IT-Landschaft rechtssicher gestalten

Datenschutzkonzepte und Datenschutzfolgenabschätzungen nach Art. 35 DSGVO / § 67 BDSG sind wichtige Bausteine, um den Anforderungen eines risikobasierten Datenschutzmanagementsystems zu genügen. Dabei sollen Technisch-Organisatorische Maßnahmen (TOM) sicherstellen, dass im Rahmen einer Datenverarbeitung die Rechte und Freiheiten natürlicher Personen angemessen geschützt werden.

Die Landesbeauftragte für den Datenschutz Niedersachsen hat zur Unterstützung den Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS) vorgestellt, welcher geeignet ist, sowohl bei der Durchführung einer Datenschutz-Folgenabschätzung als auch bei einer normalen Verarbeitungstätigkeit die TOM systematisch herzuleiten.

Infora hat in Anwendung eigener Expertise und unter Einbeziehung vor allem des Standard-Datenschutzmodells als auch weiterer Working Paper des European Data Protection Board (EDPB) daraus ein eigenes Vorgehensmodell weiterentwickelt, welches es gestattet, in Abhängigkeit der Kundenorganisation und der zu betrachtenden Geschäftsprozesse skalierbar den gesamten Workflow vom Design Review über das Datenschutzkonzept bis zur kontinuierlichen Datenschutzfolgenabschätzung (PIA) abzubilden.​

Öffentliche Stellen müssen unabhängig von ihrer Größe gem. Art. 37 DSGVO Datenschutzbeauftragte bestellen, oft ist es darüber hinaus ratsam, zur Erfüllung der Verantwortlichenpflichten nach Art. 5 DSGVO darüber hinaus Datenschutzkoordinatoren / Datenschutzmanager zu benennen. Datenschutzverpflichtungen und Datenschutzsysteme von öffentlichen Stellen weisen oft zusätzliche Spezifika auf, welche im privaten Sektor nicht zur Anwendung kommen, wie z.B. Vorschriften des Sozialdatenschutzes oder der umgesetzten Richtlinie EU 2016/680 (JIRL). Oft finden auch Verarbeitungen in bestimmten sicherheitsempfindlichen Segmenten statt.

Infora unterstützt hier ihre Kunden mit der Gestellung externer Datenschutzbeauftragten als auch mit dem Einsatz spezialisierter Datenschutzmanager, letztere vor allem temporär bei der Implementierung der erforderlichen Systeme. Diese Leistungen werden durch hierfür speziell ausgebildete Berater ausschließlich für Kunden des öffentlichen Sektors erbracht. Die so gestellten Datenschutzbeauftragten und Datenschutzmanager unterliegen einer ständigen Weiterbildungsverpflichtung, haben sich im Rahmen der Firmenmitgliedschaft der Infora im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. dessen Berufsausübungsregelungen unterworfen und sind, soweit eine Bestellung als externe Datenschutzbeauftragte erfolgt, zur Gewährleistung der fachlichen Unabhängigkeit nach Art. 38 DSGVO / § 6 BDSG durch eine Selbstverpflichtung des Infora-Managements in der Ausübung ihrer Fachkunde weisungsfrei gestellt.

Darüber hinaus stehen die externen Datenschutzbeauftragten / Datenschutzmanager zumeist über ihre Bestellung hinaus auch als Lehrbeauftragte bei der Aus- und Weiterbildung behördlicher und administrativer Datenschutzbeauftragter im stetigen Praxisaustausch.​

Datenschutz und Informationssicherheit sind tragende Säulen jedes IT-Compliance-Systems. Zwischen diesen beiden Ansätzen gegeben sich umfassende Synergien, da beide Systeme einem PDCA-Zyklus folgen und auch bezüglich der Schutz- und Gewährleistungsziele oft Kongruenzen bestehen.

Die Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung (ISLL-Bund) des IT-Planungsrates verpflichtet die Verwaltungen des Bundes und der Länder zum Betrieb eines Informationssicherheitsmanagementsystems (ISMS) auf der Grundlage des IT-Grundschutzes oder der ISO 2700x-Reihe. Mit der Entscheidung 2020/06 des IT-Planungsrats vom März 2020 wird zusätzlich empfohlen, das Standard-Datenschutzmodells (SDM) bei Planung, Einführung und Betrieb von personenbezogenen Verarbeitungen als Datenschutzmanagementsystem anzuwenden

