 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Datenschutz und
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 |
Zur Inhaltsübersicht der PC-Broschüre |
 |
2. | Was ist grundsätzlich zu wissen und zu beachten? |
2.1 Worüber wird in dieser Broschüre gesprochen?
Vorangestellt werden hier eine Reihe von Begriffen, die mehr oder weniger intuitiv in den allgemeinen Sprachgebrauch eingeflossen sind, dabei aber an der notwendigen Schärfe verloren haben. Zu den Begriffen, die in den Datenschutzgesetzen definiert werden, wird auf die jeweiligen datenschutzrechtlichen Bestimmungen verwiesen [Es handelt sich dabei um folgende Begriffe: personenbezogene Daten, Daten, Datei, Akte, Datenverarbeitung, Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen, Nutzen, Anonymisieren von Daten, speichernde bzw. datenverarbeitende Stelle. Die Begriffe sind in § 3 BDSG und/oder § 4 BlnDSG beschrieben].
2.1.1 Systeme
| Ein | |
| informations- technisches System |
ist eine Gesamtheit zusammenwirkender Geräte, mit dem Daten verarbeitet, d.h. empfangen, erfaßt, gespeichert, verändert, gelöscht und übertragen werden können. |
| Die Abkürzung | |
| PC | steht für Personal Computer, übersetzt: persönlicher Computer. Sie steht damit
für eine Klasse von informationstechnischen Systemen, die sich auszeichnen durch
Es haben sich bis heute nur wenige (Industrie-)Standards bei den PC-Betriebssystemen durchgesetzt. Vorrangig haben sich Betriebssysteme der Firma Microsoft durchgesetzt [MS-DOS mit WINDOWS 3.x WINDOWS 95, WINDOWS NT CLIENT]. Daneben existieren u.a. die Betriebssysteme OS/2 von IBM und Macintosh-OS von Apple sowie spezielle UNIX-Derivate wie z.B. LINUX, die allerdings einen vergleichsweise geringen Marktanteil erreicht haben. Die Aussagen dieser Broschüre sind im Normalfall unabhängig vom Betriebssystem zu sehen. Soweit doch Bezüge zu einem Betriebssystem unvermeidlich sind, beziehen sich die Aussagen auf die Produkte von Microsoft. Zur normalen Ausstattung eines modernen unvernetzten PCs gehören Eingabegeräte wie Tastatur und Maus, ein graphischer Bildschirm, ein Tintenstrahl- oder Laserdrucker, je ein Laufwerk für 3,5-Zoll-Disketten und CDs. Hinzu kommen können je nach Anwendungsbereich Ausstattungskomponenten für multimediale Anwendungen. |
| Laptop, Notebook, Palmtop, | sind Begriffe für PCs, die für den mobilen Einsatz geeignet sind. Die verschiedenen Begriffe stehen für unterschiedliche Größen hinsichtlich ihrer Abmessung und Funktionalität. |
| In dieser Broschüre soll der Begriff | |
| tragbarer Computer | für diesen PC-Typ verwendet werden. |
| Ein | |
| Client-Server-System | ist ein System vernetzter Computer, die hinsichtlich ihrer Rolle im Netz als Clients oder Server bezeichnet werden. |
| Dabei ist ein | |
| Client | ein PC, an dem der Benutzer mit dem Client-Server-System arbeitet. Die zwischen dem Benutzer und dem System stattfindende Interaktion wird über die vom Client angebotene Benutzeroberfläche realisiert. Für ihn und seine Komponenten (z.B. Bildschirm, Software-Oberfläche) gelten daher strenge ergonomische Anforderungen. |
| Dagegen ist ein | |
| Server | ein Computer, der im Client-Server-Netz die Clients mit bestimmten zentralen Leistungen bedient,
die von den Clients abgerufen werden können. Dabei kann es mehrere Server für unterschiedliche
Dienstleistungen geben. Ausgeschlossen ist auch nicht, daß ein Computer gleichzeitig als Client
und als Server eingesetzt werden kann.
