ISIS12 zur DS-GVO

ISIS12 ist ein in der Zwischenzeit etabliertes Verfahren zur Einführung eines Informations-SicherheitsManagementSystems (ISMS) in 12 Schritten (ISMS) zur Erhöhung der Informationssicherheit. Es wurde ursprünglich speziell für mittelständische Unternehmen entwickelt und später allgemein für Organisationen angepasst (Behörden, Universitäten, Vereine NGO …). Zur Geburtsstunde im Jahre 2010 dachte keiner der Initiatoren an die Verknüpfung des ISMS mit dem damaligen BDSG. Das BDSG war zu dieser Zeit, einem Jahr nach den drei umfangreichen Novellen noch inhaltlich weit vom Bereich Informationssicherheit entfernt. Die Technischen und Organisatorischen Maßnahmen (§ 9 Anlage BDSG) waren das einzige Bindeglied. Und selbst diese waren, bei nicht ausreichender Umsetzung, für die Aufsichtsbehörden nicht sanktionsfähig.

Mit dem wirksam werden der EU Datenschutz Grundverordnung (DS-GVO) am 25.05.2018 ist Informationssicherheit integraler Bestandteil des Datenschutzes geworden. Vergleicht man die Grundwerte der DS-GVO und ISIS12 so stellt man Übereinstimmung fest:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
  • Belastbarkeit (DS-GVO)

Die war der Auslöser für die Integration des Datenschutzmanagementsystems (DSMS) in ISIS12. Die Möglichkeit Datenschutz mit Informationssicherheit zu verbinden (Artt. 25, 32 DS-GVO) wird nun durch ein DS-GVO Zusatzmodul für das bereits vorhanden ISIS12-Tool realisiert. Dies erfolgt als integrierten Managementansatz, wie dies bereits mit dem IT-Service-Management Verknüpfung (Schritt 5) von Anfang an der Fall war.

 Bei der Entwicklung von ISIS12 wurde von jeher bewusst ein praxisnaher Ansatz gewählt. Die Verhältnismäßigkeit der zu erbringenden Aufwände stehen im Mittelpunkt der Überlegung: „So einfach wie möglich, aber nicht einfacher!“ Zudem war das Vorgehensmodell didaktisch so aufgebaut, dass es mit eine hohen Erfolgsgarantie umzusetzen ist.

Kleine und mittlere Organisationen (KMO) haben durch mangelnde Ressourcen bei der Umsetzung der DS-GVO-Anforderungen häufig Schwierigkeiten. Speziell die geforderte Nachweis- bzw. Rechenschaftspflicht, die umfangreichen Informations- und Transparenzverpflichtungen und nicht zuletzt die Bereiche Informationssicherheit, Risikoanalyse (RA) und Datenschutz-Folgenabschätzung (DFA) stellen für KMO eine große Hürde dar.

Die gleich gelagerten Probleme haben KMO auch bei der Einführung eines ISMS. ISIS12 wurde deswegen als zielgruppenangepasstes, praktikables und pragmatisch einzuführendes ISMS entwickelt. ISIS 12 wurde an verschiedenen Stallen erweitert um das DSMS mit dem ISMS ISIS12 zu verbinden und entsprechende Synergien zu nutzen:

  • Im Schritt 0 werden allgemeine Angaben zum DSMS dokumentiert (z.B. Meldung der Datenschutzbeauftragten (Art. 37 DS-GVO).
  • Im Schritt 1 wird die Informationssicherheitsleitlinie um den Bereich Datenschutz erweitert und somit dessen Stellenwert manifestiert.
  • Im Schritt 2 wird bei der Mitarbeitersensibilisierung speziell der Baustein Datenschutz mit integriert.
  • Die ISIS12 Aufbau- und Ablauforganisation wird um die DS-GVO relevanten Punkte erweitert (Schritt 3, Schritt 4, Schritt 5). DSMS relevante Prozesse (Artt. 33, 34 DS-GVO: Meldung von Sicherheitsvorfällen und Artt. 15-22 DS-GVO: Betroffenenrechte wurden mit integriert.
  • Speziell der Schritt 6 spielt eine zentrale Rolle für den Bereich „Nachweisbarkeit“. Im Schritt 6 werden bislang auch schon Verarbeitungen identifiziert, erfasst und mit einer Schutzbedarfsfeststellung in Sachen Verfügbarkeit, Integrität und Vertraulichkeit bewertet. Anwendungen in denen personenbezogene Daten verarbeiten werden, werden im Verzeichnis der Verarbeitungstätigkeiten (VV) (Art. 30 DS-GVO) zusammengefasst. Die zu erfolgende Risikoanalyse und die eventuell notwendige DFA werden im Schritt an Hand des VVT durchgeführt und entsprechend dokumentiert.
  • Spezielle Anforderungen der DS-GVO werden entweder im neuen ISIS12 Baustein „B 1.5 Datenschutz DS-GVO“ in Form von verbindlichen Sicherheitsmaßnahmen und/oder in spezifischen Bausteinen wie etwa „B 4.10 Soft- und Hardwareentwicklung“ (Privacy by Design/Privacy by Default) mit aufgenommen.
  • Im Schritt 12 wird ein jährlich stattfindendes Datenschutzaudit implementiert, dass die 12 Schritte des erweiterten Vorgehensmodells prüft. Hier werden zukünftig auch Checklisten der Datenschutz-Aufsichtsbehörden Bestandteil sein. Im Fall einer angestrebten Zertifizierung kann das um das DSMS erweiterte Zertifizierungsschema zum Einsatz kommen. Der Auditumfang wird dementsprechend erweitert und bietet KMO die Möglichkeit die geforderte Nachweis- bzw. Rechenschaftspflicht in Form eines zusätzlichen DS-GVO Testats zu erfüllen.