Was sind die Gemeinsamkeiten, wo sind die Unterschiede und wo findet sich der Datenschutz in der ISO 27001 wieder, um diese Themen geht es in der heutigen Ausgabe.
Gemeinsamkeiten
Die größten Gemeinsamkeiten sehe ich in vier Bereichen: Prozesse, Daten, Risiken und Awareness.
Informationssicherheit und Datenschutz greifen sowohl auf der Ebene der Prozesse eines Unternehmens, als auch auf die Ebene der Daten ein. Nur aus einer unterschiedlichen Perspektive, dazu unten mehr.
Beide Themen kommen nicht ohne eine Risikoanalyse aus. Die Analyse von Bedrohungen und Schwachstellen, deren Beseitigung oder mindestens die Minimierung ist ein elementarer Schwerpunkt der Informationssicherheit, als auch des Datenschutzes.
Und der wichtigste Aspekt der Faktor Mensch. Neben den typischen externen Bedrohungen dürfen die Bedrohungen durch Irrtum und Nachlässigkeit nicht außer acht gelassen werden. Wir müssen alles dafür tun, um die Themen ins Bewusstsein unserer Mitarbeiter zu bringen.
Unterschiede
Datenschutz ist ein Grundrecht. Er bezieht sich auf Personen und die technischen Maßnahmen, um personenbezogenen Daten und das Recht auf informelle Selbstbestimmung zu schützen. Dies betrifft sowohl Personen innerhalb, als auch außerhalb der Organisation. Es geht um die Art und Weise, wie wir mit Daten umgehen dürfen.
Die Informationssicherheit bezieht sich auf Maßnahmen, die alle Informationswerte schützen. Sie bezieht sich sowohl auf den Schutz elektronisch gespeicherter Informationen, deren Verarbeitung und Systeme, als auch auf Informationen, die auf Papier und in den Köpfen gespeichert sind - unabhängig, davon ob sie einen Personenbezug aufweisen oder nicht.
Streng genommen bleiben die technischen Gestaltungsfragen oder die Organisationspflichten des Datenschutzes, die keinen Sicherheitsbezug haben, wie z.B. Zulässigkeitsprüfungen, Gestaltungsfragen des Konzerndatenaustauschs oder Pflichten bei der Videoüberwachung in der Informationssicherheit außen vor. Aufgrund A.18.1 "Einhaltung gesetzlicher und vertraglicher Anforderungen" der ISO 27001 kann es jedoch vorkommen, dass der ein oder andere Aspekt bei einer ISO 27001 Auditierung zur Sprache kommt.
Datenschutz in der ISO 27001
In folgenden Kapiteln der ISO 27001 gibt es eine starke Überschneidung zwischen beiden Bereichen, so dass hier der Datenschutzbeauftragte und der Informationssicherheitsbeauftragte eng zusammenarbeiten sollten, um keine doppelten und eventuell widersprüchliche Richtlinien zu entwickeln.
- Mobilgeräte und Telearbeit (A.6.2)
- Personalsicherheit (A.7)
- Entsorgung von Datenträgern (A.8.3.2)
- Zugangssteuerung (A.9)
- Richtlinie auf eine aufgeräumte Arbeitsumgebung und Bildschirmsperren (A.11.2.9)
- Datensicherung (A.12.3)
- Protokollierung und Überwachung (A.12.4)
- Schutz von Aufzeichnungen (A.18.1.3)
Eine Frage die in diesem Zusammenhang oft gestellt wird: Können der Datenschutzbeauftragte und der Informationssicherheitsbeauftragte ein und dieselbe Person sein?
Es kommt darauf an, in größeren Firmen ist aufgrund der unterschiedlichen Schwerpunkte und Umfang der Aufgaben eine Trennung sinnvoll.
In kleineren Firmen sollte man immer bedenken, dass es in einigen Fällen Interessenskonflikte geben wird. Z.B. im Kapitel 12.4 "Protokollierung und Überwachung" hat der Informationssicherheitsbeauftragte den Wunsch möglichst viel und lange aufzuzeichnen. Während der Datenschutzbeauftragte eher das Gegenteil fordern wird, um eine Auswertung in Richtung Überwachung der Mitarbeiter zu unterbinden. Möglich wäre hier eine externe Beauftragung für eine oder beide Stellen (in dem Fall an verschiedene Anbieter) und die Koordination intern bei einem Mitarbeiter zu bündeln.
Somit ergibt sich folgende Schlussfolgerung: Datenschutz und Informationssicherheit sind nicht dasselbe. Sie sind beides elementare Bereiche im Unternehmen und sollten aufgrund vieler Überschneidungen Hand in Hand arbeiten.
Wenn Du mehr erfahren möchten, kontaktiere mich gerne!