Meist stellt man sich unter einem Client-Server-System allerdings ein Netz mit einem Server vor, der alle zentralen Funktionen (z.B. Datenhaltung, Benutzerverwaltung, Druckersteuerung usw.) ausführt. Viele Server sind (meist besonders ausgestattete) PCs. Verbreitete Netzbetriebssysteme mit PC-Servern sind WINDOWS NT SERVER und Novell Netware. Andere Client-Server-Systeme werden jedoch mit Servern betrieben, die unter einem UNIX-Derivat arbeiten. Solche Server werden hier jedoch nicht mehr unter dem Begriff PC erfaßt. |
| Die Abkürzung | |
| APC | steht für den Begriff Arbeitsplatz-Computer und bezeichnet alle Computer, die am Arbeitsplatz
eines anwendenden (in einem Netz nicht systemverwaltenden !) Benutzers eingesetzt werden. Dazu
gehören also die unvernetzten PCs und die Clients in Client-Server-Systemen.
Genau diesen Computern soll sich diese Broschüre widmen. |
2.1.2 Rechtmäßigkeit und Sicherheit der Datenverarbeitung
| IT-Sicherheit | steht für „Sicherheit der Informationstechnik" und meint „den Schutz der Anwendungen der Informationstechnik vor möglichen Bedrohungen" [Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Sicherheitshandbuch, Bonn 1992, S.2]. Zu diesen Bedrohungen wird mehr in Abschnitt 3 ausgesagt. |
| Datenschutz | ist der zusammenfassende Begriff aller rechtlichen, organisatorischen und technischen Maßnahmen zur Gewährleistung des unmittelbar aus den allgemeinen Persönlichkeitsrechten abzuleitenden „Rechts auf informationelle Selbstbestimmung". Er umfaßt die Verarbeitung personenbezogener Daten [FONT FACE="ARIAL" SIZE="-1">Definition zu den Begriffen „Datenverarbeitung" und „personenbezogene Daten" finden sich in den Datenschutzgesetzen des Bundes und der Länder, z.B. § 3 Abs.1 und 5 Bundesdatenschutzgesetz (BDSG) und § 4 Abs.1 und 2 Berliner Datenschutzgesetz (BlnDSG)]. - gleichgültig, ob diese automatisiert oder nicht automatisiert erfolgt. |
| Technischer und organisatorischer Datenschutz | umfaßt daher die technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes. Alle Maßnahmen zur Herstellung von IT-Sicherheit im Zusammenhang mit personenbezogenen Anwendungen sind somit gleichzeitig technisch-organisatorische Maßnahmen des Datenschutzes, speziell jene, die in den zehn Kontrollanforderungen der Datenschutzgesetze des Bundes und der Länder verlangt werden [Siehe z.B. Anlage zu § 9 Satz 1 BDSG oder § 5 Abs.3 BlnDSG sowie Abschnitt 4 dieser Broschüre]. |
| Die | |
| Ordnungsmäßigkeit der Datenverarbeitung | ist ein Qualitätsmerkmal der Datenverarbeitung, die im Zusammenhang mit der Anwendung von Datenverarbeitungsprogrammen zur Verarbeitung personenbezogener Daten überwacht [Siehe z.B. § 18 Abs.2 Satz 3, § 37 Abs.1 Satz 3, Nr.1 BDSG] bzw. gewährleistet [Siehe z.B. § 19 Abs.1 Satz 2 BlnDSG Die Datenverarbeitung ist ordnungsgemäß, wenn sie das leistet, was sie leisten soll, nicht leistet, was sie nicht leisten soll, und beides kontrolliert werden kann. Erreicht wird dies mit einer revisionssicheren Aufbau- und Ablauforganisation der Datenverarbeitung (Dokumentation und Protokollierung!) sowie einer ebenso revisionssicheren Verantwortungsverteilung bei der Datenverarbeitung (Funktionentrennung und Freigabeverfahren). |
2.1.3 Grundtechniken der IT-Sicherheit
| Bei der | |
| Identifizierung | des Benutzers eines informationstechnischen Systems gibt der Benutzer dem System seinen Namen oder eine eindeutig auf ihn bezogene Ersatzidentifikation (Benutzerkennung, User-ID, Identifier) bekannt. Meist handelt es sich dabei um Namenskürzel. |
