Die acht Gebote Grundlagen: Sicherheitsanforderungen der Datenschutzgesetze

Ordnungsmerkmale

erschienen in: <kes> 2004#2, Seite 16

Rubrik: Management und Wissen

Schlagwort: Datenschutz

Zusammenfassung: Im Mai 2004 endet die Übergangsfrist für das "neue" Bundesdatenschutzgesetz (BDSG) – etliche, auch kleine Behörden und Betriebe, müssen bis dahin einen Datenschutzbeauftragten benennen. Sobald personenbezogene Daten verarbeitet werden, stellt das BDSG zudem recht konkrete Anforderungen an die Sicherheit der eingesetzten Systeme.

Autor: Von Horst Keil, Feldkirchen

Neben dem eigentlich selbstverständlichen Eigeninteresse einer Organisation, ihre Informationen zu sichern, gibt es verschiedene Gesetze, die Sicherheitsmaßnahmen fordern. Relativ konkret sind die Anforderungen des Bundesdatenschutzgesetzes an technische und organisatorische Maßnahmen (§ 9 BDSG). Wer personenbezogene Daten automatisiert erhebt, verarbeitet oder nutzt, muss zudem schriftlich einen Datenschutzbeauftragten bestellen (§ 4f BDSG). Nach dem "neuen" Datenschutzrecht von 2001 ist das für öffentliche Stellen obligatorisch; nicht-öffentliche Stellen benötigen nur dann keinen Datenschutzbeauftragten, wenn höchstens vier Arbeitnehmer mit personenbezogenen Daten befasst sind.

----------Anfang Textkasten----------

Technische und organisatorische Maßnahmen laut BDSG

"Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht." (§ 9 BDSG)

Die im Bundesdatenschutzgesetz (BDSG) genannten Anforderungen werden im Einzelnen wie folgt definiert:

----------Ende Textkasten----------

So oder so gilt es aber, die entsprechenden Schutzmaßnahmen zu treffen. An oberster Stelle steht hierbei die Wahrung des Datengeheimnisses und die dazu notwendige zweckentsprechende Anwendung von Maßnahmen für die Datensicherheit. Auch hier gilt allerdings das Angemessenheitsprinzip: Erforderlich sind Maßnahmen nur dann, wenn ihr Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht. Im Vordergrund steht das Schutzbedürfnis der Daten, das vom jeweiligen Dateneigner festgelegt wird. So hat beispielsweise eine elektronisch geführte Liste von Geburtstagen einen anderen Stellenwert als die Information in einem Personalverwaltungssystem, das sensitive Daten wie Gehalt oder Beurteilungen verarbeitet. Reicht es im ersten Fall vielleicht aus, die Datei mit einem Passwortschutz zu versehen, so sind die Anforderungen und notwendigen Maßnahmen im zweiten Fall ungleich komplexer.

Starke Authentifizierung und Verschlüsselung sowohl bei der Datenspeicherung als auch beim Datenverkehr spielen hierbei eine wichtige Rolle. Auch die Verfügbarkeit der Systeme muss in diesem Zusammenhang angesprochen werden – gegebenenfalls gegenüber Dienstleistern durch Service Level Agreements (SLAs) abgesichert. Hochverfügbarkeitssysteme mit gespiegelten Datenbeständen an unterschiedlichen Lokationen tragen wesentlich dazu bei, Daten gegen Zerstörung oder Verlust zu schützen. Die hierfür notwendigen Sicherheitskonzepte müssen bereits bei der Projektierung eingebunden werden. RAID-Systeme (Redundant Arrays of Independent Disks), Storage Area Networks (SAN) oder dynamische Backup-Systeme sind nur einige Möglichkeiten, die in diesem Zusammenhang sinnvoll sein können. Aber auch vergleichsweise einfache Komponenten wie Notfallhandbücher, Notfallübungen und Eskalationskonzepte sind wichtige Bausteine für ein ausreichendes und angemessenes Sicherheitsmanagement.

