Begriffe im Zusammenhang mit dem technisch-organisatorischen Datenschutz

Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität

Obgleich es nicht primär um den Datenschutz dabei geht, profitiert die technische Seite des Datenschutzes wesentlich von den Entwicklungen zur Verbesserung der informationstechnischen Sicherheit. Das Erreichen der informationstechnischen Sicherheit im Bereich der Verarbeitung personenbezogener Daten ist gleichbedeutend mit der Umsetzung der 10 Kontrollanforderungen der Datenschutzgesetze.

Das IT-Sicherheitshandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aus dem Jahre 1992 unterscheidet zunächst drei Grundbedrohungen, nämlich den Verlust der Verfügbarkeit, der Integrität und der Vertraulichkeit. In der späteren Diskussion kam unter dem Eindruck der fortschreitenden Technik zur Übertragung von Dokumenten und Urkunden noch die Grundbedrohung des Verlust der Authentizität hinzu. Ziel der Maßnahmen zur Gewinnung informationstechnischer Sicherheit ist die Abwehr der Grundbedrohungen mit wirksamen und angemessenen Maßnahmen.

Die Bedrohung der Verfügbarkeit betrifft Daten, Programme, Hardware und alle sonstigen für die Verarbeitung notwendigen Mittel. Es ist daher alles Notwendige zu unternehmen, um zu verhindern, daß

• Daten verschwinden oder nicht zugreifbar sind, wenn sie gebraucht werden,
• Programme nicht funktionsbereit sind, wenn sie aufgerufen werden sollen,
• Hardware und sonstige notwendigen Mittel nicht funktionsfähig oder gar verschwunden ist, wenn sie für die Verarbeitung benötigt wird.

Generell geht es also darum, daß die gewünschten Funktionen eines Systems zur Verfügung stehen, wenn man sie braucht.

Die Bedrohung der Integrität (Verläßlichkeit) betrifft ebenfalls Daten, Programme, Hardware und alle sonstigen für die Verarbeitung notwendigen Mittel. Es ist daher alles Notwendige zu unternehmen, um zu verhindern, daß

• Daten verfälscht werden und falsche Daten verarbeitet werden,
• Programme verfälscht werden, so daß sie (insbesondere unbemerkt) fehlerhafte Ergebnisse erzeugen oder Funktionen ausführen, die nicht erwünscht sind,
• Hardware und sonstige notwendigen Mittel verfälscht werden, so daß sie gewünschte Funktionen unterlassen oder fehlerhaft ausführen oder unerwünschte Funktionen ausführen.

Die Bedrohung der Vertraulichkeit betrifft vor allem Daten. Es ist daher alles Notwendige zu unternehmen, um zu verhindern, daß Daten in unbefugte Hände geraten sollen. Allerdings gibt es Umstände, unter denen auch Programme und Systemkonfigurationen Unbefugten gegenüber vertraulich zu behandeln sind.

Die Bedrohung der Authentizität (Verbindlichkeit) betrifft vor allem Daten, insbesondere Dokumente und Urkunden, die elektronisch übertragen werden. Es ist daher alles Notwendige zu unternehmen, um zu verhindern, daß zu der richtigen Herkunft solcher Daten Zweifel bestehen können und die Urheber dieser Daten korrekt authentifiziert werden können. Allerdings kann es in bestimmten Anwendungszusammenhängen auch wichtig sein, daß die Authentizität von Programmen und von Hardware und anderen erforderlichen Mittel garantiert werden muß (z.B. im elektronischen Zahlungsverkehr).

Technisch-organisatorischer Datenschutz

Unter technisch-organisatorischem Datenschutz versteht man alle technischen und organisatorischen Maßnahmen zur Sicherstellung der informationellen Selbstbestimmung und der Ordnungsmäßigkeit bei der Verarbeitung personenbezogener Daten.

Die informationelle Selbstbestimmung der Betroffenen ist auch verletzt, wenn Unbefugte sich der Daten der Betroffenen bemächtigen können, denn die Unbefugten haben weder die Einwilligung der Betroffenen, noch gibt ihnen ein Gesetz das Recht, die Daten zu verarbeiten.

Es ist daher die gesetzliche Pflicht des Datenverarbeiters (§ 9 Bundesdatenschutzgesetz mit Anlage und ähnliche Regelungen in den Landesdatenschutzgesetzen - z.B. § 5 Abs.3 Berliner Datenschutzgesetz), die Daten davor zu schützen, daß sie Unbefugten in die Hände fallen. Das gilt für die Speicherung in informationstechnischen Systemen oder auf Papier ebenso wie bei der Datenfernübertragung oder auf dem Postwege. Es gilt ebenso für den täglichen Umgang mit den Daten.

