Datenschutz und Informationssicherheit – in der KID unter einem Dach

Compliant oder nicht compliant … ist ein Management Tool mehr als die digitale Sammlung von Nachweisen zur Umsetzung von Rechtstreue und Regelkonformität?

Seit dem 25. Mai 2018 ist die europäische Datenschutz-Grundverordnung (EU-DSGVO) verbindlich in den jeweiligen Mitgliedsstaaten anzuwenden. Auf Grundlage ihrer verfassungsrechtlichen sowie europarechtlichen Vorgaben müssen Unternehmen, die mit der Verarbeitung personenbezogener Daten betraut sind, nachweisen können, dass sie die von ihren Geschäftsprozessen betroffenen Personen nicht über das grundrechtlich hinnehmbare Maß hinaus fremdbestimmen.

Den vorgenannten gesetzlichen Anforderungen an den Datenschutz in der KID Magdeburg GmbH folgend, sind nicht nur für Unternehmen in der Wirtschaft, sondern auch für die kommunalen Verwaltungen, ihre Eigenbetriebe und Dienstleister umfangreiche Aufgaben zu definieren, zu planen, umzusetzen und regelmäßig zu überprüfen. Wesentlicher Bestandteil ist dabei die allumfassende Dokumentations- und Nachweispflicht der umgesetzten Maßnahmen unter Beachtung der Minimierung bestehender Risiken.

Für die Einhaltung der Informationssicherheit im Rahmen der Zertifizierung nach internationaler Norm ISO/IEC 27001 gelten gleichermaßen hohe Anforderungen an die Umsetzung der notwendigen Prozesse und Dokumentationspflichten.

Beides hat die KID Magdeburg GmbH in der Vergangenheit parallel und in großen Teilen in eigens dafür definierten Abläufen und Dokumentationsmedien erfolgreich umgesetzt.
Um eine neue verbesserte Ebene der Ziele für Datenschutz und Informationssicherheit in hoher Qualität zu erreichen und gleichzeitig Transparenz sowie Effizienz für beide Prozesse zu gewährleisten, wurde ein Anforderungskatalog für die Einführung eines softwaregestützten zentralen Managementsystems in der KID erstellt.

Basierend auf einer zukünftig vereinheitlichten Organisations- und Informationsstruktur wurden die wesentlichen Anforderungen für eine neue Managementlösung wie folgt beschrieben:

- Datenschutz – EU-Datenschutzgrundverordnung (EU-DSGVO)

- Informationssicherheit – ISO/IEC 27001 bzw. BSI-basierender IT-Grundschutz

- Einheitliche Organisations- und Kommunikationsstruktur

- Umsetzung der gesetzlichen und regulatorischen Nachweispflichten

- Modularer Aufbau mit Vorlagen

- Funktionsebenen, Rollen- und Berechtigungskonzept

- Digitale Risikoerfassung und workflow-basierte Bearbeitung

Im Rahmen der Suche nach einer geeigneten Softwarelösung für die Datenschutz- und Informationssicherheitsprozesse der KID erfolgte eine Marktrecherche auf Basis des Anforderungskataloges. In diesem Zusammenhang kamen zunächst neun Lösungsansätze in die engere Wahl. Diese wurden einer fundierten wie detaillierten Bewertung unterzogen. Im Ergebnis kristallisierten sich letztlich drei Lösungen heraus, welche auf Basis einer gewichteten Entscheidungsmatrix final bewertet wurden.

Die Entscheidung fiel auf die webbasierte modulare Lösung Robin Data ComplianceOS®. Diese ermöglicht optimal die zentrale und kollaborative Verwaltung der Compliance Anforderungen aus den Bereichen Datenschutz und Informationssicherheit unter einem Dach.

Die vorgenannte Lösung entstammt einem bereits 2018 gegründeten Start-Up aus dem Umfeld der Hochschule Merseburg. Gründer und CEO Prof. Dr. Andre Döring ist selbst als zertifizierter Informationssicherheits- und Datenschutzberater auch im öffentlich-rechtlichen Umfeld tätig und verfügt insofern über einen sehr praxisorientierten Ansatz. Besonderen Charme erhält das Produkt zusätzlich durch das fachliche Faible und die fundierten Erfahrungen hinsichtlich des Aspekts künstlicher Intelligenz (KI), welcher sich Prof. Döring bereits seit 20 Jahren leidenschaftlich widmet. Dieser digitale Lösungsansatz wurde zwischenzeitlich um das zusätzliche Funktionsmodul ISMS erweitert, wodurch die gegebenen Synergieeffekte beider Fachbereiche wirksam umgesetzt werden können. In intuitiv erschließbarer Bedienbarkeit verknüpft die Lösung das Verzeichnis der Verarbeitungstätigkeiten mit Rechtsgrundlagen, Verträgen zur Auftragsverarbeitung sowie technischen und organisatorischen Maßnahmen. Schließlich können Prozesse und Verantwortlichkeiten den zuständigen Personen und Organisationseinheiten zugeordnet, Risiken bewertet und entsprechende Dokumentationspflichten umgesetzt werden.

Gleiches gilt für Anforderungen zur Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) und der damit verbundenen Maßnahmen zur Erreichung der Ziele der Informationssicherheit der KID nach ISO/IEC 27001 wie auch nach BSI IT-Grundschutz.

Die Etablierung dieses digitalen Managementsystems in der KID ermöglicht und sichert die bestmögliche Risikominimierung bzgl. Datenschutzverletzungen und Sicherheitsvorfällen im Interesse unserer Kunden – aber natürlich auch im ureigensten Interesse der KID als dem kommunalen IT-Dienstleister und Auftragsverarbeiter in Sachsen-Anhalt. Die systematische Überwachung, Dokumentation und Überprüfung unserer Geschäftsprozesse und Verarbeitungsabläufe dient folglich nicht nur der internen Kontrolle. Vielmehr ist sie elementare Grundlage dafür, unsere Kunden und von Datenverarbeitungsprozessen Betroffene – angesichts datenschutzrechtlicher und informationssicherheitstechnischer Aspekte – noch effizienter und effektiver unterstützen und schützen zu können.

Die produktive Implementierung beider Funktionsmodule Datenschutz und Informationssicherheit in der KID startete mit Beginn des Jahres 2023.