Jusletter IT

Einführung eines Datenschutz- und Informationssicherheitsmanagementsystems

  • Authors: Antje Dietrich / Luis-André Zitzmann
  • Category: Articles
  • Region: Germany
  • Field of law: Data Protection
  • Collection: Conference proceedings IRIS 2019
  • Citation: Antje Dietrich / Luis-André Zitzmann, Einführung eines Datenschutz- und Informationssicherheitsmanagementsystems, in: Jusletter IT 21. February 2019
Nachdem im Mai 2018 die neue EU-Datenschutzgrundverordnung in Kraft getreten ist, ergeben sich auch für Hochschulverwaltungen vielfältige neue Aufgaben und Rollen die zu besetzen sind. Im vorliegenden Paper wird daher vorgestellt wie die Hochschule für öffentliche Verwaltung in Kehl (Deutschland) die Erstellung eines Datenschutzmanagementsystems und eines Informationsmanagementsystems im Rahmen eines Studierendenprojektes vorgenommen hat. Dabei wurden 25 verschiedene interdisziplinäre Teams zur Erstellung der beiden Managementsysteme eingesetzt. Die Teams bestanden je aus einem Mitarbeiter der Hochschule und drei Studierenden. Im Bereich des Datenschutzes konnte somit innerhalb eines Semesters in allen Fachabteilungen und Fakultäten der Hochschule eine Ist-Aufnahme der bestehenden Verfahren umgesetzt werden. Anhand der erhobenen Verfahren wurde im Anschluss eine Lückenanalyse durchgeführt um feststellen zu können, an welchen Bearbeitungsschritten eines Verfahrens die Hochschule nach zu justieren hat. Die Teams erarbeiteten ein entsprechendes Sollkonzept für die Verfahren, neue angepasste Formulare und Handlungsanweisungen für die Mitarbeiter, Studierenden und Dozenten. Im Bereich Informationssicherheit wurde eine umfassende Übersicht aller Vermögenswerte (Assets), wie Software und Hardware, geschaffen. Des Weiteren wurden Kennzahlen bestimmt um in Zukunft monatliche Reviews und jährliche Audits durchführen zu können um eine kontinuierliche Verbesserung Schritt für Schritt erzielen zu können. Außerdem wurde ein Schulungskonzept für Mitarbeiter, Studierende und Dozenten erarbeitet und entsprechende Schulungen vorbereitet und durchgeführt. Die besondere Herausforderung war die relevanten Gesetze wie die EU-DSGVO, das Landesdatenschutzgesetz und entsprechende Verwaltungsvorschriften am Praxisbespiel einer Hochschule anzuwenden. Dafür haben die Studierenden mit Hilfe eines externen Beraters eine umfassende Systematik zur Erstellung der Managementsysteme erarbeitet, die nun die folgenden Jahre weiter ausgebaut und gepflegt werden können. Mehrwert dieses Studierendenprojektes ist zum einen der wissenschaftliche Gewinn die relevanten Gesetze zu bestimmen und anzuwenden und zum anderen, dass die Hochschule sich qualitativ weiterentwickeln kann und somit gegebenenfalls auch im Rahmen eines Audits zertifiziert werden kann. Der Mehrwert für die Studierenden war sehr hoch, da sie an einem «echten» Projekt mitarbeiten konnten und somit wertvolle Praxiserfahrungen sammeln konnten. Die Fortführung der Managementsysteme soll die kommenden Jahre weiter gepflegt werden.

Inhaltsverzeichnis

  • 1. Zielsetzung
  • 1.1. Rechtliche Grundlagen DSMS an Hochschulen
  • 1.2. Rechtliche Grundlagen ISMS an Hochschulen
  • 2. Studierendenprojekt
  • 2.1. Projektorganisation
  • 2.2. Projektbeschreibung
  • 3. Datenschutzmanagementsystem (DSMS)
  • 4. Informationssicherheitsmanagementsystem (ISMS)
  • 5. Ausblick
  • 6. Literatur

1.

