Benötigen Sie bald ein ISMS?

Art. 32 „Sicherheit und Verarbeitung“ wirkt sehr abstrakt, dennoch lassen sich Hauptbestandteile eines ISMS zuordnen:

Schritt 1: Feststellen des Schutzbedarfs nach Art. 32 Abs. 2

Das Schutzniveau personenbezogener Daten orientiert sich an der Schutzbedürftigkeit und dem sich ergebenden Schadenspotenzial bei unberechtigter Kenntniserlangung. Daraus ergibt sich eine notwenige Schutzbedarfsanalyse. In der Regel werden Daten verschiedenen Kategorien des Schutzbedarfs zugeordnet, zum Beispiel: normal, hoch und sehr hoch.

Schritt 2: Bewerten von Risiken:

Art. 32 Abs. 1 und 2 beinhalten die Risikobeurteilung. Maßnahmen, die zum Schutz personenbezogener Daten getroffen werden, müssen künftig unter Berücksichtigung des Risikos für die Persönlichkeits- und Freiheitsrechte Betroffener ausgewählt werden. Dieser Risikobewertungsansatz bezieht sich jetzt nicht mehr nur auf klassische Unternehmenswerte, sondern schließt den Betroffenen und seine personenbezogenen Daten mit ein.

Schritt 3: Maßnahmenauswahl und Risikobehandlung:

In Art. 32 Abs. 1 lit. a-d werden Maßnahmen zur Risikobehandlung ausgeführt: In Art. 32 Abs. 1 lit. a-d werden Maßnahmen zur Risikobehandlung ausgeführt:

  • a) Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • b) Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung der Dauer sicherzustellen
  • c) Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen

Schritt 4: Audits, Managementbewertung und Korrektur

Nach lit. d wird ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gefordert.

Zurück zu Teil 1

Zu Teil 3