Die Anforderungen der sog. 10 Gebote können mit der geeigneten Kombination von Grundtechniken organisatorischer, baulicher und informationstechnischer Art erfüllt werden:

Voraussetzung für guten technisch-organisatorischen Datenschutz ist die Schaffung verbindlicher organisatorischer Regelungen. Arbeitsabläufe sind verbindlich festzulegen, Zuständigkeiten und Befugnisse sind zuzuordnen, der Umgang mit der Informationstechnik und vor allem mit den vorhandenen technischen Sicherheitseinrichtungen ist vorzugeben. Wie sollen Befugte und Unbefugte im Zweifelsfall unterschieden werden, wie soll fehlerhaftes Handeln oder gar vorsätzliche Sabotage von korrektem Vorgehen unterschieden werden, wenn es keine verbindlichen Unterscheidungsmerkmale gibt?

Eine weitere Grundtechnik organisatorischer Art ist die Dokumentation. Eine Dokumentation beschreibt den Sollzustand eines Systems, d.h. den vorgesehenen Zustand. Sie erlaubt den Vergleich mit den tatsächlichen Gegebenheiten, ermöglicht daher erst die Revision - aber nur, wenn sie sorgfältig geführt, vollständig und aktuell ist und von fachkundigen Dritten in angemessener Zeit verstanden werden kann. Wie soll ein Verantwortlicher, ein Revisor, ein Rechnungsprüfer, ein Datenschutz- bzw. Sicherheitsbeauftragter Abweichungen vom Soll feststellen können, wenn er nicht eindeutig weiß, was denn das Soll ist? Wie kann ein Programmierer ohne Dokumentation ein (vielleicht sogar ein von ihm geschriebenes) Programm modifizieren, ohne möglicherweise im Programm Chaos anzurichten?

Viele Maßnahmen werden mit simpler, aber wirksamer physischer Abschottung umgesetzt, durch geeignete bauliche Maßnahmen, um den Zutritt Unbefugter zu verhindern, oder durch wirksam verschlossene Behältnisse für Computer, andere Hardwarekomponenten, Datenträger oder Listen.

Um festzustellen, ob jemand etwas darf oder nicht, bedarf es seiner Identifikation und vor allem seiner Authentifikation. Mit der Authentifikation soll festgestellt werden, ob jemand denn der ist, als der er sich ausgibt. Dies kann bei der Zugangskontrolle ein Pförtner oder Wachmann auf traditionelle Art machen, bedeutsamer ist jedoch die maschinelle Authentifikation. Sie findet an der Schnittstelle statt, an ein informationstechnisches System durch einen menschlichen Benutzer oder ein anderes informationstechnisches System zur Durchführung einer sicherheitsrelevanten Aufgabe aufgefordert wird. Das leistungserbringende System versucht mit der Authentifikationsprozedur festzustellen, wer der menschliche Benutzer oder was das andere informationstechnische System ist, damit entschieden werden kann, ob es die angeforderte Leistung erbringen darf oder nicht.

Für die maschinelle Authentifikation an der Mensch-Maschine-Schnittstelle, z.B. zur Prüfung, ob jemand zur Nutzung eines informationstechnischen Systems berechtigt ist, ist nach wie vor die Paßwortprüfung und/oder der maschinenlesbare Ausweis verbreitete Methoden. Mit sog. biometrischen Verfahren, die individuelle körperliche Eigenschaften des Benutzers zur Prüfung heranziehen, z.B. Augenhintergrund, Finger- oder Handabdruck, Spracherkennung oder Unterschriftsprüfung, wird experimentiert, praktische Bedeutung haben sie bisher kaum erlangt.

Für die maschinelle Authentifikation an der Maschine-Maschine-Schnittstelle, z.B. zwischen Chipkarte und Chipkartenlesesystem, sind komplexe kryptographische Verfahren erforderlich, z.B. Challenge-Response-Verfahren.

Eine weitere wichtige Grundtechnik für den technisch-organisatorischen Datenschutz ist die Protokollierung. Mit der Aufzeichnung signifikanter Ereignisse in einem informationstechnischen System lassen sich die Ist-Zustände von Systemkomponenten und sicherheitsrelevante Prozesse, z.B. Zugriffe auf und Änderungen von schutzbedürftigen Daten, Aufrufe von Programmen, Datenübermittlungen usw. rückwirkend nachvollziehen.