Zielsetzung ^

[1]

Die EU-DSGVO und die baden-württembergische Verwaltungsvorschrift Informationssicherheit1 verpflichten die Hochschulen des Landes doppelt, geeignete Managementsysteme einzuführen. Die Anforderungen an ein systematisches Datenschutzmanagement und diejenigen an ein Informationssicherheitsmanagement überschneiden sich in weiten Teilen. Iris Meyer, Referentin für technische/juristische Datenschutzaufgaben der Stabsstelle Datenschutz des Hochschulservicezentrums Baden-Württemberg, empfiehlt daher zur Aufwandsreduzierung die einheitliche Umsetzung.2

[2]

Dieser Empfehlung hat die Hochschule Kehl mit der Initiierung des Projekts «Einführung eines Datenschutz- und Informationssicherheitsmanagementsystems (DSMS & ISMS)» entsprochen. Das Projekt ist als interdisziplinäres Lehrprojekt konzipiert. Die Vorgehensweise zur Erstellung der beiden Managementsysteme und die Mitarbeit aller Beteiligten, wie Studierende, Verwaltungsmitarbeiter und Hochschuldozenten werden im Folgenden umfassend beschrieben.

1.1.

Rechtliche Grundlagen DSMS an Hochschulen ^

[3]

Die EU-DSGVO fordert in Form von Dokumentations- und Rechenschaftspflichten ein systematisches Datenschutzmanagement. Die Umsetzung der Vorgaben hatte bis spätestens 25. Mai 2018 zu erfolgen. Die Verordnung ist unmittelbar geltendes Recht in Deutschland und wird durch Bundes- und  Landesgesetze lediglich ergänzt.3

[4]

Gemäß Art. 6 Abs. 1 Buchst. e EU-DSGVO erfolgt die Verarbeitung rechtmäßig, sofern diese für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

[5]

Damit stellt Art. 6 Abs. 1 Buchst. e EU-DSGVO (i.V.m. Art. 6 Abs. 3) für die öffentlichen Stellen den zentralen Erlaubnistatbestand zur Verarbeitung personenbezogener Daten dar. Allerdings handelt es sich bei Art. 6 Abs. 1 Buchst. e EU-DSGVO um keine eigenständige Rechtsgrundlage, sondern gem. Art. 6 Abs. 3 EU-DSGVO ist diese durch Unionsrecht/ Recht des jeweiligen Mitgliedstaates festzulegen. Art. 6 Abs. 3 EU-DSGVO stellt somit eine Öffnungsklausel dar. Dies hat der baden-württembergische Landesgesetzgeber z.B. in § 4 LDSG umgesetzt. Zu beachten ist das Subsidiaritätsprinzip: Das LDSG gilt gem. § 2 Abs. 3 subsidiär zu «besonderen Rechtsvorschriften des Bundes oder des Landes, die auf personenbezogene Daten anzuwenden sind.»4

1.2.

Rechtliche Grundlagen ISMS an Hochschulen ^

Die VwV Informationssicherheit fordert die Einführung eines Managementsystems für Informationssicherheit bis zum 8. März 2018. Die Verordnung legt die Ziele, Grundsätze, Organisationsstrukturen und Maßnahmen für die Etablierung eines ganzheitlichen Informationssicherheitsprozesses festlegt. Auch für die Hochschule Kehl ist die VwV Informationssicherheit anwendbar, da es sich nach dem LHG um eine Einrichtung der Landesverwaltung Baden-Württemberg handelt.

[6]

Vorgaben der VwV Informationssicherheit (Informationssicherheitsleitlinie gemäß IT-Grundschutz) sind die folgenden Sicherheitsgrundsätze:

  • Alle Dienststellen und Einrichtungen der Landesverwaltung setzen die Informationssicherheit gemäß IT-Grundschutz (BSI Standards 100-1 bis 100-3) um.
  • Für die Landesverwaltung Baden-Württemberg wird ein Informationssicherheitsmanagementsystem (ISMS) in Anlehnung an die internationalen Standards (ISO = International Standardization Organization) unter Berücksichtigung des nationalen BSI Standards 100-1 »Managementsysteme für Informationssicherheit« eingeführt (ISO 27001 in der Ausprägung BSI IT-Grundschutz). Dieses ISMS umfasst Ressourcen, Prozesse und Konzepte für die Informationssicherheit in der Landesverwaltung Baden-Württemberg. Das ISMS legt fest mit welchen Regelungen und Methoden die Aufgaben und Aktivitäten in Bezug auf die Informationssicherheit initiiert, gesteuert und überwacht werden.

