Gastkommentar: Checkliste zu den Datensicherheitsmaßnahmen

1. Allgemeines Datensicherheitsmaßnahmen sollen „Datensicherheit“, welche als Teilmenge der IT-Sicherheit verstanden werden kann, gewährleisten. IT-Sicherheit beschreibt den Idealzustand des Sicherseins vor Gefahren oder Schäden im Bereich der Informations- und Kommunikationstechnik.[1] Bei vollkommener IT-Sicherheit sind Vertraulichkeit, [...]

1. Allgemeines
Datensicherheitsmaßnahmen sollen „Datensicherheit“, welche als Teilmenge der IT-Sicherheit verstanden werden kann, gewährleisten. IT-Sicherheit beschreibt den Idealzustand des Sicherseins vor Gefahren oder Schäden im Bereich der Informations- und Kommunikationstechnik.[1] Bei vollkommener IT-Sicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt.[2]  Soweit personenbezogene Daten[3] von der Informationstechnik betroffen sind, werden derartige angemessene Maßnahmen dem Auftraggeber – das ist derjenige, der die Entscheidung getroffen hat, Daten für einen bestimmten Zweck in einer bestimmten Weise zu verarbeiten und in dem Sinn „Herr der Daten“ ist – und dem Dienstleister – das ist derjenige, der Daten nicht für eigene Zwecke, sondern nur im Auftrag des Auftraggebers behandelt – unmittelbar im Datenschutzgesetz aufgebürdet. Diese in § 14 Datenschutzgesetz 2000 normierten sogenannten Datensicherheitsmaßnahmen sind nur als Mindestanforderungen zu verstehen, und müssen daher nicht immer alle genannten Maßnahmen im Einzelfall umgesetzt werden.[4] Die tatsächlich implementierten Datensicherheitsmaßnahmen müssen allerdings jedenfalls geeignet sein, den Schutz der Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust zu gewährleisten, sowie einen Zugriff durch Unbefugte zu verhindern.

2. Checkliste
Die nachstehende Checkliste soll einen kursorischen Überblick über die einzelnen Datensicherheitsmaßnahmen, und eine Idee[5] darüber geben, wie diese in der Praxis umzusetzen sind.

  • Aufgabenverteilung: Es müssen die Aufgaben bei der Datenverwendung unter den Organisationseinheiten und Mitarbeitern ausdrücklich festgelegt werden. Dazu ist eine klare und eindeutige Aufbauorganisation erforderlich.[6]  Es sind zu dem Zweck die Merkmale einer Organisationseinheit (Aufgabenart, Aufgabenumfang und Entscheidungs- und Anordnungsbefugnisse) abschließend zu definieren.
  • Auftragsbindung: Es ist dafür Sorge zu tragen, dass Daten nur über einen gültigen Auftrag von anordnungsbefugten Personen, der auf Dauer oder für den Einzelfall erteilt sein kann, verwendet werden. Für die Umsetzung dieser Maßnahme erscheint eine genaue Dokumentation der Aufträge und ihrer Inhalte unabdingbar.
  • Vergabe von Zutrittsberechtigungen und Zugangsberechtigungen: Der physische Zugang von Personen zu bestimmten Daten bzw deren Datenträgern, wozu insgesamt der Zutritt zum Gebäude des Unternehmens, in dem die Datenträger aufgestellt sind, und innerhalb der Räumlichkeiten des Unternehmens, vor allem der Zutritt zum Serverraum zählt, muss geregelt werden. Es sollen bestimmte Räumlichkeiten nur von bestimmten Personen betreten werden; der Zutritt durch andere Personen ist an Ausnahmeregelungen zu binden („Closed-Shop-Betrieb“).[7] Es ist sicherzustellen, dass keine unternehmensfremden Personen unkontrolliert und unbeaufsichtigt das Gebäude betreten können (zB durch Sonderregeln für Besucher), und dass auch innerhalb des Unternehmens keinen Unbefugten der Zutritt zu Serverräumen möglich ist (zB durch Versperren des Serverraumes).
    • Vergabe von Zugriffsberechtigungen: Es ist festzulegen, welche Personen auf welche Daten und welche Programme greifen dürfen. Gleichzeitig muss sichergestellt werden, dass diese Ordnung auch technisch umgesetzt wird. Die Gewährleistung der Zugriffsbeschränkungen wird typischerweise durch die Zuteilung von Benutzerkennungen und den Passwortschutz realisiert. Ferner muss innerhalb des Kreises der Berechtigten festgelegt werden, in welchem Umfang, welche Daten verwendet werden dürfen, zB nur „Lesezugriff“. Auch der Einsatz von Kryptographie vermag die Durchsetzung und die Kontrolle von Zugriffsbeschränkungen umzusetzen.
      • Belehrungspflicht: Jeder Unternehmer hat seine Mitarbeiter über die Geheimhaltungspflicht und über die sich aus den Datenschutzbestimmungen ergebenden Pflichten zu belehren. Der Belehrungspflicht wird etwa durch Besuch von Datenschutzrechtsseminaren, innerbetrieblichen Schulungen und der Herausgabe von Verhaltensrichtlinien entsprochen.[8] Die Mitarbeiter sind aktiv zu belehren, was aus Gründen der Dokumentation nachweislich erfolgen sollte,[9] und ferner müssen die Vorschriften für die Mitarbeiter jederzeit nachlesbar sein, zB im Intranet.[10] Um diesen Anforderungen gerecht zu werden, ist die Erstellung eines Datensicherheitshandbuches empfehlenswert, auch wenn der Gesetzgeber eine bestimmte Form bzw Methode der Dokumentation nicht vorschreibt.[11]
        • Betriebsbeschränkung: Es sind nach dieser Maßnahme bestimmte Geräte, Computerprogramme oder ganze Rechnersysteme zu bestimmten Personen zuzuordnen.[12] Es muss zur Sicherstellung der Betriebsbeschränkung jedes Gerät durch Vorkehrungen bei den Programmen gegen die unbefugte Inbetriebnahme abgesichert werden. Zu den Maßnahmen, die dieses Ziel erreichen, gehört etwa der Closed-Shop-Betrieb im Sinne der oben genannten Zutrittsbeschränkungen. Technische Maßnahmen sind beispielsweise eine Firewall oder ein Virenschutzprogramm.
          • Protokollführung: Über sämtliche Verwendungsvorgänge, wie Änderungen, Abfragen und Übermittlungen von Daten, ist Protokoll zu führen. Der konkrete Inhalt der Protokolldaten richtet sich nach dem Einzelfall.[13] Im Zusammenhang mit Übermittlungen sind etwa die verarbeiteten Daten, die Herkunft der Daten, die Empfänger und der Zweck der Datenanwendung zu beauskunften (§ 26 Datenschutzgesetz); sämtliche dieser Daten müssen daher entsprechend protokolliert sein. Protokolldaten sind 3 Jahre aufzubewahren.
            • Dokumentationspflicht: Der Auftraggeber hat über die vorgenannten Datensicherheitsmaßnahmen eine Dokumentation zu führen. Eine bestimmte Form wird vom Gesetzgeber dafür aber nicht verlangt.[14] Regelmäßig erfolgt die Dokumentation durch Erstellung eines Datensicherheitshandbuches.

