Stetig zunehmende Anforderungen
Heutzutage kann es sich keine Organisation leisten, den Datenschutz zu ignorieren. Die gesetzlichen Anforderungen nehmen kontinuierlich zu und seit 2018 hat sich mit der Europäischen Datenschutzgrundverordnung (DSGVO/GDPR) ein neuer Goldstandard etabliert, der auch im Bewusstsein der Bürgerinnen und Bürger angekommen ist und von Organisationen mehr verlangt als bisher. Dies führt dazu, dass sich Organisationen gesamtheitlich auf den Datenschutz ausrichten müssen. Dies wiederum erfordert das Definieren von Prozessen und das Zuordnen von Verantwortlichkeiten; Anforderungen, die auch vor den Schweizerischen Datenschutzgesetzen (Bund und kantonale Gesetze) nicht Halt gemacht haben.
Gleichzeitig aber häufen sich, durch Pandemie und Homeoffice verstärkt, Berichte über IT-Sicherheitslücken, Cyberattacken und die Notwendigkeit eines firmen- oder organisationsweiten Informationssicherheitsmanagementsystems («ISMS»).
DSMS vs. ISMS
Worin liegt aber der Unterschied zwischen einem Datenschutz-Managementsystem («DSMS») und einem ISMS? Und wie geht eine Organisation vor, um zu entscheiden, was sie braucht? Ziel der Informationssicherheit ist der Schutz aller für eine Organisation relevanten Informationen vor unberechtigtem Zugriff, Verlust oder unbefugter Veränderung. Ziele sind mitunter die Vertraulichkeit, die Integrität und die Verfügbarkeit – oder in der englischen Terminologie der relevanten ISO-Norm 27001: Confidentiality, Integrity, Availability (C, I, A). Der Datenschutz ist dagegen zugleich enger und weiter als die Informationssicherheit. Enger deswegen, weil er nur Personendaten schützt, also Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen. Weiter ist der Datenschutz deshalb, weil es um mehr als nur die Sicherheit von Personendaten geht. Nebst der Einhaltung grundlegender Prinzipien wie Verhältnismässigkeit, Zweckbindung, Transparenz, Richtigkeit, Rechtmässigkeit und Sicherheit enthalten Datenschutzgesetze meist eine Serie konkreter Pflichten wie etwa Informationspflichten an die betroffene Person, data breach notifications an die zuständige Behörde oder das Vornehmen von Datenschutz-Folgenabschätzungen. Die Informationssicherheit schützt den Informationsbestand einer Organisation als solchen, mit einem besonderen Fokus auf Geschäfts- oder Amtsgeheimnisse. Der Datenschutz hingegen bezweckt primär den Schutz von Privatsphäre und Persönlichkeitsrechten betroffener Personen, wenn Daten über sie bearbeitet werden. Beide Themen überschneiden sich in der Sicherheit von Personendaten:
Wie gelangen wir zu einem Entscheid?
Wo sollte eine Organisation nun ihre Prioritäten legen? Folgende Fragen können dabei Leitplanken geben:
- Was schreibt das Gesetz vor?
Für eine öffentliche Organisation ist Ausgangspunkt aller Überlegungen das Gesetz: Besteht ein Gesetz, das gewisse Pflichten enthält, so muss dieses umgesetzt werden. Der Handlungsspielraum reduziert sich vom «ob» der Umsetzung auf das «wie». Zumindest in der Schweiz und in Europa bestehen im Datenschutz überall Gesetze – diese unterscheiden sich aber sowohl in ihrer Strenge als auch im Risiko von Sanktionen, wenn der Datenschutz nicht eingehalten wird.
- Haben wir eine andere Verpflichtung, etwa aus einem Vertrag, ein ISMS einzuführen (oder eine Zertifizierung zu erlangen) oder gewisse Datenschutzstandards nachzuweisen?
Auch ein Vertragspartner kann ein Interesse daran haben, gewisse Standards vorzuschreiben oder deren Einführung bis zu einem vertraglich bestimmten Zeitpunkt zu verlangen. Auch eine vertragliche Pflicht kann das Vorgehen in diesem Thema beeinflussen und vorantreiben.
- Wie sieht die Risikolage aus?
In ihrer konkreten Ausgestaltung beruhen sowohl der Datenschutz als auch die Informationssicherheit auf Risikoabschätzungen; diese können zur Erkenntnis führen, dass auch ohne formelle gesetzliche Verpflichtung die Einführung gewisser Prozesse oder Standards sinnvoll sein kann.
Bestehen besondere Risiken, denen die Organisation ausgesetzt ist, und wie gross sind die Nachteile, die entstehen, wenn sich ein solches Risiko materialisiert? Im Datenschutz sind nebst Reputationsrisiken zunehmend auch Sanktionen der Aufsichtsbehörden einzukalkulieren. Auch in der Informationssicherheit sind Reputationsrisiken zu beachten, dazu kommen aber auch konkrete politische Erpressbarkeit, Risiken für öffentliche Güter (wie etwa der Verlust von Leben bei einem Cyberangriff auf die IT-Infrastruktur eines öffentlichen Spitals oder der Zusammenbruch der Stromversorgung bei einem Angriff auf ein Elektrizitätsunternehmen) oder im kommerziellen Kontext wirtschaftliche Nachteile bei der Verletzung von Geschäftsgeheimnissen.
- Welche Ressourcen sind intern vorhanden? In welchem Umfang können externe Ressourcen dazugenommen werden?
Beschränkte Ressourcen personeller oder finanzieller Natur können das Vorgehen ebenso beeinflussen und die Organisation dazu verpflichten, den Blick auf das Wesentliche zu legen: Wo drohen uns grössere Nachteile, wenn wir es nicht implementieren, im Datenschutz oder in der Informationssicherheit? Der Aufbau einer internen Compliance kann dann entsprechend den verfügbaren Ressouren organisiert werden (der Einwand, es seien überhaupt keine Ressourcen vorhanden, wird aber natürlich einen schweren Stand haben).
In jedem Falle: kontinuierlich und interdisziplinär
Gestützt auf diese Fragenkomplexe kann dann ein vorläufiger Entscheid gefällt werden: was soll implementiert werden, bis wann und in welcher Reihenfolge. Entscheidet sich eine Organisation, mit dem Datenschutz zu beginnen und vorerst ein DSMS einzuführen, können bestimmte Werkzeuge aus dem Bereich ISMS einbezogen werden (so etwa Schutzbedarfsanalysen). Dies kann die spätere Ausweitung auf Aspekte der Informationssicherheit vereinfachen. Nimmt man im Gegensatz die Informationssicherheit zum Ausgangspunkt, so bestehen verschiedene Möglichkeiten, den Datenschutz in einem zweiten Schritt zu ergänzen. Wird etwa die ISO-Norm 27001 für die Informationssicherheit verwendet, kann mithilfe der neueren Norm ISO 27701 ein bestehendes ISMS um den Datenschutz nach DSGVO ausgebaut werden.
Ob man mit einem ISMS oder einem DSMS beginnt: In jedem Falle beruht gutes Risikomanagement auf einer kontinuierlichen Evaluation, Anpassung und Verbesserung. Es empfiehlt sich zudem, ein Datenschutz-Management-System unter Einbezug einer Fachperson der Informationssicherheit aufzubauen und umgekehrt. Nebst einer besseren Risikoeinschätzung erlaubt ein solcher interdisziplinärer Ansatz eine bessere Implementierung und erleichtert die spätere Erweiterung, wenn das DSMS mit Informationssicherheit ergänzt werden soll oder umgekehrt.
