DSGVO: Administratoren zwischen Datenschutz und Informationssicherheit

Die Zielvorgaben von Informationssicherheitsbeauftragten (ISB) und Datenschutzbeauftragten (DSB) sind nicht immer kompatibel. Im operativen Tagesgeschäft soll der Administrator den Betrieb der IT sicherstellen, sieht sich aber hin und wieder widersprüchlichen Anforderungen dieser beiden Beauftragten ausgesetzt.

Hinzu kommt, dass sich nicht nur Technik und Organisation laufend verändern, sondern auch die Gesetzgebung. Im Bereich Datenschutz wird zur Zeit auf ein europäisches Modell umgestellt und alle Unternehmen, die in der EU personenbezogene Daten verarbeiten, müssen sich darauf einstellen. Während sich in der Informationssicherheit Entscheidungen häufig betriebswirtschaftlich abwägen und fällen lassen, gibt es für den Datenschutz feste gesetzliche Rahmenbedingungen. Beide Beauftragte, ISB und DSB, versuchen ihre Arbeit jeweils gut zu machen, kommen sich dabei aber wegen der unterschiedlichen Zielsetzungen zwangsläufig manchmal in die Quere.

EU-Datenschutz-Grundverordnung kommt

Für den Datenschutz gibt es mit der EU-Datenschutz-Grundverordnung (EU DS-GVO) seit dem 25. Mai 2016 eine neue europaweit geltende Rechtsgrundlage. Sie gilt unmittelbar für alle Unternehmen, die in oder für Europa personenbezogene Daten verarbeiten. Derzeit befindet sich Europa in der gesetzlichen Übergangsphase, da die EU DS-GVO erst ab dem 25. Mai 2018 angewendet wird. Bis dahin haben Unternehmen Zeit, die vom Gesetzgeber geforderten Anpassungen umzusetzen.

Ein wichtiger Umstand ist, dass die EU DS-GVO ganz konkret Maßnahmen fordert, die die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sicherstellen sollen. Das ist eigentlich die Domäne des Sicherheitsbeauftragten, doch künftig wird der DSB hier intensiver mitwirken. Schauen wir uns die Rollen des ISB, des DSB und des Administrators an, wird schnell deutlich, dass es aufgrund der unterschiedlichen Zielsetzungen zu Problemen kommen kann. Denn der Sicherheitsbeauftragte schützt die Assets des Unternehmens, der Datenschutzbeauftragte schützt die Rechte von Personen und der Administrator soll – auch nach Vorgaben der beiden Beauftragten – für den sicheren Betrieb der IT sorgen.

Die Rollen der Beteiligten

Um den Unternehmenserfolg zu gewährleisten, ist eine sichere Informationsverarbeitung ein allgemein anerkanntes Ziel. Nur wenn die technischen und organisatorischen Abläufe störungsfrei verlaufen, kann das Unternehmen seinen Daseinszweck optimal erfüllen. Dabei gibt es innerhalb der Unternehmen durchaus unterschiedliche Interessenlagen, die teils vom Gesetzgeber kommen, teils aus der Organisation heraus entstehen und Einfluss auf die IT-Administration nehmen wollen.

Das Unternehmen hat ein hohes Interesse daran, dass betriebliche Abläufe optimal gestaltet sind. Organisationen erfordern Strukturen, die ihren Daseinszweck fördern und Hindernisse aus dem Weg räumen. Zum Schutz der Informationsverarbeitung installiert die Geschäftsleitung dazu den Informationssicherheitsbeauftragten. Dieser kümmert sich darum, notwendige Strukturen und Abläufe zum Schutz der Unternehmenswerte gegen Schäden und Angriffe zu schaffen. Sein Ziel ist es, die Unternehmenswerte zu schützen. Er setzt primär die Interessen der Organisation um. Dazu formuliert er Konzepte, Richtlinien und Verhaltensregeln, die den Rahmen der organisatorischen Umsetzung definieren. Er möchte eine transparente Informationsverarbeitung, um mögliche Angriffe und Störungen frühzeitig erkennen zu können.