| Die Identifizierung muß durch die | |
| Authentifizierung | ergänzt werden. Dabei weist der Benutzer dem System die Richtigkeit seiner Identifizierung nach. Allgemein üblich ist die Authentifizierung mit Paßwörtern und/oder maschinenlesbaren Ausweisen, in Zukunft insbesondere Chipkarten. Auch biometrische Verfahren (Fingerabdruck-, Handflächen-, Augenhintergrund-, Sprach-, Handschrifterkennung) werden in Zukunft eine Rolle spielen. |
| Protokollierung | ist in diesem Zusammenhang die Aufzeichnung von Vorgängen bei der Benutzung informationstechnischer Systeme. Sie kann nicht-automatisiert, etwa durch schriftliche Aufzeichnungen, oder automatisiert auf Papier oder maschinenlesbaren Datenträgern erfolgen. |
| Verschlüsselung | ist das Ersetzen von Klartextbegriffen oder Zeichen durch andere, häufig zur Verbesserung der Effizienz der Datenverarbeitung und Programmierung, nicht immer also zum Verbergen des korrekten Inhalts. |
| Dagegen dient die | |
| kryptographische Verschlüsselung | dazu, daß Daten so durch andere Zeichenfolgen ersetzt werden, daß eine sinnvolle Interpretation der Daten Unbefugten unmöglich gemacht wird. Die kryptographische Verschlüsselung gilt als um so „stärker", je größer der (theoretische bzw. mathematische) Aufwand für Unbefugte ist, den Klartext zu rekonstruieren. |
2.2 Wann stehen Datenschutz- und IT-Sicherheitsfragen in einem PC-Projekt an?
Wenn Verfahren der Datenverarbeitung eingerichtet oder wesentlich verändert werden, die für die Aufgabenerfüllung von Organisationen wichtig sind, von denen gar das Leben oder die Gesundheit von Menschen bzw. die wirtschaftliche Existenz oder der gesellschaftliche Status von Personen oder Organisationen abhängt, sind mehr oder weniger starke und wirksame Maßnahmen für die informationstechnische Sicherheit der eingesetzten Systeme erforderlich.
Wenn es um die Verarbeitung personenbezogener Daten geht, sind die Datenschutzgesetze zu beachten, die für die jeweilige Organisation gelten. Auch sie enthalten Regelungen, die die Sicherheit der Datenverarbeitung tangieren, die also nicht nur den Inhalt der Datenverarbeitung betreffen, sondern auch den technischen Zustand der Systeme und deren organisatorisches Umfeld.
Maßnahmen zur Herstellung informationstechnischer Sicherheit und des technischen und organisatorischen Datenschutzes überschneiden sich, der Unterschied liegt in der Zielsetzung.
Datenschutz und IT-Sicherheit sind in die Planungsphase eines IT-Projektes einzubeziehen, je früher, desto besser. Datenschutzfreundliche Technologien zeichnen sich dadurch aus, daß sie auf personenbezogene Daten ganz oder teilweise verzichten bzw. daß weite Bereiche (Sphären) der informationstechnischen Systeme mit pseudonymisierten Daten arbeiten, deren unvorhergesehene Kenntnisnahme durch Dritte die informationelle Selbstbestimmung nicht tangiert. Solche Überlegungen gehören an den Anfang eines Projektes und können hohen Kosten für Sicherheitsmaßnahmen vorbeugen. Will man solchen Ideen folgen oder will man der Sicherheit der Datenverarbeitung einen hohen Stellenwert einräumen, dann gehört in jedes Pflichtenheft die Forderung nach einem umfassenden IT-Sicherheitskonzept und nach Vorschlägen zu seiner Umsetzung. Je später im Projekt IT-Sicherheit und Datenschutz eine Rolle spielen, desto teurer, aber wirkungsärmer werden die Nachbesserungen.
