Informationssicherheit und Datenschutz

it-sicherheit 12
Fachbeitrag

Informationssicherheit ist eine wesentliche Voraussetzung zur Umsetzung des Datenschutzes in Unternehmen. Sie umfasst neben der Sicherheit von IT-Systemen und den damit verarbeiteten und darin gespeicherten Daten auch die Sicherheit von nicht-elektronisch verarbeiteten Informationen. Ein wesentlicher Bestandteil der Informationssicherheit ist die Datensicherheit.

Was ist Datensicherheit und welche Anforderungen bestehen?

Die Datensicherheit verfolgt das Ziel, im Prozess der Datenverarbeitung vor Verlust, Zerstörung, Verfälschung, unbefugter Kenntnisnahme und unberechtigter Verarbeitung der Daten zu schützen.

Es muss gewährleistet sein, dass insbesondere

  • der Zugriff auf die Daten und somit deren Kenntnisnahme ausschließlich durch autorisierte Benutzer erfolgt; das Gleiche gilt für die Modifikation (Ändern und Löschen) von Daten,
  • Daten nicht unbemerkt verändert werden können, sondern Änderungen nachvollziehbar sind,
  • der Zugriff auf Daten innerhalb eines festgelegten Zeitraums für entsprechend autorisierte Nutzer gewährleistet ist und die Funktionalität der IT-Systeme nicht beeinträchtigt ist.

Welche Maßnahmen sind zu treffen?

In Deutschland sind alle Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten oder nutzen, gesetzlich verpflichtet, die erforderlichen und angemessenen technischen und organisatorischen Maßnahmen zum Erzielen und Aufrechterhalten der Datensicherheit zu treffen. Dies ergibt sich insbesondere aus § 9 des Bundesdatenschutzgesetzes (BDSG) in Verbindung mit der Anlage zu § 9 Satz 1 BDSG.

Der Anforderungskatalog listet eine Reihe von Maßnahmen auf, um das Ziel Datensicherheit zu erreichen. Die gesetzlichen Anforderungen an die erforderlichen Datensicherungsmaßnahmen sind im Gesetz jedoch flexibel gehalten, da sie u.a. unabhängig von einem bestimmten Stand der Technik und verwendeten Medien beschrieben werden.

Generell gilt, dass sich die zu treffenden Maßnahmen an den zu schützenden Unternehmenswerten zu orientieren haben. Hierfür bietet sich zunächst die Durchführung einer Schutzbedarfsanalyse als Grundlage eines Sicherheitskonzepts an, um zu ermitteln, welcher Schutz für die Informationen und die eingesetzte Informationstechnik erforderlich sowie angemessen ist.

Besonderes Augenmerk sollte hierbei vor allem auch in Bezug auf den Einsatz privater mobiler Endgeräte zu Unternehmenszwecken (Stichwort “Bring Your Own Device” – BYOD) liegen.

Welche technischen und organisatorischen Maßnahmen sind konkret gemeint?

Die Anlage zu § 9 Satz 1 BDSG listet in den Nummern 1 bis 8 Maßnahmen auf:

Maßnahmen zur Zutrittskontrolle

Zutrittskontrollmaßnahmen sollen Unbefugten den physischen Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehren. Beispiele für die Umsetzung der Maßnahme sind die Verwendung von Berechtigungsausweisen ggf. mit integriertem Zutrittstransponder (RFID) oder der Einsatz von Alarmanlagen oder Überwachungseinrichtungen.

Maßnahmen zur Zugangskontrolle

Zugangskontrollmaßnahmen sollen verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Zur Umsetzung dieser Kontrollmaßnahme kommt beispielsweise ein effektives Passwortmanagement – ggf. mit Zwei-Faktor-Authentifikation – sowie eine entsprechende Protokollierung der Passwortnutzung in Betracht.

Maßnahmen zur Zugriffskontrolle

Zugriffskontrollmaßnahmen sollen gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Demnach können solche Maßnahmen z.B. in Form von rollenbasierten Berechtigungskonzepten umgesetzt werden.

Maßnahmen zur Weitergabekontrolle

Mit der Weitergabekontrolle soll verhindert werden, dass personenbezogene Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es soll zudem überprüft und festgestellt werden können, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Als Maßnahmen kommen u.a. Regelungen zur Datenträgervernichtung, Taschenkontrollen etc. in Betracht.

§ 9 Satz 2 BDSG stellt explizit heraus, dass die Verwendung eines dem Stand der Technik entsprechenden Verschlüsselungsverfahrens eine Maßnahme für die Zugangs-, Zugriffs- sowie Weitergabekontrolle ist.

Maßnahmen zur Eingabekontrolle

Die Eingabekontrolle soll gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. auch gelöscht und entfernt worden sind. In Betracht kommt hier die Protokollierung von Dateneingaben sowie -löschungen.

