Good Practices zur Umsetzung der Informationssicherheit im Rahmen der DSGVO
Am Dienstag den 24. und Mittwoch den 25. April 2018 fand im Fraunhofer Forum in Berlin eine Tagung des Arbeitskreises Informationssicherheit der Forschungseinrichtungen und Hochschulen in Deutsch-land AKIF statt. Thema der Tagung waren Good Practices bei der Umsetzung der DS-GVO.
Die AKIF-Tagung wurde von Dr.Ulrich Pordesch (Informationssicherheits-Koordinator der Fraunhofer Gesellschaft), Sebastian Kurowski (Fraunhofer IAO) sowie dem Sprecher des AKIF Prof. Dr. Rainer W. Gerling (IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft) organisiert. Die Tagung war mit 136 Teilnehmerinnen und Teilnehmern sehr gut besucht. Besucher waren IT-Sicherheitsbeauftragte und Datenschutzbeauftragte aus Hochschulen und Forschungsorganisationen, sowie einzelne Vertreter von Ministerien und Behörden.
In verschiedenen Vorträgen wurde über die Praxis des IT-Sicherheits- und Datenschutzmanage-ments sowie Einzelthemen der DS-GVO, wie die Datenlöschung und Datenschutzfolgenabschätzung referiert:
In den Vorträgen und den Reaktionen darauf zeigte sich, dass es viele interessante praktische Lösungsansätze gibt, dass viele Einrichtungen aber auch große Herausforderungen in der Erstellung von Sicherheitskonzepten und anderen Maßnahmen sehen. Gründe hierfür sind, dass viele eistierende Konzepte nicht an der Situation und die speziellen Bedarfe von Forschungseinrichtungen und Hochschulen angepasst sind, dass Erfahrungen fehlen und hohe Aufwände erforderlich sind, die mit den vorhandenen Personal-Ressourcen nicht bewältigen werden können. Viele Konzepte und Ansätze, die zur Erfüllung der DSGVO existieren, scheinen im Kontext von Forschung und Lehre sowohl im Umfang als auch Anwendung überzogen. Dies zeigte sich u.a. in Diskussionen über die Anwendung der DSFA.
In der Abschlussdiskussion sprachen sich die Teilnehmer einhellig dafür aus, dass der Sprecherkreis des AKIF auf den Handlungsbedarf seitens der Forschungseinrichtungen und Hochschulen hinweist, aber auch Augenmaß bei der Aufstellung von Forderungen durch die Legislative und Aufsichtsbehörden anmahnt. Nach Möglichkeit soll zum Inkrafttreten der DSGVO ein entsprechendes Memorandum verfasst werden. Es wurde ferner vielfach angemerkt, dass weitere solche Tagungen zum Erfahrungs- und Ideenaustausch unbedingt nötig seien, wobei aber auch klar wurde, dass deren Organisation und Durchführung Ressourcen und eine Organisationsstruktur erfordert. Schließlich wurden Aufgaben angesprochen, wie eine Security Awareness-Initiative für die Forschung und ISO- oder Grundschutzprofile für Sicherheitskonzepte, die eigene Projekte erforderlich machen. Die genannten Punkte soll der AKIF-Sprecherkreis mit Interessierten, die sich gemeldet haben nun angehen.
Man wird in den Wochen nach der Veranstaltung sehen, ob die genannten Vorschläge umsetzbar sind und daraus eine dauerhafte gemeinsame Initiative erwächst. Unabhängig davon ist die Veran-staltung als großer Erfolg zu werten. Die Vorträge und Diskussionen waren sehr gut und vielfach praxisnah. Die Organisation im Fraunhofer Forum hat perfekt geklappt. Es gab ausschließlich sehr positive persönliche Rückmeldungen der Teilnehmer und den Wunsch nach mehr und häufigeren derartigen Veranstaltungen. (Dr. Ulrich Pordesch, Sebastian Kurowski)
Die Folien der Referenten sind über das AKIF-Portal verfügbar.