Hochschule Ulm, 2019
Informationssicherheit und Datenschutz:
Synergien heben, Dualismus leben
Prof. Dr. Markus Schäffter
Hochschule Ulm
Hochschule Ulm, 2019 2
Datenschutz und Informationssicherheit sind wie zwei Inseln
Informationssicherheit: Datenschutz:
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Unterschiedliche Welten:
Unterschiedliche Ziele
Unterschiedliche Prinzipien
Unterschiedliche Begriffe
Hochschule Ulm, 2019 3
Datenschutz und Informationssicherheit sind wie zwei Inseln
Informationssicherheit:
Werte: Systeme, Programme,
Menschen, Daten,
Datenschutz:
Personenbezogene Daten:
Daten von lebenden Menschen
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Unterschiedliche Welten:
Unterschiedliche Ziele
Unterschiedliche Prinzipien
Unterschiedliche Begriffe
Hochschule Ulm, 2019 4
Datenschutz und Informationssicherheit sind wie zwei Inseln
Informationssicherheit:
Best Practices
Datenschutz:
Datenschutz-Prinzipien
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Unterschiedliche Welten:
Unterschiedliche Ziele
Unterschiedliche Prinzipien
Unterschiedliche Begriffe
Hochschule Ulm, 2019 5
Datenschutz und Informationssicherheit sind wie zwei Inseln
Informationssicherheit:
Schutzbedarf, Gefährdungen
Datenschutz:
Persönlichkeitsrechte
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Unterschiedliche Welten:
Unterschiedliche Ziele
Unterschiedliche Prinzipien
Unterschiedliche Begriffe
Hochschule Ulm, 2019 6
Datenschutz und Informationssicherheit sind wie zwei Inseln
Informationssicherheit:
IT-Systeme, Anwendungen
Datenschutz:
Verarbeitungen
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Unterschiedliche Welten:
Unterschiedliche Ziele
Unterschiedliche Prinzipien
Unterschiedliche Begriffe
Hochschule Ulm, 2019 7
Technischer Datenschutz: Datenschutz aus Sicht der Informationssicherheit
Datenschutz: DSMS
DSGVO. BDSG/LDSG
+ Spezifische Gesetze:
SGB, TKG, KWG, LHG usw.
Informationssicherheit: ISMS
ISO 27001: Vorgehensweise, Zertifizierungsschema
ISO 27002: Best Practice Katalog
ISO 27003: ISMS für KMU
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Hochschule Ulm, 2019 8
Technischer Datenschutz: Datenschutz aus Sicht der Informationssicherheit
Datenschutz: DSMS
DSGVO. BDSG/LDSG
+ Spezifische Gesetze:
SGB, TKG, KWG, LHG usw.
Informationssicherheit: ISMS
ISO 27001: Vorgehensweise, Zertifizierungsschema
ISO 27002: Best Practice Katalog
ISO 27003: ISMS für KMU
Datenschutzprinzipien:
Lizenzierungsprinzip
Zweckbindung
Datensparsamkeit
Speicherbegrenzung
Rechenschaftspflicht
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Hochschule Ulm, 2019 9
Technischer Datenschutz: Datenschutz aus Sicht der Informationssicherheit
Datenschutz:
DSGVO. BDSG/LDSG
+ Spezifische Gesetze:
SGB, TKG, KWG, LHG usw.
Informationssicherheit:
ISO 27001: Vorgehensweise, Zertifizierungsschema
ISO 27002: Best Practice Katalog
ISO 27003: ISMS für KMU
Datenschutzprinzipien:
Lizenzierungsprinzip
Zweckbindung
Datensparsamkeit
Speicherbegrenzung
Rechenschaftspflicht
Das Datenschutzrecht lässt
viele Fragen hinsichtlich der
praktischen Umsetzung von
DSMS offen!
In der
Informationssicherheit
bestehen viele Erfahrungen
hinsichtlich Planung und
Umsetzung von ISMS
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Hochschule Ulm, 2019 10
Das Datenschutzrecht lässt viele Fragen hinsichtlich der Umsetzung offen:
1. Gestaltung der Governance-Struktur
Muss- und Kann-Aufgaben im Datenschutz, Verantwortlichkeiten, Zuständigkeiten
2. Ausgestaltung eines Datenschutz-Managementsystems
Welche Leitlinien, Verfahren, Richtlinien und Ressourcen sind erforderlich?
3. Durchführung von Risikoanalysen
Wie misst man Risiken für die Persönlichkeitsrechte der Betroffenen?
Wie wird eine Datenschutz-Folgenabschätzung durchgeführt?
4. Auswahl und Umsetzung technisch-organisatorischer Schutzmaßnahmen
Welche Maßnahmen sind Stand der Technik?