Aus diesem Gedanken heraus enthalten die Datenschutzgesetze z.T. Regelungen, die die frühzeitige Unterrichtung der internen und/oder externen Datenschutzkontrollinstanzen fordern:
Der betriebliche Datenschutzbeauftragte privater Organisationen ist gem. § 37 Abs.1 Satz 3 Nr.1, 2.Halbsatz BDSG über Vorhaben der automatisierten Datenverarbeitung rechtzeitig zu unterrichten.
Da die zitierte Vorschrift durch die Verweisung in § 19 Abs.5 BlnDSG auch für behördliche Datenschutzbeauftragte der Berliner öffentlichen Stellen gilt, sind auch diese rechtzeitig über Vorhaben der automatisierten Datenverarbeitung in ihrem Hause zu unterrichten.
Gem. § 24 Abs.3 Satz 3 BlnDSG ist auch der Berliner Datenschutzbeauftragte von allen öffentlichen Stellen des Landes über die Einführung neuer Automationsvorhaben zu informieren. Diese Vorschrift soll sicherstellen, daß der Berliner Datenschutzbeauftragte so rechtzeitig Gelegenheit erhält, Hinweise und Empfehlungen zu geben, daß sie noch im Projekt berücksichtigt werden können.
Die Rechnungshöfe des Bundes und der Länder verlangen ebenfalls eine frühzeitige Unterrichtung zu informationstechnischen Vorhaben.
Für die öffentlichen Stellen des Landes Berlin gilt Nummer 8 der Mindestanforderungen der Rechnungshöfe des Bundes und der Länder zum Einsatz der Informationstechnik - IT-Mindestanforderungen 1991 - Fassung: Berlin - vom 16.Juli 1992. Dort werden umfassende Unterrichtungspflichten definiert. Insbesondere ist der Rechnungshof „unverzüglich über den Beginn und über den Abschluß oder Abbruch jedes IT-Verfahrens schriftlich zu unterrichten", und es sind bestimmte Dokumentationsunterlagen bereitzuhalten. Bei IT-Verfahren im Bereich des Haushaltswesens sind die meisten dieser Unterlagen sogar mit der schriftlichen Unterrichtung mitzusenden. Die Terminplanung solcher Projekte hat für den Rechnungshof und die Senatsverwaltung für Finanzen einen angemessenen Zeitraum zur Auswertung und Beurteilung zu berücksichtigen.
Ebenfalls für die Berliner öffentlichen Stellen gilt für Verfahren im Rahmen der allgemeinen Verwaltungstätigkeit, für die also das Berliner Informationsverarbeitunggesetz (IVG) [Gesetz über die Informationsverarbeitung bei der allgemeinen Verwaltungstätigkeit (Informationsverarbeitungsgesetz - IVG) vom 9.Oktober 1992 (GVBl. S. 305), zuletzt geändert durch das Haushaltsstrukturgesetz 1997 vom 12.März 1997 (GVBl. S. 69, 81)] anzuwenden ist, gemäß § 4 IVG, daß „vor der Entscheidung über den Einsatz oder die wesentliche Änderung eines automatisierten Verfahrens der allgemeinen Verwaltungstätigkeit" zu prüfen ist, „ob und in welchem Umfang mit der Nutzung der Informationstechnik Gefahren für die Rechte der Betroffenen oder für die Funktionsfähigkeit der Verwaltung verbunden sind. Automatisierte Verfahren dürfen nur eingesetzt oder wesentlich geändert werden, soweit derartige Risiken durch technische oder organisatorische Maßnahmen wirksam beherrscht werden können. Die Entscheidung trifft der Leiter der die Informationstechnik einsetzenden Stelle. Er unterrichtet den Berliner Datenschutzbeauftragten über die Entscheidung".
2.3 Welche Besonderheiten beeinflussen beim PC die Sicherheit?
PC heißt „personal computer", also persönlicher Computer.