Die kryptographische Verschlüsselung von Daten dient in diesem Zusammenhang u.a. dazu, die Interpretation und damit die mißbräuchliche Nutzung der Daten zu verhindern. Dies ist vor allem dort wichtig, wo man den unbefugten Zugang an die Daten nicht wirkungsvoll genug verhindern kann, z. B. bei der Übertragung über ungeschützte Kommunikationssysteme oder der Speicherung von Daten in mobilen informationstechnischen Systemen.

Der Zielsetzungen des technisch-organisatorischen Datenschutzes beschränken sich aber nicht nur auf die Sicherstellung der informationstechnischen Sicherheit bei personenbezogenen Daten: Es sind auch die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der übrigen datenschutzrechtlichen Vorschriften zu gewährleisten.

Beispiele: Maßnahmen, um

• die datenschutzgerechte Löschung von Daten zu ermöglichen,
• die datenschutzgerechte Sperrung von Daten zu ermöglichen,
• Daten berichtigen zu können,
• Auskunftsbegehren datenschutzgerecht befriedigen zu können.

Mit anderen Worten: Es müssen die technischen und organisatorischen Maßnahmen ergriffen werden, die erforderlich sind, um die Ansprüche aus den Rechten, die die Betroffenen nach den Datenschutzgesetzen wahrnehmen können, auch effizient und korrekt erfüllen zu können.

Datensicherung

Datensicherung ist der Sammelbegriff für alle Maßnahmen zur Sicherstellung der informationstechnischen Sicherheit und damit auch des technisch-organisatorischen Datenschutzes. Allerdings erstrecken sich Maßnahmen der Datensicherung auch auf nicht personenbezogene Daten.

Im engeren Sinne wird Datensicherung als Sammelbegriff für die Maßnahmen verstanden, die der Absicherung der Verfügbarkeit der Daten und Programme dienen. Dazu werden Daten und Programme auf andere Datenträger kopiert (Back up) und meist auch ausgelagert. Falls also Daten oder Programme im Laufe der Verarbeitung verloren gegangen sind oder fehlerhaft wurden, können sie mit Hilfe der Kopien rekonstruiert werden.

Datensicherheit

Datensicherheit ist das angestrebte Ergebnis der Maßnahmen zur Datensicherung, bei personenbezogenen Daten also der Maßnahmen des technisch-organisatorischen Datenschutzes.

Ordnungsmäßigkeit der Datenverarbeitung

Ordnungsmäßigkeit der Datenverarbeitung in ein vielseitiger Begriff. Die Ordnungsmäßigkeit der Datenverarbeitung wird in den Datenschutzgesetzen zwar verlangt, aber nicht definiert. Das Bundesdatenschutzgesetz verlangt in § 18 Abs. 2 Satz 3, "daß die öffentlichen Stellen des Bundes dafür zu sorgen haben, daß die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, überwacht wird" und in § 37 Abs. 2 Satz 3 Nr.1, daß bei nicht-öffentlichen Stellen der Beauftragte für den Datenschutz "die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen" hat. Einige Landesgesetze gehen noch weiter. So verlangt das Berliner Datenschutzgesetz in § 19 Abs. 1 Satz 2, daß die öffentlichen Stellen des Landes insbesondere dafür zu sorgen haben, daß die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, gewährleistet ist.

Auch die aktuelle Fassung der Mindestanforderungen der Rechnungshöfe zum Einsatz der Informationstechnik (1991) erwähnen die Ordnungsmäßigkeit der Datenverarbeitung an vielen Stellen, liefern aber keine Definition dazu.

Der Berliner Datenschutzbeauftragte interpretiert Ordnungsmäßigkeit in dreierlei Weise:

• im engeren Sinne als die Sicherstellung der Integrität von Systemen, Programmen und Daten;
• im weiteren Sinne als die Sicherstellung der Verfügbarkeit, Integrität und Kontrollierbarkeit der Datenverarbeitungsprozesse und der Verfügbarkeit, Integrität und Vertraulichkeit der Daten in diesen Prozessen von der Erhebung über die Verarbeitung und sonstigen Nutzung bis zur Löschung der Daten,
• im weitesten Sinne, wenn zusätzlich auch die Legalität der Datenverarbeitung als Voraussetzung für die Ordnungsmäßigkeit einbezogen wird.