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Hochschule Ulm, 2019 11
Berührungspunkte: Informationssicherheit und Technischer Datenschutz
Informationssicherheit Datenschutz
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Hochschule Ulm, 2019 12
Berührungspunkte: Informationssicherheit und Technischer Datenschutz
Technischer Datenschutz:
Art. 24 DSGVO (Schutzmaßnahmen)
Art. 32 DSGVO (TOM)
Art. 5 (2) DSGVO (Rechenschaftspflicht)
Datenschutz-Compliance
ISO 29100 (Privacy Framework)
ISO 29151 (Code of Practice for PII)
ISO 31000 (Risk Management)
BSI Baustein 1.5 (Datenschutz)
Informationssicherheit Datenschutz
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Hochschule Ulm, 2019 13
Beispiele für Synergien zwischen IS und DS
1. Leitlinien für IS und DS mit Managementauftrag zum Aufbau entspr. Managementsysteme
2. Aufbau einer entspr. Organisation, geführt durch Stabsstelle
3. Übergreifende Risikoanalyse zur Auswahl wirksamer und angemessener Schutzmaßnahmen
Betrachten wir 1. und 2. genauer!
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Hochschule Ulm, 2019 14
Beispiel #1: Leitlinien als Managementauftrag: 1. Delegation von Verantwortung
Datenschutz
Art. 24 DSGVO (Verantwortung)
Der Verantwortliche setzt unter
Berücksichtigung der Art, des Umfangs, der
Umstände und der Zwecke der Verarbeitung
sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere der
Risiken für die Rechte und Freiheiten
natürlicher Personen geeignete technische und
organisatorische Maßnahmen [TOM] um[…].
Art. 5 (2) DSGVO (Rechenschaftspflicht)
Der Verantwortliche ist für die Einhaltung [der
Datenschutz-Grundsätze] verantwortlich und
muss dessen Einhaltung nachweisen können.
Informationssicherheit (ISO 27001)
A.5.1.1 (Informationssicherheitsrichtlinien)
Ein Satz Informationssicherheitsrichtlinien ist
festgelegt, von der Leitung genehmigt,
herausgegeben und den Beschäftigten sowie
relevanten externen Parteien bekanntgemacht.
A.5.1.2 (Überprüfung der Richtlinien)
Die Informationssicherheitsrichtlinien werden in
geplanten Abständen oder jeweils nach
erheblichen Änderungen überprüft, um
sicherzustellen, dass sie nach wie vor geeignet,
angemessen und wirksam sind.
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Hochschule Ulm, 2019 15
Beispiel #1: Leitlinien mit Managementauftrag: 2. Inhalt des Managementauftrags
Datenschutz
[Schäffter2017]: Inhalt angelehnt an ISMS
• Beschreibung des Stellenwerts des
Datenschutzes in der verantw. Stelle
• Zielstellung des Datenschutzes (Compliance
vs. Wettbewerbsvorteil)
• Verankern der Datenschutzprinzipien
• Verteilung der Verantwortlichkeiten
• Einbettung der DS-Organisation in die Aufbau-
& Ablauforganisation
• Vergabe konkreter Kompetenzen
• Umgang mit Verstößen
• Verpflichtung zur Dokumentation
(Quelle: Schäffter, Datenschutzmanagement 2.0)
Informationssicherheit
ISO 27002 / A.5.1.1: Inhalt der Leitlinie
Die Informationssicherheitspolitik sollte
Aussagen enthalten über:
a) Def. Informationssicherheit,
Ziele und Grundsätze;
b) Zuordnung von Verantwortlichkeiten
zu Rollen;
c) Prozesse für den Umgang mit
Abweichungen und Ausnahmen.
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Hochschule Ulm, 2019 16
Beispiel #2: Organisation als Stabsstelle: 1. Kompetenzen der Beauftragten für IS / DS
Datenschutz
Fachkenntnisse von Datenschutzbeauftragten:
Datenschutzrecht, IT-Strukturen, IT-Sicherheit,
Betriebswirtschaftliche Prozesse,
Managementsysteme, Risikoanalysen, Audit-
und Prüfverfahren, Beratungskompetenz,
persönliche Integrität, Durchsetzungsvermögen,
Überzeugungsfähigkeit
(Berufliches Leitbild, BvD 2016)
Informationssicherheit
Aufklären, ermitteln, Feuer löschen - alles
möglichst unbemerkt. Der CISO ist Prediger,
Geheimagent und Notarzt in einem.
(Simon Hülsbömer, Computerwoche, 3.6.2008)
Der CISO: Aufklärer, Polizist und Bergführer in
Personalunion.
