Datenschutz und Informationssicherheit

Datenschutz und Informationssicherheit gehören zu den Kernanforderungen an ein rechts- und revisionssicheres IT-System und bilden die Basis des IT-Compliance-Systems. Neue Anforderungen aus der EU-Datenschutzgrundverordnung (DSGVO), aus dem IT-Sicherheitsgesetz sowie aus der in Umsetzung befindlichen NIS-Richtlinie führen zu einer engen Verzahnung der beiden Bereiche und bedingen bis 2018 umfangreiche Anpassungen und Umsetzungen.
IT-Compliance umfasst die Einhaltung von gesetzlichen und vertraglichen Regelungen in der IT-Landschaft der gesamten Organisation. Datenschutzanforderungen, seien es Daten aus den Fachverfahren, Beschäftigtendatenschutz oder Daten auf Internetpräsenzen, bilden ein wichtiges Feld, welches vor allem durch die zeitnahe Umsetzungsnotwendigkeit der DSGVO hohe Priorität haben sollte. Ein weiterer wichtiger Baustein ist die Informationssicherheit, zum einem durch die gestiegene Angriffsdichte im Cyberraum, zum anderen aber auch bedingt durch die immer stärkere Durchdringung aller Verwaltungsprozesse mit IT-Verfahren. Dabei stehen sowohl im Datenschutz als auch in der Informationssicherheit künftig nicht Einzelmaßnahmen, sondern risikobasierte Managementsysteme im Fokus.

Bei Nichteinhaltung der gesetzlichen Vorgaben drohen den Behörden direkte Konsequenzen, wie Schadensersatzforderungen und erhebliche Imageschäden. Die jeweilige Behördenleitung haftet, anders als Geschäftsführer von Unternehmen der öffentlichen Hand, in der Regel nicht persönlich für die entstandenen Schäden, allerdings sind dienstaufsichtsrechtliche Konsequenzen wahrscheinlich. Die strafrechtliche Verantwortlichkeit trifft die Behördenleitung und Geschäftsführer von Unternehmen der öffentlichen Hand gleichermaßen. Beim Thema Compliance geht es nach unserer Auffassung nicht nur darum, dass Vorschriften beachtet werden, sondern im Fokus steht auch eine  professionelle Konfliktvorsorge durch die Führungskräfte der jeweiligen Behörden und Organisationen, damit vorbeugende Schritte nachgewiesen werden können, um persönlich treffende (straf)rechtliche Folgen für Präsidenten, Vorstände, Leitungsebene etc. zu vermeiden.
Datenschutz
Die EU-Datenschutzgrundverordnung (DSGVO) wird auch Behörden und weitere öffentliche Stellen betreffen. Sie gilt ab 25. Mai 2018 und ist somit von den Organisationen bis zu diesem Termin komplett umzusetzen. Nach Artikel 2 DSGVO sind aus dem sachlichen Anwendungsbereich lediglich Behörden ausgenommen, die zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung personenbezogene Daten verarbeiten. Für diese gilt die RL (EU) 2016/680, welche ebenfalls bis Mai 2018 in nationales Recht umgesetzt wird. Damit gilt die DSGVO generell für alle anderen bundes-, landes- und kommunal­rechtlichen Aufgabenbereiche, bei denen personenbezogene Daten verarbeitet werden.

Vor dem Hintergrund einer immer komplexer werdenden Struktur von IT-Serviceleistern (eigene IT, IT im nahen behördlichen Umfeld, zentrale IT im Rechenzentrum, externe Dritte als IT-Serviceleister) wurden dem öffentlichen Sektor durch die EU-DSGVO umfassende neue konkrete Anforderungen zum Schutz personenbezogener Daten auferlegt. Dabei betreffen diese in der realen Umsetzung nicht immer nur personenbezogene Daten im engeren Sinne, sondern auch den Umgang mit Daten und Informationen einer Behörde insgesamt (Organisation, Infrastruktur, Anwendungsprogramme, Verwaltungsprozesse etc.).

Die DSGVO stellt damit auf eine stete Steigerung des Niveaus zur Daten- und Informationssicherheit im Rahmen der zunehmenden Digitalisierung ab.

INFORA kennt aus zahlreichen Projekten, nicht zuletzt auch zur E-Akte, die vielfältigen Problemstellungen der Organisation und der Prozesse der öffentlichen Verwaltung bezüglich Datenschutz und Informationssicherheit und kann damit wirksam bei der Ermittlung und Umsetzung der Aufgaben zur Anpassung an die DSGVO unterstützen. INFORA verfügt dabei über das notwendige interdisziplinäre Know-how, um bezüglich der rechtlichen, IT-organisatorischen und sicherheitsrelevanten Anforderungen zu unterstützen.
Informationssicherheit
Informationssicherheit beschränkt sich nicht auf den Schutz elektronischer Daten, sondern nimmt sich auch der gedruckten, gesprochenen und anderen Arten von Informationen in Geschäftsprozessen an. Entscheidend ist das Risikopotenzial, das mit der Erzeugung, Verarbeitung, Übermittlung und Speicherung von Informationen verbunden ist, denn die Gewährleistung von Informationssicherheit ist Teil der Risikovorsorge von Unternehmen, Behörden, Institutionen.

Ein wirksames Informationssicherheitsmanagement ist somit ein wesentliches Instrument, damit künftig Behörden noch in der Lage sein werden, auf stabile Verwaltungsprozesse zu vertrauen.

Der Schwerpunkt bei der Planung und Umsetzung von Maßnahmen verlagert sich von Einzelmaßnahmen hin zur Etablierung von ganzheitlichen Informationssicherheitsmanagementsystemen (ISMS) gemäß den Standards ISO/IEC 27001 und/oder IT-Grundschutz. Informationssicherheit ist eine Querschnittsaufgabe für das Management, die IT-Organisation und die Geschäftsprozess-Owner.

Dieser Querschnittsaspekt findet in unserem Beratungsansatz seinen Niederschlag. Wir sehen die Sicherheitsberatung stets im konkreten Kontext - die breitgefächerten Kenntnisse und Erfahrungen unserer Berater auf verwaltungsfachlichem, rechtlichem und technischem Gebiet, unterlegt mit einschlägigen Zertifizierungen, sind dabei Gewähr für den notwendigen interdisziplinären Projektansatz.
Ansprechpartner
Werner, Andreas

Andreas Werner

Telefon
030 893658-0
E-Mail
[E-Mail anzeigen]