Die DSGVO beinhaltet einen allgemeinen Teil. Dieser besagt, daß der Istzustand zu dokumentieren ist, dann müssen bestehende Risiken des Istzustands analysiert werden und im letzten Schritt des Allgemeinen Teils müssen die angemessenen technischen und organisatorischen Mittel ergriffen werden, um die Risiken einzudämmen. Vierter Schritt: Es muß geprüft werden, ob die Maßnahmen wirksam sind. Und alles, alles ist zu dokumentieren.
Wie man zu einer Dokumentation des Ist Zustands gelangt, habe ich an der angegebenen Stelle beschrieben. Das Ergebnis der Bestandsaufnahme ist im Verarbeitungsverzeichnis darzulegen. Zweiter Schritt: Es ist zu dokumentieren, wie man analysiert hat. Und das ist für mich als Juristen nicht so einfach, deshalb bitte ich gleich um Verzeihung, wenn ich Dinge nicht gleich komplett auf den Punkt bringe. Im Grunde sagt die DSGVO nicht, wie die Analysephase durchgeführt werden soll.
Man kann sich also an bestehenden ISMS (InformationsSicherheitsManagementSystem) orientieren und hier bieten sich zwei die IEC 27001 und die ISO 27001 auf der Basis des IT Grundschutz an.
Die ISO 27001 ist vom BSI erstellt und wird durch das BSI zertifiziert, ist aber nicht international anerkannt. Die ISO/IEC 27001 Zertifikate sind international anerkannt. Das ganz große Manko beider Systeme ist die Perplexität und der Umfang. Die Prozesse können von der Größenordnung und Perplexität Unternehmen der KMU schlicht überlasten.
Die ISO/IEC 27001 ist eine Zertifizierungsnorm https://de.wikipedia.org/wiki/ISO/IEC_27001 die auch in deutscher Sprache vorliegt https://www.beuth.de/de/norm/din-en-iso-iec-27001/269670716. Die ISO/IEC 27002 ist ein Kompendium von Standards für eine Reihe von Punkten, die eben auch im Rahmen der DSGVO bestehen und die man sich ruhig als Maßstab anschauen kann. https://www.iso.org/standard/54533.html. Die ISO/IEC 27004 ist ein Instrument (oder soll das sein) zur Unterstützung der Evaluierung der Sicherheitsmaßnahmen, die ISO/IEC 27005 ist ein Instrument der Risikoanalyse. Die ISO/IEC 27005 kann auch im Rahmen der Umsetzung der ISO/IEC 27001 eingesetzt werden. Man sollte sich das beschriebene PDF des BSI anschauen. Die 27018, die jetzt für Cloud Dienste immer wieder genannt wird, kann nicht zertifiziert werden, entspricht also nicht dem Vorgaben des Art 43 DSGVO. Die Dokumente sind auf der Seite iso.org für einen Preis von ca. 178 CHR zu erwerben.
Auch die IT Grundschutz Prozesse des BSI sind aufgrund ihrer Komplexität kritisiert worden. Man unterscheidet die BSI 200-1 (Management für Informationssicherheit), die BSI 200-2 IT Grundschutz und Methodik und die BSI 200-3 Risikoanalyse. Problematisch ist weniger die intellektuelle Barriere als vielmehr die Menge und Komplexität. Man lade sich einmal die Dokumente als https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/checklisten.html. Wenn man die BSI 200-2 mit den dazu gehörigen Checklisten umsetzen will, vergehen viele, viele Manntage.
Das BSI hat auf die Kritik reagiert und drei verschiedene Stufen des Risikomanagements eingeführt.
Das Paket Basis ist der Einstieg. Es ermöglicht eine grundlegende Absicherung und eignet sich für KMUs.
Das Basispaket zielt auf die besonders schützenswerten Prozesse und Daten. Also auf die Prozesse, in denen besonders sensible Daten und/oder besonders viele personenbezogene Daten vorhanden sind. Zunächst muß identifiziert werden, welche Prozesse und Daten besonders relevant sind. Für diese ist ein angemessenes Schutzniveau herzustellen.
Wenn Sie sich jetzt bitte das Formular 100-2 anschauen
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standard_1002.pdf?__blob=publicationFile&v=1
und hier das Kapitel 4.3, dann werden Sie erste Hinweise darüber erhalten, wie eine solche Risikoanalyse aussieht.
Für die Details helfen die anderen Dokumente weiter, die alle zur Verfügung gestellt werden.
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/hilfmi/checklisten/checklisten.html
Das Problem wiederrum ist die Vielzahl von Checklisten anhand derer die Analyse durchzuführen ist. Aber lassen Sie sich bitte nicht entmutigen, auch wenn Sie kein Techniker sind. Viele der Dokumente sind wirklich sinnvoll und: In welcher Granularität man die Formulare einsetzen und die Checklisten umsetzen will, bleibt jedem Verantwortlichen selbst überlassen.
Die Krux ist eben: Solange es keine Zertifikate gibt, die mit einem für KMU verhältnismäßigen Aufwand umgesetzt werden können, wird man sich immer Fragen stellen. Es sei aber klar gesagt: Da Unternehmen, die nicht zertifiziert sind, von den ISB Kunden geprüft werden müssen (!), wird sich jedes Unternehmen früher oder später überlegen, ob es sich nicht zertifizieren lässt. Das ist das eigentliche Problem.