(Jürgen Mauerer, Computerwoche, 10.5.2016)
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Hochschule Ulm, 2019 17
Beispiel #2: Organisation als Stabsstelle: 2. Rechtliche Verankerung
Datenschutz
Art. 38 DSGVO, § 38 BDSG neu
Öffentliche Stellen benennen auf jeden Fall
eine/n behördlichen DSB
Nicht-öffentliche Stellen
• In D: ab 10 Beschäftigten, die regelmäßig pb
Daten verarbeiten.
• In der EU: bei regelmäßiger und
systematischer Überwachung von Personen,
bei Verarbeitung sensibler Daten (u.a.
Gesundheitsdaten).
Informationssicherheit
Der CISO ist den deutschen Gesetzen gänzlich
unbekannt. Ernennung liegt im Ermessen der
GL.
(Stephan Schmidt, Fachanwalt für IT-Recht,
9.11.2012)
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Hochschule Ulm, 2019 18
Beispiel #2: Organisation als Stabsstelle
Datenschutz
Art. 38 DSGVO (Stellung DSB)
• Weisungsfreiheit in der Tätigkeit als DSB
• DSB berichtet unmittelbar an höchste Mgmt-
Ebene (=Stabsstelle)
• Ausstattung mit allen erforderlichen
Ressourcen (Streitfragen Zeit & Budget!)
Informationssicherheit
ITSB i.d.R. Stabsstelle mit ausschließlich
beratender Funktion und Berichtspflicht an GL.
Wenn als CISO Mitglied der GL, dann mit
Weisungsbefugnissen, Verantwortung und
Haftung!
Streitfragen sind: Zeitaufwand & Budget!
(Stephan Schmidt, Fachanwalt für IT-Recht,
9.11.2012)
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Hochschule Ulm, 2019 19
Beispiel #2: Organisation als Stabsstelle: 3. Aufgaben der Beauftragten
Datenschutz
Art. 39 DSGVO (Aufgaben DSB)
• Unterrichtet, berät alle Ebenen der Org.
• Überwacht die DS-Compliance
• Zusammenarbeit mit Aufsicht
• Ist Anlaufstelle für Anfragen Betroffener
Hinzu kommen optionale (insbesondere
operationelle) Aufgaben.
Informationssicherheit
M2.193 BSI-GSK
• Steuert den IT-Sicherheitsprozess
• Unterstützt die GL bei Erstellung der ITS-
Leitlinie
• Erstellt das IT-SiKo, erlässt RiLi
• Überprüft Umsetzung der IS
• Führt das IS-Mgmt-Team (vgl. auch BSI
200-2, Abschnitt 4.5)
• Koordiniert IS-relevante Projekte
• Umsetzung: In jedem Bereich & jedem
Projekt ein/e IS-Beauftragte/r!
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Hochschule Ulm, 2019 20
Gegen ein integriertes Managementsystem spricht der Dualismus von Informationssicherheit
und Datenschutz
Datenschutz:
Art. 38 DSGVO (Ausschluss
von Interessenskonflikten)
Informationssicherheit:
ISO 29151, 6.1.3 (Aufgaben-
trennung)
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Hochschule Ulm, 2019 21
Dualismus von Informationssicherheit und Datenschutz
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Datenschutz
DSB hinterfragt DS-Compliance
• nach DSGVO fachlich weisungsfrei
• mit Blick auf die Persönlichkeitsrechte,
• als Advokat der der Betroffenen,
Informationssicherheit
IS-Beauftragte/r sorgt für ITS-Compliance:
• i.A. weisungsgebunden,
• interessiert an hoher Kontrollfähigkeit:
protokollieren & auswerten
• Interessiert an Data Mining:
Intrusion Detection, Data Leakage Detection
• Interessiert an Datenspeicherung:
IT-Forensik-Readiness,
Hochschule Ulm, 2019 22
Dualismus von Informationssicherheit und Datenschutz
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Datenschutz
DSB hinterfragt DS-Compliance
• nach DSGVO fachlich weisungsfrei
• mit Blick auf die Persönlichkeitsrechte,
• als Advokat der der Betroffenen,
Informationssicherheit
IS-Beauftragte/r sorgt für ITS-Compliance:
• i.A. weisungsgebunden,
• interessiert an hoher Kontrollfähigkeit:
protokollieren & auswerten
• Interessiert an Data Mining:
Intrusion Detection, Data Leakage Detection
• Interessiert an Datenspeicherung:
IT-Forensik-Readiness,
Fazit:
• Die Aufgaben beider Beauftragten stehen im Widerspruch
zueinander!
• Sie müssen als Sparringpartner Kompromisse finden!
