Datenschutz:
Praxisnahe Hilfe für die DSGVO


[3.5.2018] Speziell für kleinere Behörden hat das Sicherheitsinstitut VdS Richtlinien zur praxisgerechten Umsetzung der Datenschutz-Grundverordnung herausgebracht. Welche Hilfe diese konkret bieten, beschreibt Markus Edel, Leiter des Bereichs Cyber-Security bei VdS.

Markus Edel, Leiter des Bereichs Cyber-Security beim Sicherheitsinstitut VdS Herr Edel, in vielen Behörden herrscht Irritation angesichts der neuen Datenschutz-Grundverordnung (DSGVO), die zum 25. Mai dieses Jahres vollständig umgesetzt sein muss. Können Sie uns bezüglich dieser Verordnung ein wenig aufklären?

Die Datenschutz-Grundverordnung soll einen europaweit einheitlichen Standard schaffen. Die Auswirkungen des fast 300 Seiten starken Werks auf Organisation und IT gerade von kleineren Dienststellen sind tiefgreifend – auf die ab dem 25. Mai geltende Rechtslage sind viele Behörden und auch viele der betroffenen Unternehmen nicht vorbereitet. Das ist riskant, da zum Stichtag bei Zuwiderhandlung hohe Bußgelder von bis zu 20 Millionen Euro drohen.

Was genau kommt hier auf die Behörden zu?

Die wohl gravierendste Neuerung gegenüber der jetzigen Rechtslage ist die so genannte Rechenschaftspflicht. Sie fordert: Jede Behörde muss jederzeit klar nachweisen können, dass sämtliche Vorgaben der DSGVO eingehalten werden. Das können Institutionen nur auf eine Art leisten: Durch das Einrichten eines Datenschutz-Management-Systems. Das ist ein Führungssystem, kein technisches Hilfsmittel – kann allerdings durch ein solches abgebildet werden. Nötig wird ein Regelrahmenwerk mit klar definierten Leit- und Richtlinien, Prozessen, Rollen und Verantwortlichkeiten sowie Kontrollmechanismen, auch mit prüffähiger Dokumentation und klarer Kommunikation. In praxisgerechte Vorgaben übersetzt wird der umfassende DSGVO-Umsetzungsprozess durch die neuen und kompakten Richtlinien 10010 der VdS Schadenverhütung. Gerade kleinere Behörden sagen, dieser präzise Management-System-Ansatz mache die EU-Forderungen für sie überhaupt erst anwendbar.

Was zeichnet die Richtlinien aus?

VdS-Richtlinien setzen schon seit Jahrzehnten Sicherheitsstandards und sind vor allem für ihre Praxisnähe sowie die Konkretheit der Hilfestellungen bekannt. Die neue VdS-Publikation zeigt Behörden einen Weg auf, die rechtlichen, organisatorischen und technischen Anforderungen der DSGVO so strukturiert wie möglich umzusetzen – und das mit überschaubarem Aufwand. Die 10010-Richtlinien beschreiben ein auditier- und zertifizierfähiges Datenschutz-Management-System, präzise zugeschnitten speziell für die zahlreichen kleineren Dienststellen.

„Wir wollen deutlich machen: Datenschutz ist kein reines IT-Thema, sondern Chefsache.“

Wie genau funktioniert der Leitfaden?

Die Richtlinien VdS 10010 präzisieren alle notwendigen Ressourcen zur Erfüllung der Datenschutz-Grundverordnung auf nur 32 Seiten und geben klar definierte Rollen und Verantwortlichkeiten vor. Generell adressiert der Leitfaden die oberste Behördenleitung. Wir wollen deutlich machen, dass Datenschutz keinesfalls ein reines IT-Thema, sondern Chefsache ist. Konkret heißt das: Die zentrale Verantwortung für die Umsetzung des geforderten DSGVO-Niveaus trägt die oberste Behördenleitung. Zentraler Ansprechpartner für alle Belange zum Thema ist der Datenschutzbeauftragte (DSB) der Behörde, an ihn wenden sich betroffene Personen, Behördenmitarbeiter und übergeordnete Aufsichtsstellen. Er überwacht die Einhaltung der EU-Vorschriften. Zu seiner Unterstützung sehen die VdS-Richtlinien 10010 einen Datenschutz-Manager (DSM) vor. Dieser initiiert, plant und steuert die Implementierung des Datenschutz-Management-Systems und setzt es um. Unterstützt wird er dabei von einem Datenschutz-Team: Ein Gremium, das neben dem Vertreter der Behördenleitung sowie dem Datenschutzbeauftragten und/oder dem Datenschutz-Manager auch aus dem IT-Verantwortlichen und Mitarbeitervertretern besteht. Sinnvoll kann außerdem die Teilnahme von Vertretern der Abteilungen Recht, Personal, Finanzen und weiterer operativer Einheiten sein.

