Informationssicherheit und Datenschutz
nach ISO 27001 / 27701 und TISAX®

Durch die ISO 27001 und ISO 27701 gibt es die Möglichkeit, die Umsetzung der DSGVO in Unternehmen „nachzuweisen“.

Für Zulieferer der Automobilindustrie gibt es besondere Vorgaben zum Nachweis der Informationssicherheit. TISAX® versteht sich als einheitliches, für alle Automobilzulieferer, gültiges Informations-Management-System. Auch für die Zusammenarbeit von Zulieferern untereinander ist TISAX® erforderlich.

Im Folgenden erklären wir die Zusammenhänge, zeigen worum es genau geht und welche Verbindungen zum Datenschutz bestehen.

TISAX®* ist eine eingetragene Marke der ENX Association.

Was unterscheidet Datenschutz von Informationssicherheit?

Datenschutz soll Bürger schützen, dass ihre Daten nicht missbräuchlich genutzt werden. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten. Nur wenn ein gesetzlicher Grund oder eine freiwillige Einwilligung vorliegt, dürfen personenbezogene Daten verarbeitet werden.

Informationssicherheit befasst sich mit den technischen und organisatorischen Maßnahmen zum Schutz vor wirtschaftlichen Risiken im gesamten Unternehmen. Die Normen ISO 27001 und ISO 27701 geben Hilfestellung, die Risiken im Geschäftsalltag zu erkennen und abzustellen.

Bei genauerer Betrachtung wird deutlich, dass die Verarbeitung von Daten (Informationen) sowohl beim Datenschutz als auch bei der Informationssicherheit das gemeinsame Thema ist.

Zusammenspiel Datenschutz und Informationssicherheit nach ISO 27001 / 27701

Die Skizze zeigt das Zusammenspiel zwischen der DSGVO (Datenschutzgrundverordnung) und der Norm für Informationssicherheit nach ISO 27001 bzw. ISO 27701.

Der Schutz von Unternehmenswerten und personenbezogenen Daten beruht auf den Grundsätzen:

Integrität
Vertraulichkeit
Verfügbarkeit

Diese wichtigen Grundsätze erstrecken sich über das gesamte
Unternehmen und finden Anwendung in den sog. technischen und organisatorischen Maßnahmen, kurz TOM’s.

Die ISO 27701 dient als Nachweis zur Einhaltung des Datenschutzes

Die ISO 27701 versteht sich als Add-on zur ISO 27001. Die neue ISO 27701 baut vollständig auf der bisherigen ISO 27001 auf und schließt nunmehr den Datenschutz mit ein. Obwohl im Art. 42 der DSGVO explizit von einer Zertifizierung des Datenschutzes in Unternehmen gesprochen wird, gibt es bis heute „keine“ Möglichkeit die rechtskonforme Umsetzung nachzuweisen.

Für die Praxis bedeutet dies, dass sich immer mehr Auftragnehmer Überprüfungen ihres rechtskonformen Umgangs mit Informationen, IT-Sicherheit und Datenschutz „gefallen lassen müssen“. In genau diese Bresche springt die ISO 27701. Als sog. Datenschutz Add-on zur ISO 27001 ist es theoretisch möglich, unter dem gemeinsamen Dach der ISO 27001 einen zertifizierungsfähigen Zustand zu erreichen.

Mittelfristig ist davon auszugehen, dass ein Nachweis zur Einhaltung der Datenschutzrichtlinien über ein zertifizietes Datenschutzsiegel erfolgen muss.

Welche Bedeutung hat TISAX® in der Informationssicherheit?

Bereits vor der Zusammenarbeit mit einem Unternehmen aus dem Automobil- oder Zulieferbereich werden Sie darauf aufmerksam gemacht, Ihre TISAX® Zertifizierung nachzuweisen.
Alle Automobilhersteller und ebenfalls alle Zulieferbetriebe, die Geschäftsbeziehungen untereinander haben, verlangen diese Zertifizierung.

So wie die Automobilhersteller zum Schutz ihrer Daten und Know-how Verlust Sicherheitsmaßnahmen eingeführt haben, so müssen dies auch alle Partner umsetzen.

Wenn Sie die geforderten Sicherheitsmaßnahmen umgesetzt haben, erhalten Sie die TISAX® Zertifizierung und damit den Zugang zu Automobilherstellern und anderen Zulieferern.

