 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Datenschutz und
|
||||||||||||||||||||||||||||||||||||||||||||||||||||
 |
 |
4. | Wie ist der technisch-organisatorische Datenschutz zu gewährleisten? |
4.1 |
Wie werden die Kontrollanforderungen der Datenschutzgesetze umgesetzt? |
Die Datenschutzgesetze des Bundes und der Länder enthalten eine Vorschrift, die alle Stellen, die selbst oder im Auftrag Daten verarbeiten, dazu verpflichtet, technische und organisatorische Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Bestimmungen der Datenschutzgesetze zu gewährleisten. Insbesondere wird die Umsetzung von Anforderungen verlangt, die sicherstellen sollen, daß eine unbefugte Kenntnisnahme und/oder Verarbeitung verhindert wird. Weil die meisten Datenschutzgesetze zehn solcher Anforderungen aufzählen, spricht man salopp von den "Zehn Geboten" der Datenschutzgesetze.
In Berlin gelten für die öffentlichen Stellen des Landes die zehn Kontrollanforderungen aus § 5 Abs.3 Berliner Datenschutzgesetz (BlnDSG), für die öffentlichen Stellen des Bundes und für private Organisationen gelten die zehn Kontrollanforderungen aus der Anlage zu § 9 Satz 1 Bundesdatenschutzgesetz (BDSG).
Wir orientieren uns in dieser Broschüre am Bundesdatenschutzgesetz, stellen jedoch Unterschiede zum Berliner Datenschutzgesetz heraus. Die speziell für die Umsetzung von § 5 Abs.3 BlnDSG zu erwähnenden Unterschiede werden kursiv hervorgehoben.
4.1.1
Welche Kriterien gelten für die Auswahl geeigneter technisch-organisatorischer Maßnahmen?
Welche konkreten technischen und organisatorischen Maßnahmen zur Erfüllung der Anforderungen getroffen werden müssen, sagen die Gesetze naturgemäß nicht. Vielmehr sagen sie, welche Ziele erreicht werden müssen. Sie geben allerdings gewisse Hinweise darauf, woran sich die Maßnahmen zu messen haben.
Das BDSG schränkt ein, daß Maßnahmen nur erforderlich sind, wenn ihr Aufwand im angemessenen Verhältnis zum angestrebten Schutzzweck stehen. Dies bedeutet umgekehrt auch, daß (weitere) Maßnahmen nur dann nicht erforderlich sind, wenn auch ohne diese Maßnahmen der angestrebte Schutzzweck erreicht wird.
Der Schutzzweck orientiert sich aus der Sicht des Datenschutzes am Schaden, der für den Betroffenen entsteht, wenn seine Daten unbefugt offenbart, verarbeitet oder genutzt werden.
In den Kategorien der informationstechnischen Sicherheit orientiert sich der Schutzzweck am Risiko, das eine Organisation trägt, daß Daten unbefugt offenbart, verarbeitet oder genutzt werden.
Der Schutzzweck orientiert sich jedoch nicht am Investitionsvolumen für die informationstechnischen Systeme oder an den Kosten der technisch-organisatorischen Maßnahmen! Wenn schutzbedürftige Daten mit einem preiswerten System (z.B. einem normalen PC) verarbeitet werden, so kann man deshalb nicht auf gegebenenfalls teure technische Sicherheitseinrichtungen verzichten.
Das BlnDSG enthält zwar keine Verhältnismäßigkeitsklausel, das Gebot der Verhältnismäßigkeit der Maßnahmen ist aber natürlich auch im Geltungsbereich des BlnDSG zu beachten. Das BlnDSG verlangt jedoch, daß sich die Maßnahmen nach dem Stand der Technik zu richten haben. Eine Rechtsverordnung gem. § 5 Abs.4 BlnDSG, die hierzu nähere Aussagen machen sollte, gibt es allerdings nicht. Jedoch: "Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zur Gewährleistung der Durchführung dieses Gesetzes gesichert erscheinen läßt. Bei der Bestimmung des Standes der Technik sind insbesondere vergleichbare Verfahren, Einrichtungen oder Betriebsweisen heranzuziehen, die mit Erfolg im Betrieb erprobt worden sind" (§ 5 Abs.4 Satz 2 BlnDSG).