2.

Studierendenprojekt ^

[7]

In Zusammenarbeit mit 67 Studierenden, den Mitarbeitern der Verwaltung und dem Kernprojektteam wurde innerhalb eines Semesters die Ist-Analyse der aktuellen Situation im Themenfeld Datenschutz und Informationssicherheit entwickelt. Außerdem wurde in Zusammenarbeit mit den Studierenden nach einer Schwachstellenanalyse ein erstes Soll-Konzept erarbeitet, um kontinuierlich die Hochschule in den beiden Themenfeldern weiter entwickeln zu können.

2.1.

Projektorganisation ^

[8]

Im Rahmen der Vertiefung des Studiengang Public Managements an der Hochschule für öffentliche Verwaltung in Kehl, wurde im Wintersemester 2018/19 das Projekt zur Einführung eines Datenschutz- und Informationssicherheitsmanagements (DSMS/ISMS) in Zusammenarbeit mit drei Gruppen von Studierenden aus den Vertiefungsbereichen Personal und Organisation und der IT-Vertiefung begonnen. Die Studierenden sollten das verantwortliche Kernprojektteam zum einen im Bereich Datenschutz bei der ersten Erfassung und Bewertung der verschiedenen Verfahren der Hochschule unterstützen und zum anderen die für eine Hochschule relevanten Themen im Bereich Informationssicherheit bestimmen und ausarbeiten. Jeder Studierende war Teil eines Teams von 2–3 Studierenden, die die entsprechenden Themenstellungen im Verlauf eines Semesters abzuarbeiten hatten. Für die Studierenden wurde diese Mitarbeit als Prüfungsleistung anerkannt.

2.2.

Projektbeschreibung ^

[9]
  • Projekttitel: Einführung Datenschutz- und Informationssicherheitsmanagement
  • Projektziel: Grundlagen schaffen für die Einhaltung der rechtlichen Vorgaben gem. EU-DSGVO und LDSG sowie der VwV Informationssicherheit.
  • Zu erarbeitende Ergebnisse: Erarbeitung eines Datenschutz- (DSMS) & Informationssicherheitsmanagementsystems (ISMS)
  • Meilensteine / zentrale Arbeitspakete:
    Datenschutz/IT-Sicherheit:
    • Leitlinie für Datenschutz und Informationssicherheit bis Ende Oktober 2018
    • Bestandsaufnahme bis Ende November 2018
    • Identifizierung des Handlungsbedarfs bis Ende Februar 2019
      • Ermittlung Soll-Zustand
      • Lückenanalyse Ist-Soll
    • Maßnahmenplanung bis Ende April 2019
    • Erste Umsetzungen & Dokumentation (Datenschutz und Informationssicherheitskonzept) bis Ende Juni 2019
    • Prüfung und Anpassung fortlaufend
  • Zeitplanung/ Termine: Beginn des Projekts Juli 2018 und geplantes Ende Juni 2019
  • Projektorganisation Auftraggeber: Rektorat/Hochschulleitung
  • Projektverantwortlicher/ Ansprechpartner: Vertreter Rektorat/Hochschulleitung
  • (Kern-)Projektteam: Datenschutzbeauftragter; Informationssicherheitsbeauftragte; Leiter Hochschul-Rechenzentrum; Projektmanager
  • Erweitertes Projektteam: (Kern-)Projektteam incl. Vertreter betroffener Abteilungen und der Fakultäten: Personalverwaltung, Studierendenverwaltung, Prüfungsamt, Bibliothek, Masterbüro, Fakultätssekretariat, Vorzimmer Rektor, Vorzimmer Kanzler, Finanzen, International Office; Pressestelle, KIFO5, KIAF6, Facility-Management, Personalrat, Ausbildungspersonalrat, AStA, Vertreter Fakultät I und Vertreter Fakultät II

3.