Das TISAX® Zertifikat ist vergleichbar mit den technischen und organisatorischen Maßnahmen (TOMs), die Sie im Auftragsverarbeitungsvertrag mit ihren B2B-Kunden vereinbart haben.
Im Unterschied zu den oft „leichtfertig“ unterschriebenen TOM’s, ist TISAX® ein belastbares Testat, das nur nach Prüfung der Sicherheitsmaßnahmen durch ein zertifiziertes Prüfunternehmen ausgestellt wird.

 

Welche Bedeutung haben Compliance Richtlinien für Unternehmen?

Ab Januar 2021 ist das Trio vollständig:
Datenschutz -> schützt die Rechte von Betroffenen
Informationssicherheit ->schützt das Unternehmen vor Risiken
Compliance Verpflichtung -> schützt Unternehmen vor Imageschäden

In dieser Kombination betrachtet, erschließt sich der Sinn der Normen und gesetzlichen Vorgaben. Die meisten Unternehmen haben bereits mehr oder weniger die o. g. Punkte umgesetzt, vielleicht ohne zu wissen, dass es Normen gibt, die über konkrete Handlungsempfehlungen verfügen. Durch die ab 2021 geltende Compliance Verpflichtungen bestätigen die Unternehmen nun die Einhaltung gesetzlicher Regeln.

Übersicht der fachlichen Anforderungen an Datenschutz und Informationssicherheit

Die Grafik zeigt die Anforderungen an die DSGVO und der Norm ISO 27001 auf. Als Bindeglied fungiert die ISO 27701, die die Anforderungen an den Datenschutz beschreibt. Dies ist genau die Stelle, die eine zukünftige Zertifizierung der Datenschutzorganisation unter dem Dach der ISO 27001 ermöglichen könnte. Solange der Gesetzgeber kein spezielles Datenschutzsiegel zum Nachweis der Einhaltung der Datenschutzrichtlinien zur Umsetzung vorgibt, ist dies u. E. die einzige Möglichkeit zum Nachweis.

 

Bei genauerer Betrachtung fällt auf, dass sich viele Inhalte der DSGVO mit denen der Norm für Informationssicherheit nach DIN 27701 / 27701 überschneiden.

Was leitet sich daraus für Unternehmen ab - besonders für KMU's?

???

Handlungsbedarf erkennen und Handeln

Wenn Sie uns bis hier gefolgt sind und wir Ihnen helfen konnten den Blick auf Ihre Informationssicherheit zu schärfen, lohnt es sich vielleicht auch zu erfahren welche Unterstützung Sie von uns erhalten können.

Unsere Dienstleistungen: Informationssicherheit, Datenschutz und Digitalisierung für KMU
50 + 5 % Investitionsförderung für KMU

Aktuelle Studien des Bundesministeriums für Wirtschaft und Energie belegen die große Digitalisierungslücke in deutschen KMU (Kleine und mittlere Unternehmen). Demzufolge partipizieren zu wenig Mittelständler vom Nutzen der neuen Möglichkeiten. Mit dem Einstieg in digitale Märkte ist jedoch der Schritt zur Absicherung der Unternehmenswerte und Informationen erforderlich – und genau das ist unser Job.

Damit der Einstieg gelingt, wird sich das gesamte Unternehmen samt Mitarbeitern und Geschäftspartnern in irgendeiner Form neu aufstellen müssen. Innerhalb dieser Neuaufstellung sind Informationssicherheit, Datenschutz und Risikomanagement die Schlüsselbereiche, die zu organisieren sind.

Mit Blick auf die Möglichkeiten, die die Förderprogramen bieten, haben wir nachfolgend zwei Beratungsmodule zusammengestellt:
-> Im ersten Modul entwickeln wir, gemeinsam mit unserem Kunden, Ihren individuellen Digitalisierungsplan.
-> Im zweiten Schritt geht es um die Umsetzung und dabei konzentrieren wir uns auf die Themen Datenschutz, Informationssicherheit und Risikomanagement.

Was ist ein Digitalisierungsplan?

Im Digitalisierungsplan werden die Ziele möglicher Digitalisierungsmaßnahmen beschrieben und bewertet. Je nach Zweck und Umfang des Vorhabens kann es erforderlich sein, Unterpläne zu erstellen.
Der Digitalisierungsplan ist erforderlich, um z. B. Investitionsförderungen aus dem Förderprogramm: Digital jetzt – Investitionsförderung für KMU zu erhalten.