Warum halten Sie den Einsatz eines solchen Datenschutz-Teams für sinnvoll?

Das Gremium ist wichtig, da seine Zusammensetzung die Berücksichtigung möglichst vieler Interessen innerhalb der Behörde sicherstellt. Unsere fast 25-jährige Erfahrung mit Management-Systemen belegt: Verstehen Mitarbeiter das Veränderungsziel und haben den Eindruck, dass sie aktiv mitwirken können, agieren sie meist proaktiv und stehen hinter den geplanten Veränderungen. Sie werden dann zu werbenden Multiplikatoren, was in der Belegschaft die Akzeptanz für den Datenschutz erhöht.

Welche Hilfestellungen umfasst der Leitfaden 10010 konkret und wie ist er aufgebaut?

Die Richtlinien zum Datenschutz regeln behördenindividuelle Grundsätze der Datenverarbeitung nach DSGVO: Rechtmäßigkeit, Zweckbindung, Richtigkeit, Treu und Glauben, Verhältnismäßigkeit, Transparenz, Datenminimierung, Vertraulichkeit, Verfügbarkeit und Integrität, Speicherbegrenzung, Nachweisbarkeit. Zudem präzisieren die Richtlinien 10010 Verfahren, um die von der DSGVO geforderten Prozesse sicherzustellen – unter anderem für die Wahrung von Betroffenenrechten, die Sensibilisierung von Mitarbeitern, das Erstellen und Pflegen des Verarbeitungsverzeichnisses, das Vertragsmanagement, die Durchführung der Risikoanalyse und der Datenschutz-Folgenabschätzung. Die VdS 10010 orientieren sich an unserem prämierten Informationssicherheits-Management-System VdS 3473. Ein Fokus liegt auf klarer und eindeutiger Sprache. So sind zwingend benötigte Anforderungen immer mit großgeschriebenem „MUSS“ gekennzeichnet. Mit großem „SOLLTE“ markierte Punkte stellen Empfehlungen dar, die für eine Zertifizierung nicht relevant sind. Sehr hilfreich dürfte zudem der kostenlose Quick-Check sein, mit dem Behörden nach 26 kompakten Fragen ihren individuellen Umsetzungsstatus bestimmen können und, wo nötig, erste Optimierungshilfen erhalten.

Welche weitere Hilfe kann VdS den Kommunen bieten?

Wird, insbesondere in kleineren Behörden, unterstützende Fachkunde auf dem Gebiet des Datenschutzes benötigt, so empfiehlt sich die Einbeziehung qualifizierter Dienstleister. Ein entsprechendes VdS-Anerkennungsverfahren für Datenschutz-Management-System-Berater haben wir vor Kurzem etabliert. Die ersten speziell von VdS ausgebildeten und zertifizierten Experten können die Behörden bei Bedarf bereits unterstützen.

Wie geht es für die Behörden nach dem 25. Mai weiter?

Wir werden in Kürze konkret sehen, welche Anforderungen die Aufsichtsbehörden an die Umsetzung der DSGVO stellen. In der Folge wird es dann wohl auch zu Präzisierungen in der Verordnung kommen. Natürlich werden unsere Experten die VdS-Hilfestellungen immer aktuell anpassen und auch die Überarbeitungen weiterhin kostenlos zur Verfügung stellen. Übrigens bieten wir für interessierte Behörden auch die Zertifizierung ihres Datenschutzes nach VdS 10010 an.