Hochschule Ulm, 2019 23
Dualismus von Informationssicherheit und Datenschutz
Konfliktfelder nach Ann Cavoukian:
• Effiziente Kontrolle vs. Schutz der Privatsphäre
Protokollierung und Überwachung müssen datenschutzkonform erfolgen
• Usability vs. Schutz der Privatsphäre
Die Personalisierung von Diensten muss das Recht auf informationelle Selbstbestimmung achten!
• Gewinnspanne und Marktanteil vs. Schutz der Privatsphäre
Neue Technologien erfordern eine Technik-Folgenabschätzung!
• Data Mining / Big Data vs. Schutz der Privatsphäre
Eine Datenvorratshaltung widerspricht essentiellen Datenschutz-Prinzipien!
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Hochschule Ulm, 2019 24
Allgemeiner Lösungsansatz:
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Planen, steuern,
Richtlinien erstellen
Umsetzung
Hochschule Ulm, 2019 25
Umsetzung an der Hochschule Ulm
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
© Hochschule Ulm, 2019
© Hochschule Ulm, 2019
Hochschule Ulm, 2019 26
Umsetzung an der Hochschule Ulm
Datenschutz
• Verantwortung durch Rektor/in
(festgelegt in DSGVO, LDSG BW)
• bDSB: Professorale Leitung (4 SWS)
• Tätigkeitsbeschreibung nach
Art. 39 DSGVO
Informationssicherheit
• Verantwortung durch Prorektor/in
(festgelegt in LHG BW)
• CISO: Professorale Leitung (4 SWS)
• Tätigkeitsbeschreibung
nach Vorlage des BSI, vgl. M2.193
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Hochschule Ulm, 2019 27
Umsetzung an der Hochschule Ulm
Datenschutz
• Verantwortung durch Rektor/in
(festgelegt in DSGVO, LDSG BW)
• bDSB: Professorale Leitung (4 SWS)
• Tätigkeitsbeschreibung nach
Art. 39 DSGVO
Informationssicherheit
• Verantwortung durch Prorektor/in
(festgelegt in LHG BW)
• CISO: Professorale Leitung (4 SWS)
• Tätigkeitsbeschreibung
nach Vorlage des BSI, vgl. M2.193
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Gemeinsamkeiten
• Keine Zeit (3 Zeitstunden pro Woche,
d.h. ca. 8% einer Vollzeitstelle)
• Kein Budget (<1T€ p.a.)
• Fokus auf Steuerung, Beratung und Kontrolle
Hochschule Ulm, 2019 28
Umsetzung an der Hochschule Ulm
Datenschutz
• Leitlinie in Anlehnung an [Schäffter2018]
• Teilnahme am IS-Mgmt-Team, wannimmer
dies erforderlich ist
Informationssicherheit
• Leitlinie zum ISMS in Anlehnung an BSI
• Aufbau eines IS-Mgmt-Team in
Anlehnung an BSI 200-2 (gefordert
durch VwV InfoSich BW).
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Hochschule Ulm, 2019 29
Umsetzung an der Hochschule Ulm
Datenschutz
• Leitlinie in Anlehnung an [Schäffter2018]
• Teilnahme am IS-Mgmt-Team wenn
erforderlich
Informationssicherheit
• Leitlinie zum ISMS in Anlehnung an BSI
• Aufbau eines IS-Mgmt-Team in
Anlehnung an BSI 200-2 (gefordert
durch VwV InfoSich BW).
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Gemeinsamkeiten
• Leitlinie als Managementauftrag vorhanden
• Fokus auf Steuerungsaufgaben
• Operationelle Umsetzung an Fachebene
delegiert
Hochschule Ulm, 2019 30
Umsetzung an der Hochschule Ulm
DatenschutzInformationssicherheit
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Gemeinsamkeiten
• Operationelle Umsetzung der Anforderungen in IS und DS auf der Fachebene
• Schaffung von „Verfahrungsverantwortlichen“ in Verwaltung, IT-Betrieb, Fakultäten,
Instituten, Laboren und in den Forschungsgruppen
• Festlegen der Tätigkeitsbeschreibungen
• …Überzeugen und schulen der Verfahrensverantwortlichen
Hochschule Ulm, 2019
Herzlichen Dank für Ihre Aufmerksamkeit
Kontakt:
Prof. Dr. Markus Schäffter
Hochschule Ulm
www.hs-ulm.de/schaeffter
Dokumentation zum Nachlesen
Systematische Ableitung eines DSMS auf
Basis von ISO 27000 / 29100 mit vielen
Checklisten und Vorlagen u.a. für
Verfahrensverzeichnis, Richtlinien und
Vertragsergänzungen. (Schäffter2017)
Praktische Umsetzung eines DSMS für
KMU und Hochschulen mit vielen
Checklisten und konkreten Vorlagen.
(Schäffter2018)
Informationssicherheit und DatenschutzSynergien heben, Dualismus leben
Top Related