Datenschutz und IT-Grundschutz Der neue Datenschutzbaustein in den IT-Grundschutzkatalogen

Ordnungsmerkmale

erschienen in: <kes> 2007^#5, Seite 59

Zusammenfassung: Datenschutz – ist das nicht das seit vielen Jahren leere Kapitel in den IT-Grundschutz-Katalogen? Seit Mitte September 2007 nicht mehr! Der neue Datenschutzbaustein 1.5 unterstützt Datenschutz- und Informations-Sicherheits-Beauftragte und geht neue Wege bei der Integration von Datenschutz und IT-Grundschutz.

Autor: Von Johann Bizer und Martin Meints, Kiel

Datenschutz und Informations-Sicherheit weisen eine wesentliche Schnittmenge auf: Datenschutz stützt sich bei seinem Ziel, das Recht auf informationelle Selbstbestimmung der Betroffenen durchzusetzen, auf zentrale Prinzipien, zu denen die Umsetzung von geeigneten organisatorischen und technischen Maßnahmen zur Informationssicherheit gehört. Informationssicherheit wiederum betrachtet im Rahmen der Risikoanalyse und der umzusetzenden Maßnahmen stets auch Anforderungen, die sich aus der Konformität zu geltendem Recht und damit auch dem Datenschutzrecht ergeben (Compliance). So sind beispielsweise bei der Schutzbedarfsfeststellung im IT-Grundschutzhandbuch schon seit 1996 auch die Risiken für das Recht auf informationelle Selbstbestimmung zugrunde zu legen.

Bereits unmittelbar nach der Veröffentlichung der ersten Version des IT-Grundschutzhandbuchs (GSHB) im Jahr 1995 nahm die Arbeitsgruppe "Datenschutz im IT-GSHB" der Datenschutzbeauftragten des Bundes und der Länder ihre Arbeit auf. Sie legte Anfang 1996 eine erste Version eines Datenschutzbausteins (damals noch Kap. 3.5) für das IT-Grundschutzhandbuch vor. Wegen methodischer und anderer Einwände konnten diesem Baustein jedoch nicht alle für den Datenschutz zuständigen Aufsichtsbehörden zustimmen. Er wurde 1999 und 2002 von der Arbeitsgruppe zwar noch weiterentwickelt, konnte aber mangels Konsens nicht in das IT-Grundschutzhandbuch aufgenommen werden. Zuletzt war er über eine E-Mail-Adresse beim Bundesbeauftragten für den Datenschutz zu beziehen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2005 das IT-Grundschutzhandbuch grundlegend überarbeitet und in diesem Zusammenhang wesentliche übergeordnete Aspekte wie das IT-Sicherheitsmanagement in die BSI-Standards 100-1 bis 100-3 ausgelagert. Mit der Ausrichtung des Sicherheitsmanagements an der ISO 27001 "Information Security Management Systems – Requirements" orientieren sich die Sicherheitsprozesse nunmehr an "Good-Practice"-Abläufen, die bereits seit Mitte der 50er-Jahre im Qualitätsmanagement entwickelt worden sind. Unter diesem Gesichtspunkt der Neupositionierung hat die Arbeitsgruppe "Datenschutz im IT-Grundschutz" 2006 ihre Arbeit erneut aufgenommen und den Baustein Datenschutz unter Leitung von Claus Simon, Referatsleiter Technik beim Landesbeauftragten für den Datenschutz Saarland, grundlegend überarbeitet. Die wesentlichen Neuerungen sind:

• Grundsätzliche Neufassung der Bausteinbeschreibung, seiner Zielsetzung und der Hinweise zu seiner Anwendung,
• Erweiterung und Aktualisierung des Katalogs der Gefährdungslagen,
• Erweiterung und Aktualisierung der Maßnahmen, insbesondere auch unter Berücksichtung der Novellierungen im Datenschutzrecht in den Jahren 2002 bis 2006 – die Maßnahmen wurden unter dem Gesichtspunkt der Lebenszyklen von Verfahren (Planung, Errichtung, Betrieb) gegliedert und mit einer Priorisierung für die Umsetzung (A, B, C und Z) versehen,
• Erarbeitung eines "Good-Practice"-Modells für das Datenschutzmanagement, das auf das Zusammenwirken mit dem Sicherheitsmanagementprozess nach IT-Grundschutz optimiert ist.

Die Arbeiten an diesem Baustein hat das BSI redaktionell unterstützt, sodass unter sprachlichen und Layout-Gesichtspunkten eine Vereinheitlichung mit den IT-Grundschutz-Katalogen erreicht werden konnte. Ferner hat das BSI Vorschläge für die Verbesserung des Bausteins Datenschutz gemacht, die von der Arbeitsgruppe übernommen wurden. Die Arbeitsgruppe wiederum hat einige Vorschläge für die Ergänzung des Standards 100-2 erarbeitet, die das BSI begrüßt und weitgehend aufgenommen hat; sie werden mit der nächsten Version veröffentlicht.