Für die Praxis: Man dürfte den Stand der Technik bei den technisch-organisatorischen Maßnahmen zufriedenstellend berücksichtigen, wenn sie dem gleichen technologischen Standard folgen, dem das die Daten verarbeitende informationstechnische System entspricht.
Das Bundesdatenschutzgesetz verlangt zwar nicht explizit die Orientierung am Stand der Technik, jedoch gilt auch hier, daß ein dem Schutzzweck angemessener Schutz nur gegeben sein kann, wenn sich die Schutztechniken am technologischen Stand des verarbeitenden Systems orientieren.
Weitere Kriterien ergeben sich aus den Risikobetrachtungen oder -analysen: Man muß sich nur gegen solche Risiken absichern, die auch tatsächlich vorhanden sind. Hierzu findet sich Näheres in Abschnitt 3.1.
4.1.2
Welche Maßnahmen können für die Umsetzung der "Zehn Gebote" des technischen und organisatorischen Datenschutzes ergriffen werden?
Die in den Datenschutzgesetzen aufgeführten Kontrollanforderungen gelten generell für alle Formen der automatisierten Datenverarbeitung, also auch für den Einsatz von isolierten oder vernetzten PCs. Sie sind jedoch ursprünglich noch an dem Modell des zentralen Rechenzentrums formuliert, eine Einsatzorganisation, die derzeit zunehmend eine geringere Rolle spielt. Wegen der in Abschnitt 2.3 beschriebenen besonderen Merkmale des PC-Einsatzes haben die in den Gesetzen formulierten Anforderungen einen differenziert zu gewichtenden Anteil am Erreichen der Datenschutz- und IT-Sicherheitsziele.
Die folgenden Ausführungen gehen auf diese Stellenwerte ein. Welche konkreten Maßnahmen im Einzelfall zu ergreifen sind, ergibt sich aus den Bezügen aus Abschnitt 3.2 auf die "Zehn Gebote" [ Anlage zu § 9 Satz 1 BDSG, Nr.1-10, § 5 Abs.3 Nr.1-10 BlnDSG].
"Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,
| Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren." |
§ 5 Abs.3 Nr.1 BlnDSG hat den gleichen Wortlaut.
Da PCs meist als APC eingesetzt werden, befinden sie sich in normalen Büroräumen, in denen auch Publikumsverkehr möglich sein muß und für die in der Regel auch keine besonderen Zutrittsregelungen für Servicepersonal (z.B. Gebäude- und Raumreiniger, Hausmeister) gelten können. Besondere Maßnahmen zur Zugangskontrolle können daher nicht vorgesehen werden, jedoch können einfache organisatorische Maßnahmen schon zur Eindämmung von Risiken führen. Die mit der Zugangskontrolle zu erreichenden Schutzziele müssen jedoch durch u.U. stärkere Maßnahmen für andere Kontrollanforderungen (z.B. Benutzerkontrolle) abgedeckt werden.
Die Aussagen gelten nicht für PCs, die als Server eingesetzt werden. Server gehören in einen zugangsgeschützten Extraraum.
"Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,
| zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können." |
§ 5 Abs.3 Nr.2 BlnDSG hat den gleichen Wortlaut.
Im Gegensatz zur Zugangskontrolle kommt der Datenträgerkontrolle beim PC-Einsatz eine herausragende Bedeutung zu. Es gehört zu den sicherheitsrelevanten Besonderheiten beim PC-Einsatz, daß der Umgang mit Disketten, die in großen Mengen vorhanden sein können, trotz hohen organisatorischen Aufwandes kaum mit hinreichender Sicherheit organisiert werden kann. Selbst wenn alle möglichen Maßnahmen getroffen werden, um die Vollzähligkeit und die Authentizität der Datenträger zu gewährleisten, so dürfte es dennoch schwierig sein, alle Wege zu schließen, auf denen Disketten mitgebracht oder aus dem Haus getragen werden können, sei es böswillig oder in bester Absicht.
Aus diesem Grunde müssen ergänzende Maßnahmen getroffen werden, die eine intensive Verwendung beweglicher Datenträger beschränken. Es ist grundsätzlich kritisch zu prüfen, in welchem Umfang und zu welchen Zwecken Diskettenlaufwerke benutzt werden müssen. Die Datenverarbeitungsprozesse können zumeist so organisiert werden, daß auf die Verwendung von Disketten fast ganz verzichtet werden kann. In Client-Server-Systemen benötigen die meisten Clients kein Laufwerk, einige herausgehobene Clients nur selten. Wenn Laufwerke nur ausnahmsweise benötigt werden, können sie verschlossen und die Schlüssel in kontrollierter Form verwaltet werden.
"Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,
| die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern." |
§ 5 Abs.3 Nr.3 BlnDSG hat den gleichen Wortlaut.
Maßnahmen zur Speicherkontrolle sind zumindest dann immer nötig, wenn mehr Personen als der einzig berechtigte Benutzer (Personal Computer!) Zugang an das System erlangen können. In normalen Arbeitsumgebungen dürfte dies immer der Fall sein.
Maßnahmen zur Speicherkontrolle setzen voraus, daß vom System geprüft werden kann, ob jemand ein berechtigter Benutzer ist (Identifizierung und Authentifizierung) und wenn ja, ob er auch Zugriff auf die geschützten Daten erhalten darf. Eine weitere Möglichkeit, einen differenzierten Zugriff auf Dateien zu realisieren, bietet die kryptographische Verschlüsselung der zu schützenden Daten.
Die Umsetzung solcher Maßnahmen ist mit der standardmäßigen Ausstattung eines PCs nicht möglich [... es sei denn, das system-, aber eben nicht personenbezogene BIOS-Paßwort böte hinreichenden Schutz]. Es sind also u.U. zusätzliche Tools zu beschaffen und einzusetzen.
Wenn Unbefugte die Möglichkeit haben, durch Blick auf den Bildschirm oder durch die Kenntnisnahme von Ausdrucken personenbezogene Daten zur Kenntnis zu nehmen, liegt ebenfalls ein Mangel der Speicherkontrolle vor. Hier kommt es also auf eine datenschutzgerechte Positionierung der Bildschirme und Drucker an.
"Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,
| zu verhindern, daß Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können." |
§ 5 Abs.3 Nr.4 BlnDSG hat einen anderen Wortlaut, aber den gleichen Inhalt.
Die Formulierung "mit Hilfe von Einrichtungen zur Datenübertragung" ist technologisch antiquiert und im Zusammenhang mit PCs gefährlich mißverständlich. Jedes moderne System wird mit Hilfe von Einrichtungen zur Datenübertragung benutzt, denn man arbeitet "online" mit dem System. Bildschirm und Tastatur sowie die zugehörigen Datenleitungen zum Rechner eines PC sind genau jene Einrichtungen zur Datenübertragung, mit denen der PC genutzt wird. Die Benutzerkontrolle ist also für den PC einschlägig.
Sie ist in normalen Arbeitsumgebungen aus den gleichen Gründen wie die Speicherkontrolle auch wichtig. Es geht auch hier um die Identifizierung und Authentifizierung desjenigen, der sich als berechtigter Benutzer dem System gegenüber ausgibt. Wenn es nur einen berechtigten Benutzer gibt (Personal Computer!), dann mag das Verschließen des Netzschalters eine Alternative sein.
Maßnahmen der Benutzerkontrolle müssen beim PC in der Regel Risiken abdecken, die bei anderen Systemen durch Maßnahmen der Zugangskontrolle eingedämmt werden.
"Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,
| zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können." |
§ 5 Abs.3 Nr.5 BlnDSG hat einen etwas abweichenden Wortlaut, aber den gleichen Inhalt.
Wenn nicht alle berechtigten Benutzer auf die gleichen Daten zugreifen sollen, muß das System also in der Lage sein, differenzierte Zugriffsberechtigungen auch technisch umzusetzen. Bei Einzelplatz-PCs dürfte eine solche Nutzungsform allerdings eher die Ausnahme bilden.
Voraussetzung ist zunächst eine Benutzerkontrolle, für die sich die berechtigten Benutzer identifizieren und authentifizieren müssen. Danach prüft das System bei jedem Zugriffsversuch auf eine geschützte Datei, ob der Benutzer Zugriff auf diese Datei erhalten darf, und gibt je nach Ergebnis der Prüfung den Zugriff frei oder verhindert ihn.
Die Zugriffskontrolle sollte daher ein zusätzliches Leistungsmerkmal für ein Datensicherheits-Tool bei Einzelplatz-PCs sein. In Client-Server-Systemen sind entsprechende Funktionen in den Betriebssystemen enthalten.
"Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,
| zu gewährleisten, daß überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden können." |
§ 5 Abs.3 Nr.6 BlnDSG lautet anders: Danach ist
| "aufzuzeichnen, an welche Stellen wann, welche personenbezogenen Daten übermittelt worden sind" |
Die Berliner Regelung verlangt also anstelle einer Dokumentationspflicht (wohin können Daten übermittelt werden) eine Protokollierungspflicht (wohin wurde wann was übermittelt). Dies ist ein wichtiger Unterschied, insbesondere, wenn man bedenkt, daß Systeme, die in sog. offenen Netzen (z.B. über das Internet) erreichbar sind, von jedem Telefonanschluß der Welt erreicht werden können.
Im Geltungsbereich des BDSG ist die Übermittlungskontrolle beim Einsatz von PCs nur relevant, wenn eine Vernetzung oder sonstige Leitungsverbindung (z.B. Filetransfer oder E-Mail) mit anderen speichernden Stellen besteht. In diesem Falle muß also dokumentiert sein, welche Stellen Adressaten von Übermittlungen über diese Netze bzw. Leitungen sein können.
Bei Systemen, die über offene Wählnetze Daten übertragen können, greift eine Dokumentationspflicht nicht. Hier kann die Übermittlungskontrolle nur durch eine Protokollierung umgesetzt werden. Dies wird auch durch das BDSG nicht ausgeschlossen.
Anders als im Geltungsbereich des BDSG müssen öffentliche Stellen Berlins die gesetzlich geforderten Merkmale protokollieren, wenn eine Übermittlung auf Leitungswegen erfolgt.
Im Geltungsbereich des BlnDSG ist die Übermittlungskontrolle darüber hinaus noch relevant, wenn eine Datenübertragung zu Übermittlungszwecken mittels beweglichen Datenträgern erfolgt. In diesem Falle sind zumindest schriftliche Aufzeichnungen zu machen.
Die Übermittlungskontrolle spielt beim typischen PC-Einsatz eine untergeordnete Rolle. Allerdings greift sie z.B. bereits dann, wenn von dem PC aus personenbezogene Daten über Netzdienste (Internet, T-Online ... ) an andere Stellen übertragen werden.
"Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,
| zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind." |
§ 5 Abs.3 Nr.7 BlnDSG ist wortgleich.
Die Eingabekontrolle verlangt eine Protokollierung der Datenzugriffe, bei denen der Datenbestand verändert wird. Dazu zählen nicht nur Ersteingaben von Daten, sondern auch Änderungen und Löschungen.
Die Eingabekontrolle ist beim PC-Einsatz genauso relevant wie beim Einsatz anderer informationstechnischer Systeme. Sie zielt darauf ab, daß Änderungen des Datenbestandes auf den Benutzer bezogen protokolliert werden, um im Falle von Datenverfälschungen der Ursache nachgehen zu können. Bei versehentlichen Fehleingaben können dann die Umstände nachvollzogen werden, so daß die Wiederherstellung der Datenintegrität erleichtert werden kann. Absichtliche Manipulationen können aufgeklärt werden, wenn nicht schon die bloße Existenz der Eingabekontrolle abschreckend wirkt. Im Gegensatz zur Erkennung versehentlicher Fehleingaben setzt die Aufklärung absichtlicher Datenmanipulationen die automatische und vom Benutzer unbeeinflußbare Protokollierung voraus. Wenn also Risikobetrachtungen zu dem Ergebnis führen, daß Anreize für absichtliche Datenmanipulationen nicht auszuschließen sind, so hat eine solche automatisierte Eingabeprotokollierung zu erfolgen. Dies ist ganz sicher dann der Fall, wenn es sich um die Berechnung und Zahlbarmachung von Geldbeträgen handelt.
Solche Protokollierungsmöglichkeiten setzen Betriebsmittel voraus, die nicht standardmäßig zur Ausstattung eines PCs oder eines PC-Netzes gehören. Da die Protokollierung auf der Ebene der Anwendungen erfolgt, müssen es die Anwendungsprogramme oder die zur Datenhaltung verwendeten Datenbanksysteme sein, welche die Protokollierung ermöglichen.
Voraussetzung für eine automatische Protokollierung ist die persönliche Authentifizierung des berechtigten Benutzers. Vor allem wegen der Eingabekontrolle reicht es also nicht aus, daß bei den Maßnahmen zur Speicher-, Benutzer- und Zugriffskontrolle nur die Zugehörigkeit zu einer Berechtigtengruppe geprüft wird.
