Bundesdatenschutzgesetz
Hohe rechtliche Anforderungen
Auf den ersten Blick mag es so aussehen, als wäre alles Technische für die Politik "Neuland". Dabei hat der Gesetzgeber in einigen Bereichen der IT durchaus gute Arbeit geleistet. So zählt das Bundesdatenschutzgesetz (BDSG) zu den strengsten Europas - wenn nicht sogar der Welt - und enthält vergleichsweise konkrete technische Vorgaben, wie der Schutz von Informationen vor unbefugten Blicken zu gestalten ist.
Was wenige wissen: Jedes Unternehmen, in dem mehr als neun Mitarbeiter mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten beschäftigt sind, muss einen Datenschutzbeauftragten benennen. Unter "personenbezogene Daten? fallen dabei alle Informationen, die sich auf natürliche Personen zurückführen lassen. Dazu zählen neben Kundendaten auch vermeintlich "harmlose" Fakten wie das Geburtsdatum eines Mitarbeiters oder Kunden.
Als Datenschutzbeauftragter kann ein Unternehmen auch eine externe Person bestellen, also etwa einen auf IT-Sicherheit spezialisierten Rechtsanwalt oder einen entsprechenden Dienstleister. Entscheidet sich das Unternehmen dafür, das Amt einem eigenen Mitarbeiter anzuvertrauen, so darf dessen Tätigkeit nicht zu einer Interessenkollision führen. Damit kommen zum Beispiel die Geschäftsführung, die Leitung der IT und Mitarbeiter der Personalabteilung für diese Tätigkeit nicht in Frage.
Doch auch wenn bereits die Bestellung eines Datenschutzbeauftragen das Gefühl von Sicherheit gibt: Im Prinzip bleibt die Geschäftsführung für Verfehlungen in Sachen Datenschutz persönlich haftbar. Dabei kommen sowohl auf die Person als solche, als auch auf das Unternehmen schnell beträchtliche Strafen zu. Zum einen müssen die betroffenen Unternehmen mit hohen Strafzahlungen rechnen. Die Bußgeldobergrenze für besonders schwere Fälle liegt bei immerhin 300.000 Euro. Zum anderen sind weitere Ausgaben fällig, um zum Beispiel den Reputationsschaden zu beheben oder abgewanderte Kunden wiederzugewinnen. Laut dem Ponemon Institut müssen deutsche Unternehmen für jeden verlorenen Datensatz im Durchschnitt 146 Euro zahlen.
Dabei ist es vergleichsweise einfach, auf dem Radar der Behörden aufzutauchen. Eine Beschwerde, etwa dass kein Datenschutzbeauftragter bestellt ist, dass kein so genanntes Verfahrensverzeichnis einsehbar ist, oder dass die technische Ausstattung Mängel aufweist, reichen für eine Prüfung aus. Grundsätzlich können Unternehmen und Organisationen aber auch anlassfrei geprüft werden.
Konkrete Anforderungen an den Datenschutz
Das Bundesdatenschutzgesetz beschäftigt sich in vielen Paragraphen sehr ausführlich mit organisatorischen Fragen. Daneben enthält es jedoch zahlreiche Punkte, die konkret Fragen der Datensicherheit betreffen. So gibt es Vorschriften, die das Gesetz im Lichte neuer NSA-Enthüllungen als geradezu visionär erscheinen lassen: Schon seit Langem ist es verboten, personenbezogene Daten auf amerikanischen Servern abzulegen - schlechte Voraussetzungen für zahlreiche Cloud-Angebote. Die USA gelten als so genanntes Drittland, in das eine Organisation diese Informationen nicht ohne Weiteres transferieren darf.
Außerdem sind sämtliche personenbezogene Daten laut Punkt 4, Paragraph 9 des BDSG "nach dem aktuellen Stand der Technik" zu verschlüsseln. Was darunter genau zu verstehen ist, wird unter Experten kontrovers diskutiert. Greifen Unternehmen jedoch auf eine Verschlüsselung zurück, die in der Fachwelt als sicher geltende Algorithmen nutzt, sind sie gut geschützt.
Der heikle Punkt ist jedoch weniger die technische Umsetzung, sondern vielmehr die tatsächliche Nutzung im Unternehmen. So sind klassische Containerverschlüsselungen zwar durchaus sicher, aber viele Mitarbeiter ignorieren sie aus Gründen der Bequemlichkeit einfach: Sie verweigern die Verwendung solcher Systeme. Es ist ihnen vielfach schlicht zu mühsam, Daten kontinuierlich in einen sicheren Container zu verschieben.
Besser sind Lösungen, die sich vollkommen im Hintergrund um sämtliche Sicherheitsaspekte kümmern. Im Idealfall wird jedem Benutzer einmalig zentral die Verschlüsselungsmethode zugewiesen. Damit kann er dann auf sämtliche Daten zugreifen,, die für seine Berechtigungsstufe freigegeben sind. Auf diese Weise ist es für ihn weiterhin möglich, so zu arbeiten wie er es von einem "normalen", ungesicherten System gewohnt ist. Zugleich kann er ohne zusätzlichen Aufwand mit externen Datenträgern wie USB-Sticks hantieren. Auch deren Inhalt wird in diesem Fall ohne lästige Dialoge und Eingabefelder verschlüsselt.
Externe Personen wiederum, die einen derartig verschlüsselten Datenträger finden oder entwenden, können damit nichts anfangen. Dieser Aspekt ist wichtig, da die große Masse an Datenverlusten nicht auf Hacker oder die so genannten Innentäter zurückzuführen ist, sondern schlicht auf Nachlässigkeit. Kommt eine Lösung zum Einsatz, bei der dies Berücksichtigung findet, sind verlorengegangene USB-Sticks ein Ärgernis, aber keine Katastrophe.
Neben der Verschlüsselung macht das Bundesdatenschutzgesetz zu einer Reihe weiterer Fragen konkrete Aussagen. So fordert Punkt 3 des Paragraphen 9 eine Zugriffskontrolle. Diese soll sicherstellen, dass nur berechtigte Benutzer Zugang zu personenbezogenen Daten erhalten. Im Idealfall fordert die Lösung vom Benutzer beim ersten Zugriff auf Daten oder ein bestimmtes Verzeichnis die Zustimmung zu den Datenschutzrichtlinien des Unternehmens. Dieser Klick wird in einer abgesicherten Datenbank revisionssicher archiviert. Eine solche Protokollierung ist in Punkt 5 geregelt.
Besonders sensibel ist in diesem Zusammenhang die Frage der Überwachung des Personals. Auf der einen Seite ist die Frage zu beantworten: "Wer hat was, wann mit den Daten gemacht?" Auf der anderen Seite steht der Wunsch der Belegschaft, nicht ausspioniert zu werden. Eine gute BDSG-konforme Lösung bietet in dieser Hinsicht die Möglichkeit, dass mehrere Mitarbeiter Art und Umfang der Protokollierung beaufsichtigen. Dies muss sich so konfigurieren lassen, dass die sensiblen Daten ohne Betriebsrat nicht einsehbar sind. So entsteht kein Verdacht bezüglich einer Überwachung des Personals und das Unternehmen vermeidet Konflikte.
Punkt 7 des BDSG wiederum fordert, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sein müssen. Dieser Abschnitt wird im Allgemeinen als Forderung verstanden, das Unternehmen vor Schadsoftware zu bewahren. Eine Sicherheitslösung sollte dies abdecken.
Lesen Sie mehr zum Thema