Ein entscheidender Durchbruch gelang im Frühjahr 2007, als der Entwurf für den Baustein die Zustimmung aller Aufsichtbehörden für den Datenschutz in der Bundesrepublik Deutschland erreichen konnte. Der Baustein wird somit sowohl für den behördlichen als auch für den privatwirtschaftlichen Bereich in Deutschland einheitlich empfohlen. Er steht in einer ersten Fassung seit Mitte September auf den Internetseiten des BSI zum Download bereit [1]. Der Baustein ist unter Berücksichtigung des nationalen Datenschutzrechts erstellt worden und hat daher zunächst nur nationale Reichweite. Er kann jedoch auch in anderen Mitgliedsländern der Europäischen Union als Einstieg in den Datenschutz dienen, da über die Datenschutzrichtlinie eine Harmonisierung im Binnenmarkt erreicht worden ist.

Diskussionen dürfte hingegen die Frage auslösen, ob ein ISO-27001-Auditor die fachliche Kompetenz haben kann, die Umsetzung von Datenschutz auf Basis dieses Bausteins zu zertifizieren. Das BSI hat entschieden, den Baustein Datenschutz zunächst als Hilfsmittel und somit nicht als formalen Bestandteil der Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz einzustufen. In der Tat bestehen auch bei den Datenschützern Vorbehalte, ob durch eine förmliche BSI-Auditierung die spezifischen datenschutzrechtlichen Belange ausreichend Beachtung finden können. Dennoch stellt der Baustein Datenschutz eine wichtige Etappe auf dem Weg zu einer methodischen Integration von Datenschutz und Datensicherheit dar und sollte als Chance für konkrete Erfahrungen betrachtet werden.

Inhalts-Überblick

Welche Möglichkeiten eröffnet der neue Baustein und welche Grenzen hat er? Je nach fachlichem Arbeitsbereich kann das Datenschutzrecht in Deutschland sehr komplex sein. Neben den Vorschriften des Bundes- beziehungsweise der Landesdatenschutzgesetze können spezielle bereichsspezifische Regelungen wir die des Polizeirechts, der Sozialgesetzbücher, des Melderechts et cetera von Bedeutung sein. Vor diesem Hintergrund kann der Baustein weder eine komplette Übersicht über das Datenschutzrecht umfassen, noch eine datenschutzrechtliche Beratung ersetzen. Vier wesentliche Dinge bietet er jedoch:

• eine Einführung in Grundlagen und Aufgabenstellungen sowie besondere Konstellationen des Datenschutzes (z. B. Auftragsdatenverarbeitung, Datenverarbeitung im Ausland etc.),
• 13 datenschutzspezifische Gefährdungslagen (z. B. fehlende Zulässigkeit für die Verarbeitung personenbezogener Daten etc.)
• ein "Good-Practice"-Muster für ein prozessorientiertes Management von Anforderungen, die sich aus dem Datenschutzrecht für eine Organisation ergeben (Maßnahmen M 7.1) und
• 15 Maßnahmen zur Umsetzung wesentlicher datenschutzrechtlicher Prinzipien in IT-Verfahren (z. B. Erforderlichkeit, Datenminimierung, Zweckbindung, Maßnahmen zur IT-Sicherheit etc.).

Die Maßnahmen sind so ausgestaltet, dass sie ergänzend zu den vielen Maßnahmen zur Informationssicherheit der Grundschutz-Kataloge wirken. Eine Kreuzreferenztabelle erläutert, welche Maßnahmen welchen Gefährdungslagen in diesem Baustein entgegenwirken.

Die Einführung eines auf dem Plan–Do–Check–Act-Zyklus (PDCA) beruhenden, die Lebenszyklen von IT-Verfahren berücksichtigenden Managementprozesses gewährleistet die Anschlussfähigkeit zu dem auf ISO 27001 basierenden Informationssicherheits-Management. Der Datenschutzmanagement-Prozess ist in Anlehnung an die ISO/IEC 9000 ff. modelliert: Neben einem Kernprozess, der große Ähnlichkeiten zum IT-Sicherheitsprozess des IT-Grundschutzes aufweist, gibt es eine Reihe von Unterstützungsprozessen (vgl. Abbildungen). Dabei lässt sich die Qualität des auf diesem Musterprozess beruhenden Datenschutzmanagements im laufenden Betrieb mit dem Prozess-Reifegrad-Modell bewerten, das etwa auch bei COBIT und der IT-Infrastructure Library (ITIL) Anwendung findet.

