Was ist iDSM7?

Ein Datenschutz-Management-System soll den Schutz der personenbezogenen Daten im Unternehmen sicherstellen. Es stellt die Gesamtheit aller dokumentierten und implementierten Regelungen, Prozesse und Maßnahmen dar, mit denen der datenschutzkonforme Umgang mit personenbezogenen Daten im Unternehmen systematisch gesteuert und kontrolliert wird.

Das Datenschutzmanagementsystem iDSM7 ist eine Variante des etablierten, im Bayerischen IT-Sicherheitscluster e.V. entwickelten Informationssicherheitsmanagementsystems ISIS12 (InformationsSicherheitsmanagementSystem in 12 Schritten) mit DS-GVO-Option und soll es dem Anwender in einfacher Weise ermöglichen, die geforderte DS-GVO Compliance zu erreichen. Selbstverständlich hat der Anwender jederzeit die Möglichkeit, das reduzierte iDSM7 auf ISIS12 mit DS-GVO Option zu erweitern, um neben dem Datenschutz auch die Informationssicherheit in ein Managementsystem zu integrieren.

 

Die aus den 12 Schritten von ISIS12 abgeleiten 7 Schritte von iDSM7 setzen sich wie folgt zusammen:

0. Die Kontaktdaten der verantwortlichen Stelle und des Datenschutzbeauftragten, die zuständige Datenschutzaufsichtsbehörde und weitere Datenschutz relevanten Informationen (Mitarbeiteranzahl, Status Auftragsverarbeiter, Geschäfte mit Minderjährigen etc.) werden erhoben und für die nachfolgenden Schritte zur Verfügung gestellt.

1. Die Informationssicherheitsleitlinie wird um den Bereich Datenschutz erweitert und somit dessen Stellenwert manifestiert.

2. Die Planung und Durchführung von Maßnahmen zur Mitarbeitersensibilisierung speziell um den Baustein Datenschutz werden erweitert und eine Dokumentation erzeugt.

3. Erstellung einer IT-Dokumentation. Die Dokumentation, in entsprechenden Standards, dient als Basis für die Erfüllung der im Datenschutz geforderten Nachvollziehbarkeit und der Rechenschaftspflichten.

4. Es werden DS-GVO relevante Datenschutzmanagement-Prozesse aufgenommen (Artt. 33, 34 Meldeprozess Sicherheitsvorfall und Artt. 15-22 Auskunftsrechte Betroffener).

5. Speziell der Schritt 6 des ISIS12 Vorgehensmodells spielt eine zentrale Rolle für den Bereich „Nachweisbarkeit“. In diesem Schritt werden bislang auch schon Verarbeitungen identifiziert, erfasst und mit einer Schutzbedarfsfeststellung in Sachen Verfügbarkeit, Integrität und Vertraulichkeit bewertet. Anwendungen in denen personenbezogene Daten verarbeiten werden, werden im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) zusammengefasst (sowohl für die verantwortliche Stelle, als auch für den Auftragsverarbeiter). Die Beschreibung der technischen und organisatorischen Maßnahmen (Art. 32 DS-GVO), die erfolgende Risikoanalyse und die eventuell notwendige Datenschutz-Folgenabschätzung (Art. 35 DS-GVO)  werden im Schritt 6 anhand des Verzeichnisses der Verarbeitungstätigkeiten durchgeführt und entsprechend dokumentiert.

6. Spezielle Anforderungen der DS-GVO werden entweder im neuen ISIS12 Baustein „B 1.5 Datenschutz DS-GVO“ in Form von verbindlichen Sicherheitsmaßnahmen und/oder in spezifischen Bausteinen wie etwa „B 4.10 Soft- und Hardwareentwicklung“ (Privacy by Design/Privacy by Default) mit aufgenommen. Diese Anforderungen werden in einem Soll-Ist-Vergleich bewertet und eine Umsetzung der Maßnahmen wird geplant.

7. In Schritt 12 des ISIS12 Vorgehensmodells wird ein jährlich stattfindendes Datenschutzaudit implementiert, das die 12 Schritte des erweiterten Vorgehensmodells prüft. Hier ist die Checklisten eines Datenschutzes Aufsichtsbehörde Bestandteil. Im Fall einer angestrebten Zertifizierung kann das um das DSMS erweiterte Zertifizierungsschema zum Einsatz kommen. Der Auditumfang wird dementsprechend erweitert und bietet Unternehmen die Möglichkeit die geforderte Nachweis- bzw. Rechenschaftspflicht nach DS-GVO zu erfüllen.

 

Die in einem Datenschutz- oder Informationssicherheitsmanagementsystem erarbeiteten Grundlagen können sehr gut für die Umsetzung des jeweils anderen genutzt werden.
Daher ist eine jeweilige Erweiterung zu empfehlen und mit wenigen Ressourcen umsetzbar.