Informationssicherheit und Datenschutz

Datensicherheit und Datenschutz

Sicherheit und Datenschutz als Chance. Datensicherheit und Datenschutz Zurück zum Szenario. Informationsschutz und Datenschutz Die Informationssicherheit ist eine unabdingbare Grundvoraussetzung für die Implementierung des betrieblichen Datenschutzes. Daher ist es wichtig, dass die Mitarbeiter ihre Arbeit im Rahmen des Unternehmens sicher erledigen. Neben der Sicherung von IT-Systemen und den darin bearbeiteten und abgelegten Dateien gehört dazu auch die Sicherung von nicht-elektronisch bearbeiteten Inhalten.

Datenschutz ist ein wichtiger Teil der Informationssicherheit. Welche Voraussetzungen gelten für die Datensicherung? Datensicherung zielt darauf ab, während des Datenverarbeitungsprozesses vor Datenverlust, -vernichtung, Verfälschung, unberechtigtem Zugang und unberechtigtem Bearbeiten zu bewahren; nur berechtigte Anwender greifen auf die gesammelten und damit von ihnen anerkannten Dateien zu; dasselbe trifft auf die Änderung (Änderung und Löschung) von Dateien zu; sie kann nicht unbeachtet geändert werden, aber Veränderungen sind rückverfolgbar, der Datenzugriff innerhalb einer bestimmten Frist ist für berechtigte Anwender und die Funktionstüchtigkeit der IT-Systeme wird nicht eingeschränkt.

Was ist zu tun? Alle Abteilungen, die persönliche Informationen selbst oder in ihrem Namen bearbeiten oder verwenden, sind in Deutschland rechtlich dazu angehalten, die notwendigen und geeigneten fachlichen und organisatorischen Massnahmen zur Erreichung und Aufrechterhaltung der Sicherheit der Informationen zu ergreifen. Im Pflichtenheft sind eine Vielzahl von Massnahmen zur Erreichung des Ziels der Datensicherung aufgeführt.

Allerdings werden die rechtlichen Vorgaben für die notwendigen Datenschutzmaßnahmen im Recht flexibilisiert, da sie unter anderem von einem gewissen technischen und medialen Kenntnisstand abhängt. Grundsätzlich müssen sich die zu ergreifenden Massnahmen am zu sichernden Unternehmensvermögen ausrichten. Dazu kann zunächst eine Schutzerfordernisanalyse als Basis eines Sicherheitskonzeptes durchgeführt werden, um festzustellen, welcher Schutzbedarf für die eingesetzten Daten und die verwendete Informationstechnologie notwendig und sinnvoll ist.

Mit welchen fachlichen und technischen Massnahmen ist eigentlich zu rechnen? Der Anhang zu 9 S: 1 BDSG führt die Massnahmen in den Ziffern 1 bis 8 auf: Zugriffskontrollmaßnahmen sollen Unbefugte daran hindern, sich physisch Zugang zu Datenverarbeitungssystemen zu verschaffen, mit denen persönliche Informationen bearbeitet oder verwendet werden. Zutrittskontrollen sollen die Nutzung von Datenverarbeitungssystemen durch Unbefugte unterbinden.

Die Zugangskontrollmaßnahmen sollen sicherstellen, dass die zur Verwendung eines EDV-Systems befugten Personen nur auf die ihrer Zugangsberechtigung unterstellten personenbezogenen Informationen Zugriff haben und dass sie während der Bearbeitung, Verwendung und nach der Aufbewahrung nicht unberechtigt ausgelesen, vervielfältigt, geändert oder gelöscht werden können. So können solche Massnahmen z.B. in rollenbasierte Berechtigungskonzepte umsetzbar sein.

Zweck der Offenlegungskontrolle ist es zu verhindern, dass persönliche Angaben bei der Datenübermittlung, beim Transport oder bei der Aufbewahrung auf Datenträgern unberechtigt ausgelesen, vervielfältigt, geändert oder gelöscht werden. Außerdem sollte es möglich sein, zu überprüfen und festzustellen, wo die personenbezogenen Angaben von den Datenübertragungseinrichtungen übermittelt werden sollen.

Mögliche Massnahmen sind Vorschriften zur Vernichtung von Datenträgern, Pocket Checks etc. Ziel der Eingabesteuerung ist es sicherzustellen, dass später geprüft und ermittelt werden kann, welche persönlichen Angaben von wem und zu welchem Zeitpunkt in Datenverarbeitungssystemen erfasst, geändert, d.h. von wem gestrichen und beseitigt wurden. Das Protokollieren von Dateneinträgen und -löschungen kann hier berücksichtigt werden.

Die Auftragnehmerin hat im Zuge der Auftragssteuerung sicherzustellen, dass die im Auftrage zu bearbeitenden Angaben nur nach den Vorgaben des Auftraggeber bearbeitet werden. Mit den Maßnahmen der Verfügbarkeitskontrolle soll sichergestellt werden, dass persönliche Informationen vor unbeabsichtigter Vernichtung oder Verlusten, vor allem durch Stromausfall, Blitzeinschlag, Feuer und Wasserschaden, gesichert sind. Mit der Trennungspflicht soll sichergestellt werden, dass die für verschiedene Zwecke erhobenen Informationen separat weiterverarbeitet werden können.

Erreicht werden kann dieses Bestreben beispielsweise durch den Einsatz einer mandantenfähigen Lösung und entsprechender Zugangsberechtigungen. Der IT-Grundkatalog des Bundesamts für Sicherheit der Informationstechnologie (BSI) bietet eine Reihe von Massnahmen zur Erzielung und Erhaltung der Informationssicherheit, besonders im Hinblick auf die im Betrieb eingesetzten Daten.