Er ist daher ursprünglich so konzipiert worden, daß er den Bedürfnissen jener einzelnen Person genügt, welche ihn benutzen soll oder will. Er ist somit auch mit allem ausgestattet, was ein vollständiger Computer benötigt, der jedoch nur einen bestimmten Benutzer hat. Seine Sicherheit wird dadurch bestimmt, wie dieser Benutzer ihn schützt, ob er ihn im verschlossenen Raum betreibt, ob er die Benutzung durch andere verhindert, wie er mit den Datenträgern umgeht - alles bleibt der Verantwortung des einzigen Benutzers überlassen.
Wenn ein persönlicher Computer jedoch als unpersönlicher Computer eingesetzt wird, er also mehrere Benutzer haben soll oder kann, dann funktioniert die ursprüngliche einfache Sicherheitsphilosophie nicht mehr: Es müssen zusätzliche Maßnahmen getroffen werden, meist solche, die im Verhältnis zum billigen Computer teuer sind und/oder die ursprünglich so bequeme Benutzung verkomplizieren.
Die Besonderheiten:
| Beschreibung | Begründung | |
| 2.3.1 1.Besonderheit: |
Das Betriebssystem eines PC enthält standardmäßig keine Benutzerverwaltung und demzufolge auch keine Benutzerauthentifizierung. | Wozu auch ? Standardmäßig gibt es ja nur einen Benutzer. Warum sollte man dann Benutzer verwalten und authentifizieren können ? |
| Daher die Forderung für schutzbedürftige (z.B. personenbezogene)
PC-Anwendungen: Wird ein PC nicht als persönlicher Computer eingesetzt, weil z.B. mehrere Benutzer mit ihm arbeiten sollen oder weil er als Client in ein Client-Server-System eingebunden ist, so muß im Gesamtsystem eine Benutzerverwaltung erfolgen, die eine Benutzerauthentifizierung voraussetzt. Ein solcher PC ist demzufolge mit entsprechenden Zusatzwerkzeugen auszustatten. |
||
| 2.3.2 2.Besonderheit: |
Das Betriebssystem eines PC führt standardmäßig keine Protokolle, die das Benutzerverhalten kontrollierbar machen. | Wozu auch ? Es gibt standardmäßig nur einen Benutzer. Warum sollte er sein eigenes Verhalten protokollieren wollen ? |
| Daher die Forderung für schutzbedürftige (z.B. personenbezogene)
PC-Anwendungen: Wird ein PC nicht als persönlicher Computer eingesetzt, so ist er mit zusätzlichen Werkzeugen auszustatten, die die gesetzlich vorgeschriebenen oder aus anderen Gründen erforderlichen Protokolle erstellen. |
||
| 2.3.3 3.Besonderheit: |
Die Fähigkeit, mit einem PC umgehen zu können, ist weit verbreitet. Die mögliche Unwissenheit Dritter kann also nicht als Argument der „Sicherheit gegenüber Dritten" dienen. | Wegen der weltweiten Verbreitung der PCs sind auch die Betriebssysteme, Standardanwendungsprogramme und gebräuchlichen Tools weltweit bekannt und überall leicht erhältlich. |
| Daher die Forderung für schutzbedürftige
(z.B. personenbezogene) PC-Anwendungen: Wenn nicht ausgeschlossen werden kann, daß unbefugte Dritte (z.B. Reinigungskräfte, Hausmeister etc.) unbeobachtet Zugang zum PC erhalten, so sind Maßnahmen zu treffen, die verhindern, daß der PC in Betrieb genommen werden kann. Das für die Bedienung eines PCs nötige Wissen ist im Zweifel als gegeben vorauszusetzen. |
||
| 2.3.4 4.Besonderheit: |
Ein PC enthält standardmäßig Laufwerke für bewegliche Datenträger (Disketten, CDs), von denen gelesen oder auf die Daten geschrieben werden können. Solche Datenträger sind überall leicht erhältlich. | Der persönliche Computer ist ein vollständiger Computer, und daher benötigt er solche Laufwerke, damit Programme und Daten eingespielt werden können bzw. eine Datensicherung betrieben werden kann. |
