Datenschutz/ Datenschutz und IT-Sicherheit

Datenschutz und IT-Sicherheit Bearbeiten

Datenschutz und IT-Sicherheit sind zwei Seiten der gleichen Medaille: Nur wenn die IT-Geräte, auf denen personenbezogene Daten gespeichert sind, entsprechend geschützt werden, ist auch der Datenschutz sichergestellt. Doch die Gerätesicherheit allein macht IT-Sicherheit nicht aus, es geht zusätzlich ebenfalls um die Sicherheit außerhalb der Geräte, also um den Menschen und sein Arbeitsumfeld, wenn man IT-Sicherheit wirkungsvoll betreiben möchte.

Aus diesem Grund ist Datensicherheit ein wichtiger Bestandteil von Datenschutz, der oft vernachlässigt wird. Im BDSG ist diesem Thema ein eigener Paragraf (§ 9 BDSG) samt ausführlicher Anlage gewidmet. Demnach sollen entsprechende geeignete technische und organisatorische Maßnahmen getroffen werden, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, einen angemessenen und wirksamen Schutz zu gewährleisten. Es werden acht Kategorien aufgezählt:

  1. Zutrittskontrolle: Unbefugten ist der Zutritt zu entsprechenden Datenverarbeitungsanlagen zu verwehren
  2. Zugangskontrolle: keine Nutzung der Datenverarbeitungsanlagen durch Unbefugte (i.d.R. durch Login und Passwort)
  3. Zugriffskontrolle: Einsatz einer Berechtigungsstruktur (z.B. Benutzerrechte)
  4. Weitergabekontrolle: keine Veränderung, Einsichtnahme, Löschung von Daten bei ihrer elektronischen Übertragung, ihres Transports oder Speicherung
  5. Eingabekontrolle: es muss nachträglich festgestellt werden können, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt wurden
  6. Auftragskontrolle: personenbezogene Daten, die im Auftrag verarbeitet würden, dürfen nur entsprechend den Weisungen des Auftraggebers verarbeitet werden
  7. Verfügbarkeitskontrolle: personenbezogene Daten sind gegen (mutwillige o. zufällige) Zerstörung oder Verlust zu schützen (insbesondere durch Sicherungskopien)
  8. Trennungsgebot: personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, müssen getrennt verarbeitet werden

Zu einem ganzheitlichen Datenschutzkonzept gehören neben organisatorischen, wirtschaftlichen und juristischen Aspekten also genauso die informations- und kommunikationstechnischen Elemente samt ihrer Konzeptionierung, Regelung und Absicherung.

Neu mit der Novellierung von 2009 sieht der Gesetzgeber nun auch ausdrücklich die Verschlüsselung personenbezogener Daten vor (vgl. Satz 3 der Anlage zu § 9 Satz 1 BDSG).