Zur Verfügbarkeitskontrolle gehören aber auch technische und organisatorische Maßnahmen, die fahrlässiges oder vorsätzliches Handeln beziehungsweise die Manipulation der Systeme ausschließen. Auch auf die Gefahr der Angriffe von innen, bewusst oder unbewusst, sei in diesem Zusammenhang besonders hingewiesen: Hochqualifiziertes Personal, verbunden mit den erforderlichen technischen und organisatorischen Maßnahmen, wie etwa rollenbasierten Zugriffskonzepten, sind ein wichtiger Garant für den störungsfreien Betrieb. Auch Gesamt- oder Einzelverpflichtungen auf das Datengeheimnis sind unabdingbar.

Die Vermeidung von Störungen durch Computerviren oder Hacker-Angriffe hat eine besonders große Bedeutung für die Verfügbarkeit von Daten. Die Versorgung von Client-/Server-Systemen mit aktuellen Virensignaturen und das Sicherstellen eines aktuellen Versionsstands (Patchlevel) scheinen auf den ersten Blick nur ein technisches Problem zu sein. Unter dem Aspekt des Datenschutzes und der genannten Beispiele ist jedoch zu erkennen, dass Themen wie Verfügbarkeits- und Zugriffskontrolle bei der Verarbeitung von personenbezogenen Daten nicht einfach von den technischen Themen zu trennen sind, sondern mit ihnen in direktem Zusammenhang stehen und demzufolge gesetzlichen Vorgaben unterliegen.

Gerade kleine und mittelständische Unternehmen sind sich vielfach nicht im Klaren, welche gesetzlichen Anforderungen bei der Verarbeitung personenbezogener Daten bestehen. Applikationen und Datenbanken mit Kundendaten, vor allem aber auch Personaldaten unterliegen dem Bundesdatenschutzgesetz. In der Regel ist das Bewusstsein hierüber jedoch nur schwach ausgeprägt, nicht zuletzt bedingt durch fehlende Datenschutz-Fachkunde. Auch die Tatsache, dass weithin ein Beauftragter für den Datenschutz im Unternehmen bestellt werden muss, ist einerseits vielfach unbekannt, andererseits häufig auch nicht ohne weiteres realisierbar, da das Gesetz vorschreibt, dass der Beauftragte (unter anderem) über die notwendige Datenschutz-Fachkunde verfügen muss. Diese ist jedoch hausintern vielfach nicht vorhanden.

Viele Unternehmen schließen diese Lücke durch die Bestellung eines externen Datenschutzbeauftragten (DSB). Ausschlaggebend hierfür ist nicht zuletzt, dass der Umfang der DSB-Aufgaben gerade in mittleren und kleinen Unternehmen nur eine Teilzeit-Tätigkeit erfordert – weitere Argumente liegen auf der Hand:

Der externe Datenschutzbeauftragte sollte dabei unbedingt auch über betriebswirtschaftliche Kenntnisse, vor allem aber über Wissen und Erfahrung im Bereich der Datenverarbeitung verfügen. Vertraglich zugesicherte Verschwiegenheit und eine integere Persönlichkeit sind weitere Merkmale, die diese Funktion auszeichnen. Hervorzuheben ist zudem, dass der DSB zwar die Belange der Einhaltung des Datenschutzes im Unternehmen prüft, dabei jedoch üblicherweise keinen Einblick in die tatsächlichen Datenbestände erhält.

In welcher Form und für welche Anforderungen sich ein externer DSB im Unternehmen einsetzen lässt, muss man im Einzelfall klären. Der erste Schritt sollte in jedem Fall ein Workshop sein, in dem der aktuelle Stand des Datenschutzes sowie die Probleme und Ziele des Unternehmens analysiert werden. Darauf aufbauend sollte man Vorschläge zur Umsetzung der rechtlichen Anforderungen und eventuell zur Unterstützung datenschutzrelevanter Prozesse erarbeiten. Es hat sich bei einer Reihe von Unternehmen gezeigt, dass mit einem solchen Vorgehen gesetzliche und wirtschaftliche Anforderungen ohne hohen Personal- und Zeitaufwand erfüllt werden können.

Dr. Horst Keil (horst.keil@keil-ktm.de) ist Gesellschafter und Geschäftsführer der Keil KTM GmbH.