VOLLTEXTSUCHE
Fachartikel, 12.06.2009
Datenschutz-Konzept
Daten nach Schutzbedürftigkeit klassifizieren
Welche Informationen und Daten welche Art von Datenschutz- und Datensicherungsmaßnahmen in welchem Umfang erfordern, ist unter anderem davon abhängig, wie schutzwürdig die jeweiligen Daten sind. Um im Einzelfall schnell entscheiden zu können, bietet sich ein Schutzkonzept, das sich an dem 3-Stufen-Modell des Bundesamts für Sicherheit in der Informationstechnik (BSI) orientiert.
Jede Stelle, die personenbezogene Daten selbst oder im Auftrag erhebt, verarbeitet oder nutzt, muss entsprechende technische und organisatorische Maßnahmen treffen, um das Bundesdatenschutzgesetz (BDSG) einzuhalten. So schreibt es der § 9 BDSG vor.
Der Wortlaut des Gesetzes ist allerdings sehr allgemein gehalten und gibt zunächst keine näheren Hinweise auf Art und Inhalt der zu treffenden Maßnahmen. Hier hilft die Anlage zu § 9 BDSG weiter. Die Anlage macht acht Vorgaben, die durch technische und organisatorische Maßnahmen umzusetzen sind. Im Einzelnen muss Folgendes kontrolliert werden:
  • Zutritt,
  • Zugang und
  • Zugriff auf Datenverarbeitungsanlagen
  • Weitergabe von Daten
  • Eingabe von Daten
  • Auftragsdatenverarbeitung
  • Verfügbarkeit von Daten
  • Trennungsgebot

Weil Sicherheitsmaßnahmen jedoch einen erheblichen finanziellen und/oder zeitlichen Aufwand verursachen können, hat der Gesetzgeber, um den Aufwand im Rahmen des jeweils Zumutbaren zu halten, selbst eine Einschränkung gemacht. Diese findet sich in § 9 Satz 2. Erforderlich sind danach nur solche Maßnahmen, bei denen der Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht.

Nur angemessene Schutzmaßnahmen nötig

Jedes Unternehmen muss anhand der acht Vorgaben überlegen, welche Maßnahmen für die jeweilige Datenverarbeitung getroffen werden müssen. Es müssen nicht alle theoretisch möglichen, optimalen Maßnahmen realisiert werden, sondern nur die im Einzelfall angemessenen.

„Ob“ Schutzmaßnahmen durchzuführen sind, indes steht nicht zur Frage, sondern nur das „Wie“. So kann zum Beispiel auf einen generellen Zugangsschutz zum Personalverwaltungssystem nicht mit dem Argument verzichtet werden, der zeitliche und/oder finanzielle Aufwand sei zu hoch. Welche Art des Zugangsschutzes wiederum gewählt wird – Passwort, Chipkarte, Biometrie –, muss anhand des Verhältnismäßigkeitsprinzips beantwortet werden.

Entscheidend ist die Schutzbedürftigkeit

Wenn Sie nun prüfen, welche konkreten Maßnahmen zu treffen sind, gehen Sie zunächst von der Schutzbedürftigkeit der jeweiligen Daten aus. Die Schutzbedürftigkeit können Sie am einfachsten danach bewerten, wie hoch die Gefährdung des Persönlichkeitsrechts des Betroffenen bei einem eventuellen Missbrauch seiner personenbezogenen Daten ist.

Entscheidend im Rahmen der Gefährdungs- und Missbrauchsanalyse sind insbesondere folgende Aspekte:

  • Vertraulichkeit der Daten: Handelt es sich um besondere Arten personenbezogener Daten bzw. ist eine Sensitivität aufgrund besonderer Umstände gegeben?
  • Intensität der Datenverarbeitung: Werden Daten „nur“ gespeichert oder auch ausgewertet bzw. mit anderen Datenbeständen verknüpft?
  • Verarbeitungssystem: PC oder Server-Anwendung, Anzahl der zugriffsberechtigten Personen, Einsatz von Dienstleistern etc.?

Um das Potenzial der Gefährdung einschätzen zu können, hilft Ihnen folgende Frage weiter: Wie hoch ist der materielle und/oder immaterielle Schaden, der dem Betroffenen entsteht, wenn Unbefugte Zugriff auf personenbezogene Daten haben?

Schutzbedarfsfeststellung nach dem Modell des BSI bzw. der DSB

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht bei der Klassifizierung der Schutzbedürftigkeit von Daten von einem 3-Stufen-Modell aus (BSI-Standard 100-2 „IT-Grundschutz Vorgehensweise“, Kapitel 4.3 „Schutzbedarfsfeststellung“):

  • normal: Die Schadensauswirkungen sind begrenzt und überschaubar.
  • hoch: Die Schadensauswirkungen können beträchtlich sein.
  • sehr hoch: Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmaß erreichen.

Die Landesdatenschutzbeauftragten (DSB) dagegen gehen von einem 4- bzw. 5-Stufen-Modell aus, das folgende Schutzbedürftigkeiten unterscheidet (Quelle: LDSB Niedersachsen):

  • Stufe A: frei zugängliche Daten, in die Einsicht gewährt wird, ohne dass der Einsichtnehmende ein berechtigtes Interesse geltend machen muss, z.B. Daten, die die verantwortliche Stelle im Internet oder in Broschüren veröffentlicht bzw. aus öffentlich zugänglichen Quellen erlangt hat.
  • Stufe B: personenbezogene Daten, deren Missbrauch zwar keine besondere Beeinträchtigung erwarten lässt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse des Einsichtnehmenden gebunden ist, z.B. interne Telefon-Durchwahlnummern, interne Zuständigkeiten. (Diese Stufe fehlt i.d.R. beim 4-Stufen-Modell.)
  • Stufe C: personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann (Stichwort: Beeinträchtigung des Ansehens), z.B. Daten über Vertragsbeziehungen, Höhe des Einkommens, etwaige Sozialleistungen, Ordnungswidrigkeiten.
  • Stufe D: personenbezogene Daten, deren Missbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann (Stichwort: soziale Existenz), z.B. Unterbringung in Anstalten, Straffälligkeit, dienstliche Beurteilungen, psychologisch-medizinische Untersuchungsergebnisse, Schulden, Pfändungen, Insolvenzen.
  • Stufe E: Daten, deren Missbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann (Stichwort: physische Existenz), z.B. Adressen von verdeckten Ermittlern, Adressen von Personen, die mögliche Opfer einer Straftat sein können.

