IT-Dokumentation - Der Blog

Datenschutz und Datensicherheit

Do, 9. April 2015

Worum geht es beim Thema Datenschutz? Und wo ist der Unterschied zur Datensicherheit? Sind das nicht einfach nur unterschiedliche Begriffe für das gleiche Thema? Gleich vorab: Nein, Datenschutz und Datensicherheit verfolgen unterschiedliche Ziele. Auch wenn die Begrifflichkeiten sicherlich nicht so einfach auseinander zu halten sind. Und es natürlich eine gewisse Schnittmenge der beiden Themen gibt und Datenschutz ohne Datensicherheit nicht funktionieren kann.

Datenschutz beschäftigt sich mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten bestimmter oder bestimmbarer natürlicher Personen. Er wird durch das Bundesdatenschutzgesetz BDSG gesetzlich geregelt und soll dafür Sorge tragen, dass das Persönlichkeitsrecht der Menschen durch den Umgang mit ihren Daten nicht negativ beeinflusst wird. Es geht um die informationelle Selbstbestimmung. Das Datenschutzgesetz wird nicht auf juristische Personen angewendet. Datenschutz bezieht sich nur auf natürliche Personen. Er verbietet die unerlaubte Erfassung, Speicherung oder Nutzung personenbezogener Daten. Das nennt man auch das „Datengeheimnis“. Firmen sind gemäß §5 BDSG verpflichtet ihre Mitarbeiter auf dieses Verbot der unerlaubten Datenerhebung und Datennutzung zu verpflichten.

Personenbezogene Daten sind fast überall zu finden

Personenbezogene Daten kommen in jedem Unternehmen jeder Größenordnung vor. Beispiele für personenbezogene Daten sind:

– Persönliche Daten (z.B. Name, Geburtsdatum, Adresse, Telefonnummer, Haarfarbe…)
– Mitarbeiterdaten (z.B. Bildungsstand, Beruf, Fähigkeiten, Urlaub, Leistungsbeurteilungen…)
– Bankdaten (z.B. Kontoauszüge, Darlehen, Kreditkarten…)
– Lohn- und Gehaltsdaten
– Gesundheitsdaten
– Konsumverhalten
– …

Datenschutz ist dabei ohne ein angemessenes Schutzniveau der Daten nicht möglich. So ist im §9 des BDSG geregelt, dass öffentliche und nicht-öffentliche Stellen bestimmte technische und organisatorische Maßnahmen (TOM) zu erfüllen haben. Dazu wurden in der Anlage zu §9 BDSG die „8 Gebote für den Datenschutz“ definiert.

  1. Zutrittskontrolle
    Beschreibung der Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehren.
  2. Zugangskontrolle
    Beschreibung der Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
  3. Zugriffskontrolle
    Beschreibung der Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  4. Weitergabekontrolle
    Beschreibung der Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und der Maßnahmen die gewährleisten, dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
  5. Eingabekontrolle
    Beschreibung der Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
  6. Auftragskontrolle
    Beschreibung der Gewährleistung bzw. der Maßnahmen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.
  7. Verfügbarkeitskontrolle
    Beschreibung der Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
  8. Trennungskontrolle
    Beschreibung der Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Häufig nimmt man auch noch die Organisationskontrolle mit dazu. Das sind alle Maßnahmen, die gewährleisten, dass die innerbetriebliche Organisation den Anforderungen des Datenschutzes genügt. Die Umsetzung der Maßnahmen zur Erlangung eines angemessenen Schutzniveaus, lässt sich mit Datensicherheit überschreiben. Sie sehen, für einen funktionierenden Datenschutz ist ein gewisses Maß an Datensicherheit erforderlich. Ansonsten könnten keine Maßnahmen für diese acht bzw. neun Kontrollpunkte beschrieben werden.

Zum Erreichen der Datensicherheit haben Unternehmen ebenfalls Maßnahmen und Vorkehrungen zu treffen. Dem sollten Sie auch tunlichst nachkommen. Auch wenn Sie tatsächlich keine personenbezogenen Daten erheben, verarbeiten oder nutzen sollten, Anforderungen an die Datensicherheit werden auch Sie erfüllen müssen. Mit folgenden Gesetzen lassen sich Maßnahmen bezüglich Datensicherheit begründen, die Auflistung hat keinen Anspruch auf Vollständigkeit:

– Gesellschaftsrecht, z.B. AktG oder GmbHG
– IDW PS 330 (Prüfliste der Wirtschaftsprüfer)
– BGB Bürgerliches Gesetzbuch
– GDPdU
– KonTraG

Ohne Datensicherheit gibt es keinen Datenschutz

Alle diese Gesetze fordern Maßnahmen zur Datensicherheit. Sie sehen, Datensicherheit muss vorhanden sein, egal ob Sie personenbezogene Daten verarbeiten oder nicht. Durch die Erhebung, Verarbeitung und Nutzung personenbezogener Daten fallen Sie zusätzlich auch noch unter das Bundesdatenschutzgesetz. Damit geht auch eine gewisse Dokumentationspflicht einher. Der Datenschutzbeauftragte muss beispielsweise das IT-Verfahrensverzeichnis führen. Außerdem müssen die bereits erwähnten technisch-organisatorischen Maßnahmen erfasst, dokumentiert, bewertet und periodisch geprüft werden. Auch dies muss in schriftlicher Form vorgehalten werden. Schließlich kann die zuständige Datenschutzbehörde jederzeit Einsicht in das Verzeichnis und die umgesetzten technisch-organisatorischen Maßnahmen verlangen.

Zuletzt noch ein Hinweis. Verwechseln Sie bitte nicht Datensicherheit mit Datensicherung. Datensicherung ist eine technische Maßnahme für Ihre Datensicherheit. Diese lässt sich bei den Maßnahmen zur Verfügbarkeit einordnen. Sie sehen, alleine mit einer Klärung der Bedeutung der einzelnen Begriffe kann man ein bis zwei Seiten im Glossar des IT-Handbuchs füllen.

Schreibe einen Kommentar