Auch kurz vor Einführung der DSGVO macht es durchaus Sinn, auch finanziell, die traditionelle Informationssicherheit Ihres Unternehmens weiter zu pflegen. Denn die DSGVO Maßnahmen sollten auf Ihre bereits bestehende Sicherheitsarbeit aufbauen.
EU, Behörden, Politik und anderen an Datensicherheit Interessierten ist es gelungen, die DSGVO in vielen privaten und staatlichen Unternehmen ganz oben auf die Tagesordnung zu setzen. Das ist absolut positiv.
Bisweilen hatte dieser große DSGVO-Hype jedoch eine nahezu sträfliche Vernachlässigung der traditionellen Informationssicherheit zur Folge.
Statt an Informationssicherheit und DSGVO parallel zu arbeiten, empfiehlt er die DSGVO-Maßnahmen auf die bestehenden Sicherheitsprozesse des Unternehmens. Für viele Unternehmen ist dies in der Regel die ISO 27001-Norm.
Schwer alles zu schaffen
„Wenn wir Unternehmen fragen, wie weit sie mit ihren DSGVO-Vorbereitungen sind, lautet die Antwort häufig, dass es eine Herausforderung ist bis zum Mai nächsten Jahres alles zu schaffen, und dass es häufig dazu führt, dass die Arbeiten im Bereich der Informationssicherheit nachrangig behandelt werden,“ erklärt Jesper E. Siig.
Das liegt nicht daran, dass die Unternehmen all das an Informationssicherheit aufzugeben gedenken, was sie in jahrelanger Arbeit aufgebaut haben. Aber es gibt eben nur wenige, die dafür sorgen, ihr bestehendes Informationssicherheitssystem mit den neuen DSGVO-Maßnahmen zu verbinden – obwohl gerade das das Ziel sein sollte.
Die Aussichtsbehörden empfehlen, DSGVO auf der Grundlage von ISO 27001 anzugehen, weil sich viele Sicherheitsprinzipien hier wiederfinden. Man kann sich also eine Menge Energie und Zeit sparen, wenn man sozusagen erweitert anstatt neuaufzubauen.
Gemeinsamkeiten der ISO- und DSGVO-Prinzipien
Gräbt man nur einen Spatenstich tief im DSGVO-Gesetzestext, ist Art. 32 speziell auf die Informationssicherheit ausgerichtet und darauf, wie Unternehmen in diesem Punkt die neuen Anforderungen aus der Verordnung erfüllen müssen. Hier steht unter anderem, dass ein Datenschutzverantwortlicher für die passenden technischen und organisatorischen Maßnahmen Sorge tragen muss – und diese Maßnahmen lassen sich mit Hilfe der ISO-Normen für Informationssicherheit, ISO 27001 und ISO 27002, entsprechend implementieren.
Die Verordnung verlangt die Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit sowie das mögliche Wiederherstellen der Verfügbarkeit von personenbezogenen Daten. All das sind klassische Tugenden in der Welt der Informationssicherheit.
Und schließlich steht im Mittelpunkt, dass ausgehend von den erkennbaren Risiken ein entsprechendes Sicherheitsniveau festzulegen ist. Dieser risikobasierte Ansatz bildet auch bei der ISO 27001-Norm die Prämisse.
Das Kind nicht mit dem Bade ausschütten
Mit anderen Worten soll man das Kind nicht mit dem Bade ausschütten – auch nicht, wenn es um Informationssicherheit, DSGVO und den Schutz von personenbezogenen Daten geht. Viele Unternehmen sind bereits auf dem richtigen Weg, und davon sollen sie auch nicht abgehen.
Je besser Sie Ihre bestehende Informationssicherheit pflegen, umso größer wird ganz automatisch Ihre DSGVO-Compliance.
