iDSM7

Was ist iDSM7?

Ein Datenschutz-Management-System soll den Schutz der personenbezogenen Daten im Unternehmen sicherstellen. Es stellt die Gesamtheit aller dokumentierten und implementierten Regelungen, Prozesse und Maßnahmen dar, mit denen der datenschutzkonforme Umgang mit personenbezogenen Daten im Unternehmen systematisch gesteuert und kontrolliert wird.

Das Datenschutz-Management-System iDSM7 ist eine Variante des etablierten, im Bayerischen IT-Sicherheitscluster e.V. entwickelten InformationsSicherheitsmanagementSystem ISIS12 (InformationsSicherheitsmanagementSystem in 12 Schritten) mit DS-GVO-Option und soll es dem Anwender in einfacher Weise ermöglichen, die geforderte DS-GVO Compliance zu erreichen. Selbstverständlich hat der Anwender jederzeit die Möglichkeit, das reduzierte iDSM7 auf ISIS12 mit DS-GVO Option zu erweitern, um neben dem Datenschutz auch die Informationssicherheit in ein Managementsystem zu integrieren.

 

Die aus den 12 Schritten von ISIS12 abgeleiten 7 Schritte von iDSM7 setzen sich wie folgt zusammen:

0. Die Kontaktdaten der verantwortlichen Stelle und des Datenschutzbeauftragten, die zuständige Datenschutzaufsichtsbehörde und weitere Datenschutz relevanten Informationen (Mitarbeiteranzahl, Status Auftragsverarbeiter, Geschäfte mit Minderjährigen etc.) werden erhoben und für die nachfolgenden Schritte zur Verfügung gestellt.

1. Die Informationssicherheitsleitlinie wird um den Bereich Datenschutz erweitert und somit dessen Stellenwert manifestiert.

2. Die Planung und Durchführung von Maßnahmen zur Mitarbeitersensibilisierung speziell um den Baustein Datenschutz werden erweitert und eine Dokumentation erzeugt.

3. Erstellung einer IT-Dokumentation. Die Dokumentation, in entsprechenden Standards, dient als Basis für die Erfüllung der im Datenschutz geforderten Nachvollziehbarkeit und der Rechenschaftspflichten.

4. Es werden DS-GVO relevante Datenschutzmanagement-Prozesse aufgenommen (Art. 33, 34 Meldeprozess Sicherheitsvorfall und Art. 15-22 Auskunftsrechte Betroffener).

5. Speziell der Schritt 6 des ISIS12 Vorgehensmodells spielt eine zentrale Rolle für den Bereich „Nachweisbarkeit“. In diesem Schritt werden bislang auch schon Verarbeitungen identifiziert, erfasst und mit einer Schutzbedarfsfeststellung in Sachen Verfügbarkeit, Integrität und Vertraulichkeit bewertet. Anwendungen in denen personenbezogene Daten verarbeiten werden, werden im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) zusammengefasst (sowohl für die verantwortliche Stelle, als auch für den Auftragsverarbeiter). Die Beschreibung der technischen und organisatorischen Maßnahmen (Art. 32 DS-GVO), die erfolgende Risikoanalyse und die eventuell notwendige Datenschutz-Folgenabschätzung (Art. 35 DS-GVO)  werden im Schritt 6 anhand des Verzeichnisses der Verarbeitungstätigkeiten durchgeführt und entsprechend dokumentiert.

6. Spezielle Anforderungen der DS-GVO werden entweder im neuen ISIS12 Baustein „B 1.5 Datenschutz DS-GVO“ in Form von verbindlichen Sicherheitsmaßnahmen und/oder in spezifischen Bausteinen wie etwa „B 4.10 Soft- und Hardwareentwicklung“ (Privacy by Design/Privacy by Default) mit aufgenommen. Diese Anforderungen werden in einem Soll-Ist-Vergleich bewertet und eine Umsetzung der Maßnahmen wird geplant.

7. In Schritt 12 des ISIS12 Vorgehensmodells wird ein jährlich stattfindendes Datenschutzaudit implementiert, das die 12 Schritte des erweiterten Vorgehensmodells prüft. Hier ist die Checklisten eines Datenschutzes Aufsichtsbehörde Bestandteil. Im Fall einer angestrebten Zertifizierung kann das um das DSMS erweiterte Zertifizierungsschema zum Einsatz kommen. Der Auditumfang wird dementsprechend erweitert und bietet Unternehmen die Möglichkeit die geforderte Nachweis- bzw. Rechenschaftspflicht nach DS-GVO zu erfüllen.

 

Die in einem Datenschutz- oder Informationssicherheitsmanagementsystem erarbeiteten Grundlagen können sehr gut für die Umsetzung des jeweils anderen genutzt werden.
Daher ist eine jeweilige Erweiterung zu empfehlen und mit wenigen Ressourcen umsetzbar.

 

iDSM7 Software

Im Auftrag des Bayerischen IT-Sicherheitscluster e.V. wurde von Dipl. Inform. (FH) Harald Hornung ein Tool entwickelt, das die 7 Verfahrensschritte im iDSM7-Prozess softwaretechnisch abbildet.

Die Software setzt sich zum Ziel, es dem Anwender in einfacher Weise zu ermöglichen, die geforderte DS-GVO Compliance zu erreichen.

Die Software basiert auf den Grundlagen der ISIS12 Software und kann entsprechend erweitert werden.

Das Tool wird mit einem beliebigen Browser bedient und kann sowohl als Einzelplatzvariante als auch auch auf einem zentralen Server installiert werden. Bei der Implementierung wurde auf die einfache Handhabung des Tools größter Wert gelegt. So sind sämtliche Projektdaten in einer einzigen Datei gespeichert. Bei einem Programmupdate muss nur eine einzige Datei aktualisiert werden. Der Programmcode des Tools ist lizenzpflichtig. Registrierte Anwender erhalten einen Passwort-geschützten Zugang, um Programmaktualisierungen und Neuerungen mit wenigen Mouse Clicks zu laden und in die bestehende Konfiguration einzuspielen.

Unter portal.isis12.de/demo2/ ist eine Demoversion der ISIS12-Software eingerichtet.

Username:          demo
Passwort:           DS-GVO

Die Demoversion kann keine Exporte; Sichern und Rücksichern sind auch nicht möglich.

Die Kosten für die Jahreslizenz im ersten Jahr betragen 600 € (zzgl. Mwst). Für jedes Folgejahr entsteht eine Lizenzgebühr von 360 € (zzgl. Mwst) pro Jahr.

Das Bestellformular finden Sie hier. Für die Bestellung füllen Sie bitte das Bestellformular aus und versenden es per E-Mail an Harald Hornung: mail[ @ ]harald-hornung.de