| Daher die Forderungen für schutzbedürftige
(z.B. personenbezogene) PC-Anwendungen zu diesem besonders gravierenden Sicherheitsproblem: Bei Einzelplatz-PCs kann zwar auf solche Laufwerke nicht verzichtet werden, sie müssen jedoch gegen die unbefugte Nutzung verschlossen oder gesperrt werden. Die befugte Benutzung ist durch technische und organisatorische Maßnahmen auf ein unbedingt erforderliches Minimum zu beschränken. Die organisatorischen Abläufe sind so zu gestalten, daß das Minimum klein gehalten werden kann. Die befugte Nutzung sollte nach dem Vier-Augen-Prinzip abgesichert und protokolliert werden. In Client-Server-Systemen benötigen Clients solche Laufwerke grundsätzlich nicht, weil das Einspielen von Daten und Programmen bzw. die Datensicherung zentral vom Server oder Administrations-PC aus erfolgen kann. Sofern Clients solche Laufwerke in begründeten Einzelfällen enthalten, gelten hier die für Einzelplatz-PCs aufgestellten Forderungen. Für bewegliche Datenträger ist sicherzustellen, daß sie Unbefugten nicht zugänglich sind und daß die Vollständigkeit und Authentizität der Datenträger gewährleistet ist und regelmäßig kontrolliert wird. |
||
| 2.3.5 5.Besonderheit: |
Ein PC enthält standardmäßig Schnittstellen zum Anschluß peripherer Geräte wie Drucker, zusätzliche Datenträgerlaufwerke, Scanner etc. Diese Schnittstellen sind frei zugänglich. | Der persönliche Computer ist ein vollständiger Computer, und daher braucht er solche Schnittstellen, denn was ist z.B. ein Computer ohne Drucker ? |
| Daher die Forderung für schutzbedürftige
(z.B. personenbezogene) PC-Anwendungen: Es ist zu verhindern, daß solche Schnittstellen mißbräuchlich verwendet werden, z.B. um periphere Geräte anzuschließen und in Betrieb zu nehmen, deren Gebrauch nicht gestattet werden soll (etwa externe Laufwerke an Clients, die Datenträgerlaufwerke nicht enthalten sollen). |
||
| 2.3.6 6.Besonderheit: |
Im Arbeitsleben werden PCs in normalen Büroräumen benutzt, in denen auch Publikumsverkehr herrschen kann. | Besonders geschützte „Rechnerräume" geben für Arbeitsplatzcomputer keinen Sinn. Sie gehören ja zur Schreibtisch- und damit zur Arbeitsplatzausstattung. |
| Daher die Forderung für schutzbedürftige
(z.B. personenbezogene) PC-Anwendungen: Wird der Arbeitsplatz verlassen, ist zu verhindern, daß sich Unbefugte am PC zu schaffen machen. Der Standort der Bildschirme, der Drucker und anderer Geräte ist so zu wählen, daß unbefugte Mitarbeiter und Außenstehende keine Daten unbefugt lesen oder unbefugte Eingriffe in das System tätigen können. |
||
| 2.3.7 7.Besonderheit: | Ein PC ist klein und leicht genug, um von einer Person davongetragen zu werden. Insbesondere gilt dies natürlich für tragbare Computer. | |
| Daher die Forderung für schutzbedürftige
(z.B. personenbezogene) PC-Anwendungen: Diebstahls- und Einbruchsschutz sind selbstverständlich, aber gerade beim PC, der ja in normalen Büroräumen steht, nur mit gewissen Einschränkungen möglich. Zur Gewährleistung der Vertraulichkeit der Daten, also des Datenschutzes ist daher die kryptographische Verschlüsselung der auf der Festplatte gespeicherten schutzbedürftigen Daten angeraten. Bei tragbaren Computern, die auch mobil eingesetzt werden, ist die kryptographische Verschlüsselung der auf der Festplatte gespeicherten schutzbedürftigen Daten obligatorisch. |
||
 |