Die automatisierte Eingabekontrolle ist nach dem Betriebsverfassungs- bzw. nach den Personalvertretungsgesetzen mitbestimmungspflichtig. Gegenstand der Mitbestimmung ist nicht die Frage, ob eine Eingabekontrolle erfolgt, weil das eine gesetzliche Forderung ist, sondern die Abwehr von Mißbrauchsmöglichkeiten zum Zwecke der Mitarbeiterkontrolle und -überwachung [FONT FACE="ARIAL" SIZE="-1">Auch die Datenschutzgesetze unterwerfen personenbezogene Protokolle und sonstige Aufzeichnungen für die Kontrolle des Datenschutzes, der Datensicherheit und der ordnungsgemäßen Datenverarbeitung einer besonderen Zweckbindung, die etwa die Nutzung zur Mitarbeiterkontrolle ausschließen: z.B. §§ 14 Abs.4 (öffentliche Stellen des Bundes), 31 (private Organisationen) BDSG, § 11 Abs.5 BlnDSG (öffentliche Stellen des Landes Berlin)].
"Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,
| zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können." |
§ 5 Abs.3 Nr.8 BlnDSG ist wortgleich.
Die Auftragskontrolle ist eine Pflicht des Auftragnehmers.
Der PC-Einsatz führt nicht zu typischen Problemen der Auftragskontrolle. Daher würde es zu weit führen, an dieser Stelle Probleme des Outsourcing von Datenverarbeitung und der Organisation von DV-Dienstleistern zu behandeln.
"Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,
| zu verhindern, daß bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können." |
Der Wortlaut von § 5 Abs.3 Nr.9 BlnDSG weicht etwas ab, jedoch gibt es keine inhaltlichen Unterschiede.
Anders als die Übermittlungskontrolle ist die Transportkontrolle auch dann relevant, wenn es um die Übertragung von Daten innerhalb einer datenverarbeitenden (speichernden) Stelle oder zu bzw. von einem Auftragnehmer geht.
Beim Transport von Datenträgern geht es darum, die Vollständigkeit, Authentizität und Unversehrtheit der Datenträger sicherzustellen sowie den unbefugten Zugriff auf die Daten auf dem Transportweg zu verhindern. Dies erfolgt in erster Linie mit organisatorischen Mitteln und mit sicherem Verschluß. PC-spezifisch ist dabei nur, daß die Datenträger klein, billig und allgemein verfügbar sind, so daß Manipulationen auf dem Transportweg vereinfacht werden.
Der Vertraulichkeit und Integrität - damit den Hauptzielen des Datenschutzes - wird voll entsprochen, wenn die Daten auf den Datenträgern mit starken Verfahren kryptographisch verschlüsselt sind.
Die Transportkontrolle bei der leitungs- oder luftgebundenen (Funk, Laser) Übertragung kann nur durch die vollständige Überwachung der Übertragungswege oder, soweit dies nicht möglich ist, durch starke kryptographische Verschlüsselung erfolgen.
"Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,
| die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird." |
§ 5 Abs.3 Nr.10 BlnDSG ist wortgleich.
Die Organisationskontrolle fordert die organisatorischen Voraussetzungen für die Umsetzung aller technischen und organisatorischen Maßnahmen bei der Verarbeitung personenbezogener Daten. Sie bildet den Rahmen und schafft das Umfeld für den datenschutzgerechten Umgang mit personenbezogenen Daten. Sie hat daher auch für den PC-Einsatz einen außerordentlichen Stellenwert.
Viele technische Maßnahmen verlieren ihre Wirksamkeit ohne geeignete Flankierung durch organisatorische Maßnahmen. Daher sind organisatorische Maßnahmen auch integraler Bestandteil der Erfüllung aller übrigen Kontrollanforderungen.
Speziell die Organisationskontrolle soll aber sicherstellen, daß nicht alle sonstigen technischen und organisatorischen Maßnahmen konterkariert werden:
Sie verlangt verbindliche und detaillierte Regelungen zur Befugnis und Nichtbefugnis beim Umgang mit personenbezogenen Daten und Systemen, die diese verarbeiten. Da stets von befugten und unbefugten Personen oder Handlungen die Rede ist, muß für jeden klar und nachvollziehbar sein, wer wozu befugt ist oder nicht. Sie verlangt auch eine klare Verantwortungsverteilung.