Maßnahmen zur Auftragskontrolle

Im Rahmen der Auftragskontrolle hat der Auftragnehmer zu gewährleisten, dass die im Auftrag zu verarbeitenden Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Der Auftraggeber hat dem Auftragnehmer im Rahmen der Auftragsdatenverarbeitung daher entsprechende Weisungen zu erteilen und die Einhaltung dieser durch den Auftragnehmer regelmäßig zu kontrollieren. Die entsprechenden Abreden hierzu, insbesondere auch die Befugnis zur Unterbeauftragung weiterer Dienstleister sind schriftlich zu treffen.

Maßnahmen zur Verfügbarkeitskontrolle

Die Kontrollmaßnahmen zur Verfügbarkeit sollen gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind, insbesondere durch Vorfälle wie Stromausfall, Blitzschlag, Feuer- und Wasserschäden. Sicherungsmaßnahmen wie z.B. Einsatz einer unterbrechungsfreien Stromversorgung (USV) oder von Notstromaggregaten, Erstellung von Backups sowie deren Auslagerung etc. sollten in einem Notfallplan festgehalten werden.

Maßnahmen zur Erfüllung des Trennungsgebots

Ziel des Trennungsgebots ist, zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Umgesetzt werden kann dieses Ziel z.B. durch die Verwendung von mandantenfähiger Software und entsprechend konzipierten Zugriffsberechtigungen. Eine Herausforderung zur Einhaltung des Zweckbindungsgrundsatzes stellt sich bei der Verwendung von CRM-Systemen.

IT-Grundschutz

Insbesondere hinsichtlich der im Unternehmen verwendeten IT-Systeme bieten die IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) eine Auswahl an geeigneten Maßnahmen zur Erreichung und Aufrechterhaltung der Datensicherheit. Das Konzept der IT-Grundschutzvorgehensweise besteht in der Zugrundelegung pauschaler Gefährdungen und hält für diese entsprechende technische und organisatorische Schutzmaßnahmen bereit.

4 Kommentare zu diesem Beitrag

  1. Im Rahmen meiner Tätigkeit muss ich Service Tickets für unterschiedliche Kunden mit dem Softwaresupport bearbeiten. Dies geschieht unter unterschiedlichen nicht verbundenen Accounts zum Teil aber auch einem persönlichen Account. Ich nutze bei Anrufen immer die deutsche Rufnummer des Softwaresupports, leider wird man weltweit irgendwohin geleitet. Nun hatte ich einen Disput über die Qualität eines Requests. Woraufhin der Supportmitarbeiter verschiedene Accounts analysierte und auswertete. Ich verbot dieses Verhalten und wies ihn daraufhin, dass dieses unstatthaft ist, worauf mir gesagt wurde, er sitze in den USA und Datenschutz sei ihm egal, besonders da eh alle Deutschen Nazis wären. Nun hat er sich gegen das ausdrückliche Verbot sowohl beim Kunden wie auch meinem Manager beschwert. Die deutsche Niederlassung des Softwareherstellers ist der Auffassung, dass man da nichts machen kann, da er in den USA ist. Meinerseits wurde keinerlei Zustimmung zur Datenanalyse erteilt oder eine Erlaubnis die Daten in die USA zu transferieren oder gar auszuwerten.

    Wie kann ich gegen ein solches Verhalten vorgehen?

    • Eine bestimmte Handlungsempfehlung können wir leider nicht abgeben, da der von Ihnen beschriebene Sachverhalt sehr komplex ist. Bezüglich der Datenübermittlung in die USA auch innerhalb eines Konzerns sind jedenfalls verbindliche Regelungen erforderlich, damit ein angemessenes Datenschutzniveau hergestellt werden kann. Bitte wenden Sie sich für entsprechende Auskünfte an den betrieblichen Datenschutzbeauftragten.

  2. Hallo Dr. Datenschutz
    Ich hoffe, dass mein Post hier richtig ist.
    Ich war vor kurzem auf dem Einwohnermeldeamt um einen neuen Personalausweis zu beantragen. Der Sachbearbeiter hat scheinbar von einer befreundeten Person der Stadkasse Informationen über eine ausstehende Steuerzahlung von mir bekommen, worauf er mich dann auch hinwies. Zudem waren auch noch andere Personen anwesend, die es scheinbar auch gehört haben. Es handelt sich zwar um einen Freund von mir aber ist sowas denn normal und gibt es dagegen denn Gesetze oder Vorgehensweisen?
    Freundliche Grüsse und Danke
    Eric

    • Ohne den Sachverhalt nun genau und abschließend zu kennen, lässt sich mit Sicherheit sagen, dass die unbefugte Weitergabe von steuerlichen Verhältnissen durch einen Amtsträger an einen Dritten gegen das Steuergeheimnis (§ 30 Abgabenordnung) verstößt. Dieses ist eine besondere Ausprägung des Datenschutzes und steht unter Strafandrohung (§ 355 Strafgesetzbuch). Außerdem sind disziplinarrechtliche und zivilrechtliche Maßnahmen gegen den Amtsträger möglich. Die Weitergabe ist zwar in bestimmten (gesetzlich geregelten) Ausnahmefällen erlaubt, das Vorliegen eines solchen dürfte aber in Ihrem Fall zumindest stark bezweifelt werden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.