            3. Rechtsfolgen einer Verletzung
            Die datenschutzrechtliche Pflicht für eine sichere Umgebung zum Schutz von Daten vor Missbrauch oder Verlust zu sorgen, sollte beim Auftraggeber oder Dienstleister oberste Priorität genießen. Eine Missachtung der Erfordernisse zur Umsetzung von Datensicherheitsmaßnahmen kann neben verwaltungsstrafrechtlichen Konsequenzen insbesondere auch schadenersatzrechtliche Konsequenzen und Ansprüche der Konkurrenz wegen Verletzung der Regeln über den lauteren Wettbewerb nach sich ziehen. Mit Datenschutzverstößen ist außerdem in der Regel ein noch höherer Schaden wegen des drohenden Imageverlusts, der vor allem durch die Negativberichterstattung perpetuiert wird, verbunden, da unsere Informationsgesellschaft zunehmend kritischer auf derartige Rechtsverstöße reagiert. Die Kenntnis und Wahrung der Mindestanforderungen an Datensicherheit offenbart sich daher für jeden sorgfältigen Unternehmer als unumgänglich.


            [1] Roth/Schneider, IT-Sicherheit und Haftung, ITRB 2005,19.
            [2] Vgl Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutz-Kataloge, 9. EL (2007) 44.
            [3] Das sind sämtliche Informationen, die mit einer natürlichen oder juristischen Person in Verbindung stehen oder gebracht werden können. Die Identität des Betroffenen muss dabei entweder bestimmt oder bestimmbar sein (vgl § 4 Z 1 Datenschutzgesetz 2000).
            [4] siehe Jahnel in Jahnel/Siegwart/Fercher (Hrsg), Aktuelle Fragen des Datenschutzrechts (2007) 91.
            [5] Es hängt letztlich vom Stand der Technik, von den Besonderheiten der konkreten Informationstechnik und der konkreten Datenanwendung (zB der Art der zu schützenden Daten) ab, welche Datensicherheitsmaßnahmen im Einzelfall notwendig und auch angemessen sind.
            [6] Vgl Jahnel in Jahnel/Siegwart/Fercher (Hrsg), Aktuelle Fragen des Datenschutzrechts 84.
            [7] Vgl Dohr/Pollirer/Weiss/Knyrim (Hrsg), Datenschutzrecht 180.
            [8]  Vgl Dohr/Pollirer/Weiss/Knyrim (Hrsg), Datenschutzrecht 180.
            [9] Jahnel in Jahnel/Siegwart/Fercher (Hrsg), Aktuelle Fragen des Datenschutzrechts 86.
            [10] Jahnel in Jahnel/Siegwart/Fercher (Hrsg), Aktuelle Fragen des Datenschutzrechts 92.
            [11] Vgl Dohr/Pollirer/Weiss/Knyrim (Hrsg), Datenschutzrecht 125.
            [12] Vgl Jahnel, Handbuch Datenschutzrecht (2010) 300 Rz 5/15.
            [13] Jahnel, Datenschutzrecht 305 Rz 5/25.
            [14] Vgl Jahnel, Datenschutzrecht 301 Rz 5/17.


            Mehr Artikel

            News

            Bad Bots werden immer menschenähnlicher

            Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

            Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
            News

            Schmerzforschung und Gendermedizin

            Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

            Be the first to comment

            Leave a Reply

            Your email address will not be published.


            *