Risikoanalyse in Abstimmung mit der IT

Wird beispielsweise eine neue EDV-Anwendung in Betrieb genommen, ist es Ihre Aufgabe als Datenschutzbeauftragter (DSB), in Abstimmung mit der EDV ein Datenschutz- und Datensicherungskonzept zu entwickeln. Hierzu ist es notwendig, die Schutzbedürftigkeit der in der Anwendung zu verarbeitenden Daten festzustellen.

In der Praxis ist die Situation häufig so, dass der DSB derjenige ist, der diese Schutzbedarfsanalyse vornimmt. Allerdings ist der Datenschutzbeauftragte oftmals gar nicht in der Lage, die Schutzbedürftigkeit korrekt festzustellen. Denn das obliegt dem Verantwortungsbereich desjenigen, der für die konkrete Anwendung die Fachverantwortung trägt.

Wenn Sie auch die Schutzbedürftigkeit nicht allein bestimmen können, so können Sie den Kolleginnen und Kollegen doch eine Hilfestellung in Form eines Konzepts an die Hand geben. Ein solches Schutzstufenkonzept definiert unterschiedliche Kategorien der Schutzbedürftigkeit anhand des jeweiligen Schadenspotenzials: Je höher der potenzielle Schaden, desto höher die Schutzbedürftigkeit und desto größer die Anforderungen an die jeweiligen Sicherheitsmaßnahmen.

Werden Daten unterschiedlicher Schutzstufen gemeinsam verarbeitet, müssen sich die Maßnahmen an den schutzbedürftigsten Daten orientieren. Ein Schutzstufenkonzept kann auch empfindliche Unternehmensdaten ohne Personenbezug beinhalten. Statt auf einen Schaden des Betroffenen ist dann auf den Schaden für das Unternehmen abzustellen. Das Konzept des BSI sieht eine solche Ausweitung vor.

Jedoch müssen Sie das Rad nicht neu erfinden: Sie können sich bei der Erstellung eines solchen Konzepts an bereits vorhandenen Empfehlungen orientieren. So haben sowohl die Landesdatenschutzbeauftragten als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Vorschläge erarbeitet.

Fazit

Jedes Schutzbedarfskonzept kann nur eine allgemein gehaltene Empfehlung sein. Diese können Sie Ihren Kolleginnen und Kollegen für eine erste Einschätzung als Leitlinie geben. Bei unklaren und insbesondere kritischen Fällen müssen Sie als Datenschutzbeauftragter zusammen mit den Fachverantwortlichen eine detaillierte Einordnung und Abwägung vornehmen.

QUERVERWEIS
Fachmagazin
Datenschutz PRAXIS
Sichern Sie sich fundiertes Know-how zu allen Kernaufgaben, Anforderungen und gesetzlichen Vorgaben im Datenschutz, übersichtlich und strukturiert vermittelt, und holen Sie sich von Experten wertvolle Hilfestellungen für 1A-Sicherheitskonzepte.
Weitere Informationen zu Datenschutz PRAXIS
ZUM AUTOR
Über Datenschutz PRAXIS c/o WEKA MEDIA GmbH & Co. KG
Die WEKA MEDIA GmbH & Co. KG ist ein Anbieter von multimedialen Fachinformations-Lösungen im Business-to-Business- und Business-to-Government-Bereich. Das Spektrum reicht von Software-, Online- und Printprodukten über E-Learning-Angebote und eine modular aufgebaute, Internet-basierte Großkundenlösung bis hin zu Seminaren, ...
Datenschutz PRAXIS c/o WEKA MEDIA GmbH & Co. KG
Römerstraße 4
86438 Kissing

+49-8233-230
WEITERE ARTIKEL DIESES AUTORS
Die Wolke als Sicherheitskäfig
Clouds gelten als potenzielles Sicherheitsrisiko. Doch richtig eingesetzt, können sie dabei helfen, ... mehr

ANDERE ARTIKEL AUS DIESEM RESSORT
SUCHE
Volltextsuche





Profisuche
Anzeige
PRESSEFORUM MITTELSTAND
Pressedienst
LETZTE UNTERNEHMENSMELDUNGEN
Anzeige
BRANCHENVERZEICHNIS
Branchenverzeichnis
Kostenlose Corporate Showrooms inklusive Pressefach
Kostenloser Online-Dienst mit hochwertigen Corporate Showrooms (Microsites) - jetzt recherchieren und eintragen! Weitere Infos/kostenlos eintragen
EINTRÄGE
PR-DIENSTLEISTERVERZEICHNIS
PR-Dienstleisterverzeichnis
Kostenlos als PR-Agentur/-Dienstleister eintragen
Kostenfreies Verzeichnis für PR-Agenturen und sonstige PR-Dienstleister mit umfangreichen Microsites (inkl. Kunden-Pressefächern). zum PR-Dienstleisterverzeichnis
BUSINESS-SERVICES
© novo per motio KG