Interview: Bettina Schömig

http://vds.de/dsgvo
http://vds-quick-check.de
Dieser Beitrag ist in der Ausgabe Mai 2018 von Kommune21 im Schwerpunkt Datenschutz erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: IT-Sicherheit, Datenschutz, DSGVO

Bildquelle: VdS

Druckversion    PDF     Link mailen


Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
ECOS Technology: VS-NfD-konforme Videokonferenzen
[14.7.2022] Der IT-Security-Spezialist ECOS Technology hat eine vielseitige und besonders sichere Videokonferenz-Lösung entwickelt, die nun auch vom BSI zugelassen wurde. Ein Boot-Stick erlaubt den Einsatz bis zum Geheimhaltungsgrad VS-NfD. Auch der Betrieb On-Premises ist möglich. mehr...
Mithilfe eines Boot-Sticks kann das BSI-zertifizierte Videoconferencing-Tool von ECOS Technology bis zum Geheimhaltungsgrad VS-NfD genutzt werden.
Cyber-Agentur: Forschung für den Schutz von KRITIS
[30.6.2022] Die Cyber-Agentur startet ihr bislang größtes, europaweites Ausschreibungsverfahren: 30 Millionen Euro sollen für Forschung zum Schutz kritischer Systeme in Deutschland vergeben werden. Genutzt wird die vorkommerzielle Auftragsvergabe zur Beschaffung von Forschungsleistungen. mehr...
Studie: E-Mail-Sicherheit per Cloud
[28.6.2022] Eine vom Software-Haus Net at Work beauftragte Studie über die E-Mail-Sicherheit im öffentlichen Sektor zeigt, dass viele Verwaltungen hierfür keine eigenen Ressourcen haben. Maßgeschneiderte Cloud-Lösungen – mit engmaschigem Support – können Abhilfe schaffen. mehr...
Kommunen: Neues IT-Grundschutzprofil
[27.6.2022] In Version 3.0 steht nun das IT-Grundschutzprofil für die Basis-Absicherung von Kommunalverwaltungen zur Verfügung. Insbesondere kleinere und mittlere Kommunen können von der Blaupause profitieren. mehr...
Sachsen: Datenschutzbericht 2021 vorgelegt
[20.6.2022] Die neue Sächsische Datenschutzbeauftrage Juliane Hunderte hat den Datenschutzbericht 2021 vorgelegt. Wie schon im Vorjahr war ein hoher Beratungsbedarf und – infolge der zunehmenden Digitalisierung – ein Anstieg bei gemeldeten Datenpannen zu beobachten. mehr...
Sachsens Datenschutzbeauftragte Juliane Hunderte hat ihren Tätigkeitsbericht für das Jahr 2021 vorgestellt.
Weitere FirmennewsAnzeige

Interview mit Professor Robert A. Sedlák: Transformation in der kommunalen Wirtschaft
[19.7.2022] Im Interview erläutert der systemische Organisationsberater Robert A. Sedlák, inwiefern Institutionen der kommunalen Wirtschaft und insbesondere Stadtwerke die aktuellen Herausforderungen im Kontext gesellschaftlicher, politischer und technologischer Transformationsprozesse nutzen können, um zu einem proaktiven Gestalter der Trends unserer Zeit zu werden. mehr...
Suchen...

Aktuelle Information des Verlags


In Zeiten der Corona-Pandemie werden wir aktuelle Ausgaben von Kommune21 allen Interessierten bis auf weiteres kostenfrei digital zur Verfügung stellen. Weisen Sie bitte auch Ihre Kolleginnen und Kollegen im Homeoffice auf diese Möglichkeit hin.

Wir haben an dieser Stelle eine Bitte an Sie:
Die gegenwärtige Situation macht einmal mehr deutlich, wie wichtig das Thema Digitalisierung auch in Ihrer Verwaltung, Behörde oder Schule ist. Kommune21 berichtet seit 20 Jahren über alle wichtigen Themen der IT-gestützten Verwaltungsmodernisierung und hilft, die Digitalisierung im Public Sector transparent und besser zu gestalten. Bitte prüfen Sie über Ihre Buchhaltung, ob Sie bereits ein reguläres Abonnement von Kommune21 haben. Wenn nicht, dann freuen wir uns, wenn Sie gerade in diesen Zeiten ein Abonnement in Betracht ziehen. Danke!

Kommune21, Ausgabe 08/2022
Kommune21, Ausgabe 07/2022
Kommune21, Ausgabe 06/2022
Kommune21, Ausgabe 05/2022

Aboverwaltung


Abbonement kuendigen

Abbonement kuendigen
Ausgewählte Anbieter aus dem Bereich IT-Sicherheit:
procilon GmbH
04425 Taucha bei Leipzig
procilon GmbH
Net at Work GmbH
33104 Paderborn
Net at Work GmbH
NCP engineering GmbH
90449 Nürnberg
NCP engineering GmbH
Aktuelle Meldungen