CRISAM® Datenschutz Management System

EU-DSGVO ist eine Verordnung der Europäischen Union und stellt ein Regulativ für die EU-weite Verarbeitung von personenbezogenen Daten zur Verfügung. Dadurch soll sowohl der Schutz von personenbezogenen Daten innerhalb der Europäischen Union sichergestellt, als auch der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Key features und benefits

  • Ganzheitliche Modellierung und Bewertung der EU-DSGVO-Anforderungen.
  • Vollständige Integration in ISMS-Prozess und –Modellierung durch enthaltenes CRISAM® ISMS-, Data Privacy- und EU-DSGVO-Knowledge Pack.
  • Ermöglicht per Knopfdruck das Erzeugen des Verfahrensverzeichnisses.
  • Enthält zusätzlich alle Funktionalitäten zur Erzeugung des Datenschutz-Folgenabschätzungsberichts.
  • Enthält zusätzlich den Compliance Analysebericht um die Konformität Ihres DSMS zu den Anforderungen der EU-DSGVO nachzuweisen.
  • Das integrierte Mapping ermöglicht eine sofortige Auswertung aus CRISAM® Kontrollen – es ist keine weitere Bewertung erforderlich.
  • Verfügbar in Deutsch und Englisch.

Hintergrund

Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) tritt am 25. Mai 2018 in Kraft. Damit wird ein neues und einheitliches Datenschutzrecht in der gesamten Europäischen Union etabliert. Die darin enthaltenen neuen Anforderungen sind umfassend und betreffen Unternehmen unabhängig ihrer Branche und Unternehmensgröße.

Die EU-DSGVO ist mit 99 Artikeln und 173 Erwägungsgründen deutlich umfangreicher als bis dato geltende nationale Gesetze. Sowohl die Mitgliedstaaten und ihre Aufsichtsbehörden, als auch Unternehmen und Organisationen stehen vor  der Herausforderung, sich mit dem umfangreichen Regelungswerk der EU-DSGVO vertraut zu machen und innerhalb der zwei Jahre angemessen umzusetzen. Experten meinen, dass der Übergangszeitraum von zwei Jahren äußerst knapp bemessen ist.

Die neue Verordnung ordnet den Datenschutz in einer Linie mit dem Umgang kritischer Infrastrukturen (NIS-Richtlinie der EU) und dem Informationssicherheitsmanagement (ISMS) an. Damit diese EU-DSGVO umgesetzt werden kann, ist ein Datenschutz-Management Prozess in enger Verzahnung mit dem ISMS zu betreiben. Das Resultat dieser Integration bildet das ganzheitliche Datenschutz Management System (DSMS).

Die Unternehmen müssen daher unverzüglich beginnen, ihre Prozesse zum Umgang mit personenbezogenen Daten zu analysieren, Verfahren festzulegen die Betroffene in eine Gefährdungslage bringen können. Der Grad möglicher Bedrohungen ist mit einem Privacy Impact Assessment zu erheben und in einer Datenschutz-Folgeabschätzung zu dokumentieren.

Integration DSMS und ISMS

Die Europäische Union verknüpft sowohl in ihren Anforderungen an die Infrastruktur und Organisation der IT, als auch in der Auflistung der „Strafmilderungsgründen“ Informationssicherheit mit Datenschutz.

Beide Management-Systeme adressieren vergleichbare Prozessabläufe und einen PDCA (Plan Do Check Act) Verbesserungsprozess.

Die oben dargestellte Abbildung zeigt schematisch die Integration der beiden Management-Prozess ISMS und DSMS. Der Information Owner repräsentiert in der Darstellung einerseits den Betroffenen im Datenschutz, andererseits den Verantwortlichen im Fachbereich. Aus dem PIA Assessment wird die mögliche Auswirkung eines Datenschutzvorfalles identifiziert und in die Dokumentation übernommen bzw. in die Datenschutz-Folgeabschätzung übernommen. CRISAM® stellt für die Automatisierung des DSMS analoge Methoden zur Verfügung, die bereits im ISMS Prozess Anwendung finden. Das Privacy Impact Assessment wird analog der Business Impact Analyse im Schritt 2 des CRISAM® Prozessmodelles durchgeführt. Die Risikoeinschätzung für eine Datenschutzverletzung erfolgt sowohl aus der Analyse der IT-Assets aus dem CRISAM® Risikobaum, der Beurteilung aus den Informationsobjekten und der Beurteilung des Verfahrens. Die im Art. 32 Abs. 1 der EU-DSGVO geforderten Sicherheitsanalysen werden so durch Einbinden der ISMS Analysen zur Verfügung sichergestellt.

Abbildung 1: Zeigt die Integration des DSMS / ISMS Management-Prozess

Reporting

Mit der Funktionalität des CRISAM® Reportings wird der Verantwortliche oder Beauftragte in seiner Verantwortung für die Informations- und Dokumentationspflicht unterstützt. Die Datenschutz-Folgeabschätzung, das Verfahrensverzeichnis und ein Compliance-Report zur EU-DSGVO werden aus CRISAM® heraus weitgehend automatisiert erzeugt. Insbesondere das vom Gesetzgeber geforderte Verzeichnis der Verfahren, in denen personenbezogene Daten verarbeitet werden, erfüllt sowohl mit dem „öffentlichen Verfahrensverzeichnis“ (siehe Ausschnitt in Abbildung) die Anforderungen aus der Verordnung nach außen, als auch mit dem internen Verfahrensverzeichnis den Anforderungen aus der Verfahrensdokumentation nach innen.

Abbildung 2: Zeigt einen Auszug des öffentlichen Verfahrensverzeichnisses 

Der Nachweis der Erfüllung / Compliance zur EU-DSGVO wird mittels des CRISAM® Complianceberichts mit Angabe der Referenz EU-DSGVO geliefert und ausgewertet.

Abbildung 3: Zeigt die Compliance-Spinne mit den relevanten Hauptkapiteln des öffentlichen Verfahrensverzeichnisses 

Systemanforderung

CRISAM® Explorer