Regelungen zum Umgang mit den technischen Sicherheitseinrichtungen, zur Akten- und Datenträgervernichtung, zur Löschung und Sperrung von Daten, zur Gewährleistung der Betroffenenrechte (z.B. Auskünfte, Benachrichtigungen), zum Umgang mit papierenem Output usw. gehören ebenfalls zur Gestaltung einer datenschutzgerechten Organisation dazu.
Von besonderer Bedeutung ist außerdem, daß alle, die Verantwortung tragen und/oder Befugnisse wahrnehmen, dafür auch die erforderliche Qualifikation besitzen. Dies gilt auch für die Qualifikation in Datenschutz- und IT-Sicherheitsfragen!
4.2 |
Mit welchen Maßnahmen ist die Ordnungsmäßigkeit der Datenverarbeitung herzustellen? |
Weitere gesetzliche Anforderungen an die technische Gestaltung und die organisatorische Einbettung informationstechnischer Systeme ergeben sich im Zusammenhang mit der Ordnungsmäßigkeit der Datenverarbeitung.
§ 18 Abs.2 Satz 3 BDSG verlangt von den öffentlichen Stellen des Bundes, daß sie dafür zu sorgen haben, "daß die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, überwacht wird."
Von dem betrieblichen Datenschutzbeauftragten wird in § 37 Abs.1 Satz 3 Nr.1 BDSG verlangt, daß er "insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen" hat.
§ 19 Abs.1 Satz 2 BlnDSG ist noch strenger: Die öffentlichen Stellen in Berlin "haben insbesondere dafür zu sorgen, daß die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, gewährleistet ist." Diese Aufgabe nehmen nach § 19 Abs.5 BlnDSG behördliche Datenschutzbeauftragte wahr.
Die Ordnungsmäßigkeit der Datenverarbeitung ist im datenschutzrechtlichen Sinne gegeben, wenn sie im Sinne der Zweckbestimmung der Datenschutzgesetze einwandfrei ist (§§ 1 Abs.1 BDSG, 1 Abs.1 BlnDSG).
Dies bedeutet:
- Die Ausführung der Programme bewirkt keine Vorgänge, die gegen datenschutzrechtliche Bestimmungen verstoßen.
- Die Datenverarbeitung ist in dem Sinne sicher, in dem ein angemessenes und wirksames Sicherheitskonzept zur Umsetzung der technisch-organisatorischen Kontrollanforderungen der Datenschutzgesetze erstellt und umgesetzt wurde.
- Die Datenverarbeitung ist transparent, d.h.
- Aufgaben und Verantwortung für die ordnungsgemäße Funktion der Systeme und Programme sind eindeutig verteilt und nachvollziehbar;
- die Konfiguration der Systeme und die Programme sind hinreichend dokumentiert, so daß das Zusammenwirken der Komponenten und der Ablauf der Programme nachvollziehbar ist;
- für Datenschutz und Datensicherheit relevante Abläufe werden protokolliert.
- Die Datenverarbeitung wird kontrolliert.
Die Anforderungen an die ordnungsgemäße Datenverarbeitung gelten selbstverständlich auch beim Einsatz von PCs, obgleich ihre Umsetzung wegen der meist einfacheren technischen und organisatorischen Rahmenbedingungen weniger aufwendig ist.