Abbildung 1: Kernprozess für das Datenschutzmanagement

Der Datenschutzmanagement-Prozess stützt sich dabei bewusst auf den IT-Sicherheitsprozess – das Datenschutz-Management kann und soll sich auf seinen fachlichen Kern der Überwachung und Bewertung beispielsweise von Sicherheitsvorfällen unter Datenschutzgesichtspunkten fokussieren. Mit anderen Worten: Der betriebliche beziehungsweise behördliche Datenschutzbeauftragte wirkt in den Sicherheitsprozessen fachlich mit, wenn personenbezogene Daten betroffen sind. Die für das Datenschutzmanagement einzusetzenden personellen Ressourcen bleiben damit überschaubar. Dieser Aspekt ist unter wirtschaftlichen Gesichtspunkten für Organisationen von Bedeutung, die aufgrund ihrer Gegebenheiten Informationssicherheit vorrangig aus anderen als Datenschutzgründen betreiben. Das Datenschutzmanagement kann im Bereich der Unterstützungsprozesse zusätzlich entlastet werden, wenn Standardprozesse für den IT-Betrieb, etwa auf Basis der IT-Infrastructure Library (ITIL) eingesetzt werden (vgl. [2]).

Vor diesem Hintergrund taucht die Frage auf, ob eine funktionale und personelle Trennung von Datenschutz- und IT-Sicherheitsbeauftragtem überhaupt erforderlich ist. In Anbetracht der jeweiligen Aufgaben dieser Beauftragten ist das eindeutig mit Ja zu beantworten: Der IT-Sicherheitsbeauftragte soll die Sicherheitsziele der Vertraulichkeit, Verfügbarkeit und Integrität auf dem benötigten Schutzniveau innerhalb der Organisation konzeptionell und operativ sicherstellen; dazu setzt er geeignete organisatorische und technische Maßnahmen um. Der Datenschutzbeauftragte hat neben seiner Beratungs- und Schulungsaufgabe die Einhaltung datenschutzrechtlicher Bestimmungen in der Organisation zu überwachen, das heißt er hat bezogen auf die Informationssicherheit keine operative, sondern eine Controlling-Funktion. Bei deren Wahrnehmung kann es Konflikte geben, beispielsweise wenn der IT-Sicherheitsbeauftragte personenbezogene Protokolldaten zur möglichen späteren Auswertung über einen längeren Zeitraum speichern möchte, der Datenschutzbeauftragte unter Hinweis auf die rechtlichen Vorgaben der Erforderlichkeit und Datensparsamkeit jedoch auf konkrete Auswertungsanlässe und eine zeitliche Begrenzung der Speicherung drängt. Zudem gehört es zu den Aufgaben des Datenschutzbeauftragten, die Konzeption und Arbeit des IT-Sicherheitsmanagements unter Datenschutzgesichtspunkten zu überprüfen.

Abbildung 2: Unterstützungsprozesse für das Datenschutzmanagement

Was bietet der Baustein noch? Das Datenschutzrecht gibt unter Berücksichtigung der bereits genannten datenschutzrechtlichen Prinzipien spezifische Sicherheitsziele vor. So sind zum Beispiel in der Anlage zu § 9 des Bundesdatenschutzgesetzes (BDSG) die Weitergabe-, Eingabe- und Auftrags-Kontrolle als spezifische Sicherheitsziele formuliert, die in den IT-Grundschutz-Katalogen (und auch anderen Standards der Informationssicherheit) in dieser Begrifflichkeit nicht erscheinen. Der Baustein Datenschutz löst dieses Spannungsverhältnis mithilfe einer weiteren Kreuzreferenztabelle auf, aus der sich die Maßnahmen der IT-Grundschutz-Kataloge ergeben, mit denen die datenschutzspezifischen Sicherheitsziele aus der Anlage zu § 9 BSDG umzusetzen sind. Die Tabelle ist damit ein wertvolles Hilfsmittel für die Bewertung von IT-Sicherheitskonzepten unter Gesichtspunkten des Datenschutzes und damit für Prüfungen, Kontrollen und Datenschutzaudits. Für eine vertiefende Einführung in den Baustein Datenschutz siehe auch [3].

Ausblick

Soweit klingt das Modell des neuen Bausteins ja ganz gut – aber wie geht es weiter? Derzeit laufen unter anderem in Schleswig-Holstein erste Umsetzungsprojekte, die sich auf das Datenschutz-Managementmodell und die Maßnahmen des Bausteins stützen. Erste Erfahrungen aus der Einführung weisen darauf hin, dass er bei großen Organisationen wie Rechenzentren und großen Behörden sehr wohl praxistauglich ist. Für eine abschließende Bewertung bedarf es jedoch noch weiterer praktischer Anwendungen und Erfahrungen.

Dr. Johann Bizer ist stellvertretender Leiter des Unabhängigen Landeszentrums für Datenschutz (ULD) Schleswig-Holstein. Dr. Martin Meints ist ULD-Mitarbeiter im EU-Projekt "Future of Identity in the Information Society" (FIDIS) und Datenschutz-Auditor.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007^#5, Seite 59
tag:kes.info,2007:art:2007-5-059