Vorbereitung Projekt (1 Tagewerk)
    • Abstimmung mit Geschäftsführung
    • Festlegen des Projektablaufs und der Ziele

Kick Off mit Info-Workshop (1 Tagewerk)
    • Aufgabenstellung, Sinn, Zwecke und Ziele des Projekts werden gemeinsam erschlossen
    • Gemeinsamer Workshop: Unternehmensorganisation, Informationssicherheit und Datenschutz

Ist-Analyse Ablauforganisation (3-4 Tagewerke)
    • Bestandsaufnahme -> Ist-Analyse über Geschäftssprozesse, IT-Organisation, Organisatorische Unterlagen
und Richtlinien

Bedarfsanalyse (1-2 Tagewerke)
    • Feststellen welche Anforderungen aus der ISO 27001 und DSGVO benötigt werden

Konzept uns Planungsphase (2 Tagewerke)
   • Erarbeiten und bewerten möglicher Lösungsvarianten nach Trail and Error Methode mit Hinblick auf benötigte Management- und Dokumentationssysteme

Abschluss mit Präsentation der Handlungsempfehlungen (1 Tagewerk)
    • Abgabe des Berichts in Form einer PowerPoint Präsentation

Vorbereitung Projekt
    • Abstimmung mit Geschäftsführung
    • Festlegen des Projektablaufs und der Ziele

Kick Off mit Info-Workshop
    • Vorstellen der Vorgehensweise, Projektschritte und Zeitplan
    Installation und Einführung der benötigten Managementsysteme
    • Datenschutzmanagementsystem (DSMS)
    • Informations Security Managementsystem (ISMS)

-> Umsetzen und/oder Begleiten der Einführung nach Vorgaben nach ISO 27001 und ISO 27701 und der DSGVO

-> Schulung und Know-how Transfer für Mitarbeiter

-> Übergabe an Kunden

*TISAX® ist eine eingetragene Marke der ENX Association. Die Datenmeier GmbH & Co. KG steht in keiner geschäftlichen Beziehung zu ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.

Wir sind in ganz OWL und Teilen Niedersachsens tätig:
Greffen, Lippstadt, Mastholte, Büren, Wünnenberg, Wewelsburg, Haaren, Harth, Halle (Westf.), Oerlinghausen, Werther, Steinhagen, Sennestadt, Jöllenbeck, Schloß Holte-Stukenbrock, Leopoldshöhe, Friedrichsdorf, Bielefeld, Herford, Bad Salzuflen, Bünde, Enger, Spenge, Rödinghausen-Bruchmühlen, Vlotho-Exter, Detmold, Lage, Steinheim, Horn-Bad Meinberg, Blomberg (Lippe), Augustdorf, Nieheim, Himmighausen, Gütersloh, Rheda-Wiedenbrück, Rietberg, Herzebrock-Clarholz, Verl, Harsewinkel, Langenberg (Kr. Gütersloh), Delbrück, Paderborn, Bad-Lippspringe-Schlangen, Bad Driburg, Schloß Neuhaus, Elsen, Altenbeken, Hövelhof, Salzkotten, Neuenheerse, Lemgo, Höxter, Extertal, Kirchheide, Brakel, Beverungen, Nieheim, Höxter, Ottbergen, Marienmünster, Fürstenau, Ovenhausen, Atteln, Dahl, Espeln, Lichtenau, Versmold, Borgholzhausen, Buer, Neuenkirchen, Dielingen, Warburg, Scherfede, Borgentreich, Willebadessen, Peckelsheim, Borgholz, Kleinenberg, Gehrden, Lahde, Holle, Friedewalde, Windheim, Porta Westfalica, Petershagen, Minden, Bad Oeynhausen, Löhne, Vlotho, Bergkirchen, Lübbecke, Preußisch Oldendorf, Gestringen, Hüllhorst, Levern, Rödinghausen, Heimsen, Rahden, Espelkamp, Wehdem, Preußisch Ströhen sowie OsnabrückNienburg, Bohmte, Bad Essen, Ostercappeln, Steinfeld (Oldenburg), Diepholz, Sulingen, Stolzenau, Bückeburg, Bad Eilsen, Rinteln