Infora unterstützt hier ihre Kunden mit einem integrierten Vorgehensmodell bei der Implementierung der erforderlichen Systeme, dessen Beratungsansatz die methodische Parallelität des Standard-Datenschutzmodells mit dem BSI-Grundschutz und der ISO 2700x-Reihe nutzt und dabei auf Wunsch Messmöglichkeiten des Reifegrades implementieren kann. Dabei ist in Abhängigkeit der Wünsche und Ressourcen des Kunden eine hohe Skalierbarkeit unter gleichzeitiger Absicherung essentieller gesetzlicher Vorgaben ebenso möglich wie eine prozessbegleitende Implementierung im Umfeld von z.B. E-Akte-Einführungen, FMS-Projekten oder OZG-Vorhaben.​

Die für öffentliche Stellen mittlerweile unverzichtbare Nutzung von Informationstechnologien bringt zum einem erhebliche Vorteile mit sich, setzt diese aber auch erheblichen Risiken aus. Dem folgend ist es für eine Organisation unverzichtbar, anfänglich und kontinuierlich die Risiken zu analysieren, welche mit dem Einsatz der Informationstechnologien verbunden sind.

Gerade neue, innovative Ansätze wie IoT, Blockchain, Künstliche Intelligenz oder Big-Data-Technologien ermöglichen zum einem neue Anwendungsfelder bei der Digitalisierung der öffentlichen Verwaltung, erzeugen aber mit ihrem Einsatz oft auch neue Herausforderungen bei der Ausgestaltung der rechtlichen Zulässigkeit und der Gewährleistung des notwendigen Sicherheitsniveaus, oft in einem immer stärker europarechtlich geprägten Umfeld. Die Einordnung und Bewertung von komplexen Dienstleistungen für die öffentliche Hand wie z.B. im Bereich Connected Cars oder E-Health kann mittlerweile nicht mehr entlang einer Einzeldisziplin erfolgen, sondern bedingt eine ganzheitliche Betrachtungsweise von Sicherheitsexperten, Juristen, Datenschützern und Informatikern.

Infora unterstützt hier ihre Kunden mit der Bildung von interdisziplinären Expertenteams aus den Reihen eigener auf Fragestellungen und Situationen des öffentlichen spezialisierten Berater um unter Anwendung von Methoden wie Management of Risk (M_o_R®) oder Rapid Legal Assessment Tool (RLAT) Risikoevaluationen und Bewältigungsstrategien zu erarbeiten, welche sich an den jeweiligen Lebensphasen, beginnend bei der Beschaffungsentscheidung bis zur Außerbetriebnahme, orientieren. Ergänzend können diese Prozesse mit Wirtschaftlichkeitsbetrachtungen nach Fachkonzept WiBe (5.0), mit speziellen Vergabeformen wie Wettbewerblicher Dialog oder Innovationswettbewerb oder auch nach der Verordnung PR N. 30/53 begleitet werden.

Die Beschaffung von Informations- und Kommunikationstechnologie oder diesbezügliche Dienstleistungen können sowohl die öffentlichen Auftraggeber wie auch die Bieterseite vor besondere Herausforderungen stellen. Neben den vielfach komplexen technischen, fachlichen und organisatorischen Fragestellungen sind auch das geltende Vergaberecht und die zu spezifizierenden EVB-IT zu beachten. Ein effektives und zugleich rechtsicheres Vergabeverfahren bedarf daher einer sorgfältigen Verfahrensvorbereitung und -durchführung. Hierbei unterstützt die Infora ihre Kunden nach einem etablierten Vorgehensmodell.

Dieses Vorgehensmodell orientiert sich an die geltenden Vorgaben und Gesetzen wie VgV, VSVgV und UVgO und den Empfehlungen der UfAB in der jeweils aktuellen Version, mit welcher verwendbare Bewertungs- und Dokumentenstrukturen empfohlen werden. Das Vorgehensmodell wird weiter kontinuierlich durch die umfassenden Erfahrungswerte aus der Begleitung in entsprechenden Projekten verbessert.

Grundsätzlich können vier Phasen unterschieden werden.

In der ersten Phase werden alle vorbereitenden Tätigkeiten durchgeführt,

die zweite Phase wird mit der Bekanntmachung des Vergabeverfahren eröffnet.

Die dritte Phase beinhaltet die Bewertung der Angebote bis hin zur Zuschlagsempfehlung,

die vierte Phase beinhaltet die Vertragsabwicklung ab Zuschlag bis Projektende.

Die Infora bietet die Unterstützungsleistung vollständig in allen Phasen an, kann jedoch auch für einzelne Bereiche bzw. mit einzelnen Aufgaben aus diesen Bereichen beauftragt werden. Das Vorgehensmodell wird seit Jahren auf den Erfahrungen aus erfolgreichen Projekten überprüft und im Bedarfsfall aktualisiert.

Zur projektinternen Kommunikation wird der interdisziplinäre Beratungsansatz eingesetzt, um die Anforderungen der verschiedenen Disziplinen optimal zu adressieren und den Informationsfluss zu steuern.