standard-Datenschutzmodell

Das Modul CON.2:Datenschutz beschreibt die Ziele bzw. die Ansätze des Standard-Datenschutzmodells wie folgt:

Das SDM hat daher die folgenden Ansprüche:

es überführt datenschutzrechtliche Anforderungen in einen Katalog von Gewährleistungszielen,

es gliedert die betrachteten Verfahren in die Komponenten: Daten, IT-Systeme und Prozesse,

es berücksichtigt die Einordnung von Daten in die drei Schutzbedarfsabstufungen der Informationssicherheit „normal“, „hoch“ und „sehr hoch“ und ergänzt diese um entsprechende Betrachtungen auf der Ebene von Prozessen und IT-Systemen und

es bietet einen Katalog mit standardisierten Schutzmaßnahmen.

Das Standard-Datenschutzmodell stellt ein auf die Umsetzung von Betroffenenrechten fokussiertes Modell zur Verfügung.

Das Modul CON.2:Datenschutz des BSI IT-Grundschutzes verlangt, dass das Standard-Datenschutzmodell entweder umgesetzt wird oder sich das Unternehmen zumindest inhaltlich damit auseinandergesetzt und begründet hat, warum die Umsetzung nicht notwendig erscheint.

Anders als die Einhaltung der DSGVO und des BDSG („MUSS“) wird dies allerding als „SOLLTE“ definiert. Dies bedeutet dass die Anforderung normalerweise erfüllt werden muss, es aber Gründe geben kann, dies doch nicht zu tun. Dies muss aber sorgfältig abgewogen und stichhaltig begründet werden.

Die Einhaltung internationaler IT-Sicherheits Standards, kann daher durch ein ISO 27001-Zertifikat auf der Basis des IT-Grundschutzes belegt werden. Hierbei wird ebenfalls anhand des Modul CON.2:Datenschutz des BSI Grundschutzes, die Einhaltung datenschutzrechtlicher Pflichten begutachtet, wodurch für den Nachweis über die Einhaltung der gesetzlichen Pflichten, auch das ISO 27001-Zertifikat mit herangezogen werden kann.

Sie möchten mehr über dieses Thema erfahren?