Datenschutzmanagementsystem (DSMS) ^

[10]

Wie für den Themenbereich Informationssicherheit ist auch für den Datenschutz ein Managementsystem (DSMS) zu erstellen. Die Inhalte eines DSMS-Konzepts sind:

  1. Rechtliche Grundlagen und Rechenschaftspflicht
  2. Leitlinie
  3. Organisation & Rollen: DSB / DSK / ISB; Betriebsrat; Verantwortlichkeiten
  4. Dokumentation: Ablage / Verfahrensverzeichnisse; Anwender-Richtlinien; Admin-Richtlinien
  5. Datenschutz-Management: TOMs; Risikomanagement; Prozesse; Lösch-/Sperrkonzept
  6. Lieferantenmanagement
  7. Rechte der Betroffenen
  8. Meldepflichten
  9. Überwachung & Wirksamkeit durch Audits & Kontrollen; Management Reviews und Berichtswesen
  10. Schulung & Sensibilisierung
[11]

Die Leitlinie für den Datenschutz wurde zu Beginn des Projektes vom Kernprojektteam erarbeitet. Die Rollen wurden besetzt und die Verantwortlichen des erweiterten Projektteams wurden bestimmt. Somit konnten die Studierenden rasch zu Semesterbeginn mit der Dokumentation des Ist-Zustandes beginnen.

[12]

Die Studierendenteams wurden den verschiedenen Bereichen der Hochschule zugeordnet und erfassten innerhalb eines persönlichen Interviews mit einem Verantwortlichen des jeweiligen Bereiches die existierenden Verfahren. Daraus erstellte das Kernprojektteam ein umfassendes Verzeichnis der Verarbeitungstätigkeiten. Das Kernprojektteam wählte im Anschluss geeignete Verfahren aus, so dass die Studierenden in einem zweiten Interview die genaue Erfassung des Verfahrens in Bezug auf datenschutzrechtliche Belange erstellen konnten. Die Studierenden erstellten somit für die zentralen Verfahren eine grafische Verfahrensbeschreibung. Daraufhin erfolgte eine umfassende Analyse in Bezug auf Stärken und Schwächen des aktuellen Verfahrens. Anhand der festgestellten Schwächen erstellten die Studierenden ein Soll-Konzept, das im Sinne einer Prozess-Optimierung, eine neue Handlungsweise der Verwaltung an die datenschutzrechtlichen Vorschriften berücksichtigt. Die Umsetzung der Soll-Konzeption sollte zur Prozessoptimierung durchgeführt werden. Des Weiteren bestimmten die Studierenden die entsprechenden technischen und organisatorischen Maßnahmen die notwendig sind.

[13]

Zunächst führten die Studierenden, die ein Thema aus dem Bereich des Datenschutzes bearbeiten, eine erste Interviewrunde durch. Dabei befragten sie die zuständigen Mitarbeiter der Fachabteilungen nach den bestehenden Verfahren. In der ersten Interview-Runde wurden Verfahren im Zusammenhang mit Stammdaten, Bewerbermanagement, Arbeitszeiterfassung, Schlüssel-/ Raum- und Parkplatzverwaltung, Reisekostenabrechnung, Videoüberwachung, Veranstaltungsorganisation, Prüfungen, Evaluation, Berufungsverfahren und im IT-Bereich Active Directory, Backup, Mailarchivierung, Passwortverwaltung, Gäste-WLAN und Zutrittskontrolle erfasst und einem Verzeichnis zusammengefasst. In der zweiten Interviewrunde wurden im Anschluss die genauen Beschreibungen der Verarbeitungstätigkeiten erfasst. Dabei lag der Schwerpunkt der Befragung auf der Erfassung der Zweckbeschreibung, den Rechtsgrundlagen, den Speicherfristen, den technisch-organisatorischen Maßnahmen, den Zugriffsberechtigungen (intern, extern) und dem Einsatz von Dienstleistern / Auftragsverarbeitung. Als Grundlage wurde eine standardisierter Erfassungsbogen verwendet, so dass die Ergebnisse vergleich sind. Die einzelnen Teams bestimmten die Stärken und Schwächen und entwickelten ein Soll-Konzept für die einzelnen bestehenden Verfahren. Diese Soll-Konzepte werden derzeit in einer Handlungsempfehlung zusammengefasst. Die gesammelten Informationen fließen zeitnah in das DSMS ein.