Es sind jedoch folgende Regeln zu beachten:
Jede Einführung und jede den Ablauf der Datenverarbeitung betreffende Veränderung eines automatisierten Verfahrens zur Verarbeitung personenbezogener Daten benötigt die | |||
formelle Freigabe |
durch die für das Anwendungsgebiet verantwortliche Person oder Institution. Erst wenn die formelle Freigabe erfolgt ist, darf das System/Programm in den echten Einsatz gehen. Voraussetzungen für die formelle Freigabe sind
Die Anforderungen an eine sachgemäße | ||
Funktionentrennung |
sind auch beim PC-Einsatz zu erfüllen, obwohl so viele Funktionen wie | ||
z.B. in einem arbeitsteilig organisierten Rechenzentrum nicht unterschieden und damit getrennt werden können. Zumindest jedoch müssen die Funktionen Benutzer und Systemverwalter bzw. Systemgestalter voneinander getrennt sein. Es darf nicht sein, daß ein Benutzer Änderungen der Systeme oder Programme durchführen kann, die den Gegenstand der formellen Freigabe berühren, z.B. durch Einspielen neuer Versionen von Standardsoftware. Die | |||
Revisionsfähigkeit |
muß auch beim Einsatz von PCs für die Verarbeitung personenbezogener | ||
Daten gegeben sein. Sie erfordert, daß kontrollierende Instanzen (Vorgesetzte, Datenschutzbeauftragte, Rechnungsprüfer, interne Revision) durch geeignete Dokumentationen und Protokollierungen die Aufbau- und Ablauforganisation der Datenverarbeitung nachvollziehen können. Die | |||
Dokumentation |
soll die Konfiguration des Gesamtsystems, die eingesetzten Hard- und Software-Komponenten sowie deren Zusammenwirken, die Datenstrukturen, Eingabemasken und Listenformate hinreichend genau und aktuell beschreiben. Für selbsterstellte Programme ist eine vollständige Programmdokumentation erforderlich, für Standardprogramme hinreichende Handbücher für Benutzer und Systemverwalter. Zur Dokumentation gehört auch die formelle Freigabeerklärung, das Datenschutz- bzw. IT-Sicherheitskonzept sowie die Zugriffsberechtigungen der an der Datenverarbeitung beteiligten Personen (Benutzer, privilegierte Benutzer, Systemverwalter ...). Die | ||
Protokollierung |
gibt Auskunft über die tatsächlichen Abläufe im System, den Umgang der Benutzer mit dem System. Neben den datenschutzrechtlich vorgegebenen Protokollen für die Eingabe- und Übermittlungskontrolle können je nach Schutzzweck weitere Protokollierungen sinnvoll oder erforderlich sein: Abrufprotokolle, Log-Protokolle, Protokolle über sicherheitsrelevante Vorgänge (z.B. abgewiesene Anmeldeversuche, Eingriffe der Systemverwaltung).
[Ausführlich behandelt wird die Protokollierung in der "Orientierungshilfe zur datenschutzrechtlichen Protokollierung beim Betrieb informationstechnischer Systeme" (siehe Literaturverzeichnis)]. | ||
Neben diesen Maßnahmen gibt es noch weitere - nur scheinbar selbstverständliche - Voraussetzungen für den rechtmäßigen, ordnungsgemäßen und sicheren Einsatz der Datenverarbeitung, sei es mit komplexen Systemen, sei es mit PCs:
Die Qualifikation aller an der Datenverarbeitung beteiligten Personen ist auf die vollständige Beherrschung ihrer Aufgaben bei der Datenverarbeitung auszurichten. Erfahrungen und Statistiken zu Risiken des Einsatzes von Informationstechnik zeigen, daß die meisten Störungen durch versehentliche Fehlhandlungen von Benutzern oder - mit gravierenderen Konsequenzen - Systemverwaltern verursacht werden. Ein PC ist vergleichsweise einfach zu benutzen oder zu administrieren. Das darf aber nicht dazu verleiten, auf qualifizierende Maßnahmen zu verzichten. Dies wäre falsche Sparsamkeit, die sich mit hohen Schadenskosten rächen kann.
Mit den beschriebenen Maßnahmen zur Ordnungsmäßigkeit der Datenverarbeitung wird die Transparenz und damit auch die Kontrollierbarkeit der Datenverarbeitung sichergestellt, nicht aber die Kontrollen selbst. Voraussetzung dafür ist die Existenz einer geeigneten Kontrollstruktur. Von Gesetz wegen vorgesehen ist in privaten Organisationen die Bestellung betrieblicher Datenschutzbeauftragter (§ 36 BDSG) und bei öffentlichen Stellen des Landes Berlin die Bestellung behördlicher Datenschutzbeauftragter (§ 19 Abs.5 BlnDSG). Obwohl die öffentlichen Stellen des Bundes (noch) keine solche gesetzliche Verpflichtung haben, haben sie meist behördliche Datenschutzbeauftragte oder ähnliche Funktionen eingerichtet, um die Sicherstellung der Ausführung der datenschutzrechtlichen Vorschriften gem. § 18 Abs.1 BDSG zu gewährleisten.
 |
Zu den Anlagen der PC-Broschüre |
