1. ProblemaufrissOft wird Datensicherung mit Datenschutz verwechselt oder zumindest in einem Zuge genannt. Datenschutz betrifft jedoch nicht den Schutz der Daten, sondern vielmehr den Schutz von Persönlichkeitsrechten gegen Datenmissbrauch.
2.1 Zutrittskontrolle
Zutrittskontrolle muss aus Sicht des Datenschutzes sicherstellen, dass nur Beschäftigte die Möglichkeit haben, Betriebsmittel mit denen personenbezogene Daten verarbeitet werden, zu nutzen. Die Zutrittskontrolle beginnt daher bereits damit, wer wann das Betriebsgelände, einzelne Gebäudeteile oder einen sensiblen Raum eines Unternehmens betreten darf.
2.3 Zugriffskontrolle (access control)
Die Zugriffskontrolle soll erreichen, dass Mitarbeiter und befugte Dritte nur im Rahmen ihrer Rechte auf Daten zugreifen können. Weiterhin soll sie verhindern, dass personenbezogene Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden.
2.2 Zugangskontrolle (admission control)
Die Zugangskontrolle soll verhindern, dass Unbefugte DV-Anlagen benutzen können. Es geht dabei um die Frage der Identifikation und der anschließenden Authentifikation. Außerdem soll die Zugangskontrolle einen externen Zugang zu DV-Anlagen, z.B. aus dem Internet, unterbinden.
2.4 Weitergabekontrolle
Die Weitergabekontrolle dient der Datensicherheit, wenn personenbezogene Daten weitergegeben werden. Sie umfasst sowohl die elektronische Weitergabe als auch die mittels Datenträger und die in Papierform. Ziel ist es, die Integrität und die Vertraulichkeit während der Weitergabe zu gewährleisten und den Empfänger zu prüfen und festzustellen.
2.5 Eingabekontrolle
Die Eingabekontrolle zielt auf die Revisionsfähigkeit der Eingabe von personenbezogenen Daten ab, wobei dazu auch nicht vernetzte Einzelarbeitsplätze gehören. Die Eingabekontrolle soll dokumentieren, wer für eine unzuverlässige oder falsche Dateneingabe verantwortlich ist. Das Entscheidende dabei ist die Protokollierung.
2.6 Auftragskontrolle
Die Auftragskontrolle richtet sich in erster Linie an den Auftragnehmer, der die erteilten Weisungen einzuhalten hat. Die Instruktionen des Auftraggebers sind durch den Auftragnehmer an eventuell durch ihn beauftragte Subunternehmen weiterzugeben. Das Bundesdatenschutzgesetz verlangt eine durchgängige Kontrollmöglichkeit seitens des Auftraggebers, der in jedem Falle in der Verantwortung steht.
2.7 Verfügbarkeitskontrolle
Die Verfügbarkeitskontrolle hat den Schutz personenbezogener Daten gegen zufällige Zerstörung oder Verlust zum Ziel.
2.8 Datentrennung
Die Anlage zu § 9 Bundesdatenschutzgesetz wirft in der Nummer acht viele Fragen für die Unternehmen auf: Wie steht es um die Trennung von Test- und Echtdaten in Entwicklungsumgebungen? Erfolgt eine technische und räumliche Trennung von pseudonymisierten Daten und Pseudonymbrücken? Wie ist es um die Mandantentrennung bestellt? Verarbeitet der Konzernverbund Daten nach dem Prinzip der Datentrennung.
2.9 Organisationskontrolle
Datenschutz gelingt in der Praxis nur, wenn technisch-organisatorische Maßnahmen sicherstellen, dass die Datenverarbeitung gegen menschliches Fehlverhalten und technische Risiken abgesichert ist. Effektiver Datenschutz erfordert also neben Technikeinsatz insbesondere geschultes Personal und geeignete Kontrollmechanismen.
Im einzelnen sind folgende betriebsinternen Vorkehrungen zu treffen:
3.1 Regelung der Passwortvergabe
Dieser Bereich beinhaltet Neueinstellungen, Passwortänderungen sowie Festlegungen zur Passwortkomplexität.
3.2 Sperrung von gestohlenen und verlorenen Geräten
Bei Diebstählen von IT-Geräten müssen Sperrungen und bei Verlusten Löschungen veranlasst werden.
3.3 Einsatz von Verschlüsselungsverfahren
Verschlüsselungsverfahren beziehen sich auf Laptop-Verschlüsselung, externe Datenträger, E-Mail-Verschlüsselung und gesicherten FTP-Server.
3.4 Verwahrung und Vernichtung von Papierunterlagen
Ausgedruckte vertrauliche Unterlagen müssen sicher verwahrt und datenschutzkonform vernichtet werden. Papierunterlagen sollten immer in verschließbaren Schränken aufbewahrt werden. Für Datenmüll sind entweder Datentonnen oder Shredder bereitzustellen.
3.5 Etablierung des Erforderlichkeits-Prinzips bei der Vergabe von Zugriffsberechtigungen
Die Zugriffsvergabe auf Daten sollte für die jeweilige Person auf das für die Aufgabenerfüllung notwendige Ausmass beschränkt werden.
3.6 Verwendung von Smartphones im Unternehmen
Im Hinblick auf die mögliche Nutzung von Smartphones ist festzulegen, inwieweit private Smartphones genutzt und betriebliche Geräte auch privat verwendet werden dürfen.
Richtlinien zum Datenschutz können die relevanten Prozesse in einem Unternehmen zusammenzufassen. Folgende Bereiche kommen infrage:
4.1 Wer ist innerbetrieblich für welches Datenschutzthema in welcher Form verantwortlich?
4.2 Was ist beim Einsatz von Dritt-Dienstleistern hinsichtlich der Datensicherheit zu beachten?
4.3 Bei Einführung neuer IT-Systeme muss das Procedere für den Ablauf geregelt werden.
4.4 Zentrale Information aller von einer Reorganisationsmaßnahme Betroffenen.
4.5 Behandlung von Anfragen der Datenschutz-Aufsichtsbehörden.
4.6 Festlegung der Art und Weise sowie Periodizität für Schulungen der Beschäftigten im sicheren Umgang mit unternehmensinternen Daten.
4.7 Rechtzeitiges Erkennen von Datenverlusten und Kenntnis interner Meldewege.
Datenschutz mag ja schön und gut sein, doch solange sich nicht jeder daran hält, egal ob bewusst oder unbewusst, können viele Unternehmen immer noch tun und lassen was sie wollen. Es gibt im Datenschutzgesetz noch viele Grauzonen.
Gewerblicher Datenschutz ist zur Sicherheit eines Unternehmens unverzichtbar. Dazu gibt es keine Alternative. Packen wir es an.