4.

Informationssicherheitsmanagementsystem (ISMS) ^

[14]

Grundsätzlich sollten nach einem systematischen Ansatz der Standard für Informationssicherheit innerhalb einer Organisation gesetzt werden. Wesentlich sind dabei das Engagement des Managements, die klare Einhaltung der Richtlinien und Verfahren/Prozesse, die Bewertung von Risiken, die Ableitung und Umsetzung von Maßnahmen zur Risikosenkung, die angemessene Kontrollen / Überwachung der Wirksamkeit, die Awareness (Schulungen, Informationen, Hilfestellungen) und die ständige Verbesserung (KVP) und Lernfähigkeit. Zentrale Themen der Informationssicherheit bzw. der physische Sicherheit sind beispielsweise Zugang und Passwörter, E-Mail-Nutzung, Internetnutzung, Anti-Virus, Mobile Devices, Wechseldatenträger, Löschen von Informationen und die Behandlung Sicherheitsvorfälle.

[15]

Im Themenbereich der Informationssicherheit erarbeiteten die Teams der Studierenden zu verschiedenen Themenkomplexen grundlegende neue für die Hochschule in Zukunft anzuwendende Inhalte, denn derzeit existieren kaum Konzepte, die direkt für eine Hochschule anwendbar sind. Themen der Teams waren unter anderem Risikomanagement, Planung von Audits, Schulungskonzept und schwerpunktmäßig auch die erstmalige Erstellung einer umfänglichen Aufstellung aller Assets im Bereich Software, Hardware, Infrastruktur und Dienstleister.

[16]

Auch für die Erfassung der Assets wurden Interviews mit Mitarbeitern des Rechenzentraums der Hochschule durchgeführt. Die Liste der Software-Assets (37 Software-Assets) wurde im Anschluss nach drei Kategorien bewertet. Um jede Software in die Kategorien «Unabdingbar», «Unterstützend» und «keinen Einfluss» einordnen zu können, musste ein Verfahren entwickelt werden. Bisher sind noch keine offiziellen Definitionen der Kategorien entwickelt worden, die konkretisieren, wie die Software-Assets einzuteilen sind. Erarbeitet wurden daher vorerst diese Definitionen: «Unabdingbar» sind Komponenten, die mittelbar oder unmittelbar einen gravierenden Einfluss haben. Als «Unterstützend» gelten Komponenten, die zwar zugeordnet sind, aber nur mittelbar Einfluss haben und nicht zwingend erforderlich sind. «Keinen Einfluss» sind Komponenten, die keinen Einfluss haben auf die Informationssicherheit. Im Datenschutzrecht bedient man sich einer Schwellwertanalyse, um das Gesamtrisiko einschätzen und die Zuordnung vornehmen zu können.7

[17]

Zusammenfassend ist zu sagen, dass die Software-Assets mit hohem Missbrauchsinteresse und jene, über die man Zugriff auf diese bekommt, am besten geschützt werden sollten. Dabei sind neben Schutzprogrammen gegen Hackerangriffe auch organisatorische Maßnahmen zu treffen.8

[18]

Für die Hardware-Assets wurde von einer weiteren Gruppe Studierender ebenfalls eine umfassende Erfassung erstellt. Somit verfügt die Hochschule nun über eine umfassende Übersicht aller Assets, so dass geeignete Maßnahmen zur Unterstützung der Informationssicherheit zielgerichtet umgesetzt werden können.

[19]

Dienstleister/Third Party: Die Hochschule Kehl arbeitet mit zahlreichen, externen Dienstleistern zu-sammen. Darunter zum Beispiel IT-Dienstleister, anderen Hochschulen und Universitäten, Lieferanten und viele mehr. Von der Studierenden wurde erarbeitet welche Chancen und Risiken damit verbunden sind und wie mögliche Schadensfälle aussehen und vermieden werden könnten. Risikomanagement: Auch eine Hochschule kann von verschiedensten Risiken betroffen sein. Die Studierenden erarbeiteten Beispielszenarien für den Umgang beim Eintritt eines Risikos. Zukünftig soll ein Risikomanagementsystem eingeführt werden. Ein weiteres Team erarbeitete einen ersten Vorschlag für ein Schulungskonzept. Dieses soll nach verschiedenen Zielgruppen ausgerichtet weiter verfeinert werden.

5.

Ausblick ^

[20]

Im Themenbereich Datenschutz werden auf Basis der bisher erfassten Verfahren und Vorschlägen der Verbesserung der Studierenden entsprechende technische und organisatorische Maßnahmen getroffen werden. Es wird eine umfassende Datenschutz-Folgeabschätzung, ein Vertragsmanagement, ein Einwilligungsmanagement, ein Prozess zur Wahrnehmung der Betroffenenrechte (Informationspflichten, Anfragenmanagement), ein Berechtigungskonzept, Archivierungs- und Löschkonzept entwickelt werden. Auch muss ein Prozess zur Meldung von Datenschutzverstößen implementiert werden. Die Sensibilisierung der Mitarbeiter um Züge der Umsetzung geeigneter Technischer und organisatorischer Maßnahmen muss erfolgen.

[21]

Im Themenbereich Informationssicherheit wird zukünftig die Übersicht der Assets weiter gepflegt werden. Die Anforderungen an ein ISMS müssen weiter konkretisiert werden. Der erste Vorschlag für ein Risikomanagementsystem für die Hochschule muss weiterentwickelt werden und im ISMS aufgenommen werden. Daraufhin muss eine Bewertung in Form einer Business-Impact-Analyse erfolgen so dass dann in der Phase der kontinuierlichen Verbesserung ein entsprechender Schulungsplan für die Mitarbeiter und Studierenden erstellt werden kann. Letztendlich muss in der Projektphase der Überwachung aufbauend auf ersten Vorschlägen der Studierenden ein Auditkonzept umgesetzt werden. Dafür sollten entsprechende Kennzahlen verwendet werden, die ebenfalls bereits von einer Gruppe Studierender erarbeitet worden sind. Diese sollen die Grundlage für regelmäßige Reviews sein, die zur Vorbereitung eine Audits dienen können.

6.

Literatur ^

Diemer, Fanny, Software Assets, Hochschule Kehl, 01/2019.

Hochschulservicezentrum Baden Württemberg, Umsetzungsvorschlag zu Datenschutz- & Informationssicher-heitsmanagement, 8. Juli 2017.

Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, Einstieg ins Datenschutzrecht für behördliche Datenschutzbeauftragte, 19. Oktober 2018. 

  1. 1 Verwaltungsvorschrift des Innenministeriums zur Informationssicherheit (VwV Informationssicherheit) vom 7. April 2017 – 5-0275.0/25: http://www.landesrecht-bw.de/jportal/?quelle=jlink&docid=VB-BW-GABl2017214&psml=bsbawueprod.psml&max=true.
  2. 2 Vgl. Hochschulservicezentrum Baden-Württemberg, Umsetzungsvorschlag zu Datenschutz- & Informationssicher-heitsmanagement,  8. Juli 2017, S. 3: https://www.hsz-bw.de/index.php?id=135&no_cache=1&tx_abdownloads_pi1[action]=getviewclickeddownload&tx_abdownloads_pi1[uid]=192&tx_abdownloads_pi1[cid]=285.
  3. 3 Vgl. ebd.
  4. 4 Vgl. Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, Einstieg ins Datenschutzrecht für behördliche Datenschutzbeauftragte, 19. Oktober 2018, S. 44: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/10/Vortrag-f%C3%BCr-DSB_Verwaltungsschule.pdf.
  5. 5 KIFO, Kehler Institut für Fort- und Weiterbildung: http://www.hs-kehl.de/weiterbildung/kehler-institut-fuer-fort-und-weiterbildung-kifo/.
  6. 6 KIAF, Kehler Institut für angewandte Forschung: http://www.hs-kehl.de/forschung/kiaf/.
  7. 7 Vgl. Diemer, Fanny; Software Assets, Hochschule Kehl, 01/2019.
  8. 8 Vgl. ebd.