Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 26.02.2008

Der Bayerische Landesbeauftragte für den Datenschutz

Die 10 Kontrollen des BayDSG

Grundsatzfragen

Gemäß Art. 7 BayDSG haben alle öffentlichen Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, geeignete technische und organisatorische Maßnahmen zum Schutz dieser Daten zu treffen, das heißt, es müssen entsprechende Sicherheitsmaßnahmen gegen Unzulänglichkeiten im Bereich des Zugriffs und der sachgemäßen Anwendung sowie gegen Störungen des inhaltlichen Bestandes und der DV-Einrichtungen getroffen werden. Für die Verarbeitung im normalen DV-Betrieb bedeutet das, dass geeignete Maßnahmen zu ergreifen sind, personenbezogene Daten vor unerlaubter Kenntnisnahme, Verlust, Verfälschung und Zerstörung zu schützen und den Zugang Unbefugter zu den Datenverarbeitungsanlagen, zu den Datenträgern und zu allen im Netz angeschlossenen Rechnern zu verhindern.

Für den Fall der automatisierten Datenverarbeitung - im Gegensatz zur manuellen - sind im Art. 7 Abs. 2 des Bayrischen Datenschutzgesetzes die je nach der Art der zu schützenden Daten Maßnahmen für die

• Zugangs-,
• Datenträger-,
• Speicher-,
• Benutzer-,
• Zugriffs-,
• Übermittlungs-,
• Eingabe-,
• Auftrags-,
• Transport- und Organisationskontrolle

Sicherheitsziele definiert. Welche Maßnahmen dazu im Einzelnen erforderlich sind, darüber gibt das BayDSG keine Auskunft. Bei der schnellen technischen Fortentwicklung der maschinellen Datenverarbeitung wäre es auch wenig hilfreich gewesen, bestimmte Maßnahmen festzuschreiben, die nach kurzer Zeit nicht mehr dem Stand der Technik genügten. In der Fachliteratur sind aber mehr oder weniger umfangreiche Maßnahmenkataloge zu finden.

Bei der Definition geeigneter technischer und organisatorischer Maßnahmen ist in erster Linie zu berücksichtigen, dass der Gesetzgeber über alle Vorgaben den Grundsatz der Verhältnismäßigkeit gesetzt hat. Das Gebot zur Schaffung von Datensicherheitsmaßnahmen gilt nämlich nicht uneingeschränkt, vielmehr sind Maßnahmen nur dann erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht. Für den Anwender selbst ist eine Abschätzung dieses Verhältnismäßigkeitsgrundsatzes oft nicht einfach.

Als Maßstäbe können

• die ein bestimmtes Risiko absichernde Kosten,
• die eventuelle Schadenshöhe,
• die Eintrittswahrscheinlichkeit eines Schadens,
• die Attraktivität der Daten für Unbefugte und
• die Sensibilität der zu schützenden Daten

dienen.

Es ist ferner schwierig zu erkennen, wie die mit der Sicherheit verbundenen Kosten dem Schutzzweck im Verhältnis zu setzen sind. Kosten-Nutzen-Analysen sind nicht immer problemlos und auch nicht frei von Risiken, da eintretende Schäden, insbesondere wenn sie immaterieller Art sind, in ihrem Umfang kaum bezifferbar vorauszusehen sind.

Am besten bewährt hat sich, dass sich die Maßnahmen an der Schutzwürdigkeit der zu schützenden Daten orientieren. Die Schutzwürdigkeit der Daten bestimmen einerseits die Bedrohung des Betroffenen bei Missbrauch oder Verlust seiner Daten (Anliegen des Datenschutzes) andererseits die Wiederbeschaffungskosten für die speichernde Stelle und die Beeinträchtigung der Funktionsfähigkeit einer Behörde bei Verlust der Daten (Frage der Datensicherheit). Dieses Prinzip ist auch auf personenbezogene Daten anwendbar. Die Sensibilität der Daten bestimmt der Umstand, ob bei Missbrauch oder Verlust der Daten, das Persönlichkeitsrecht, das Wohl oder das Leben des Betroffenen,

• nicht,
• in geringem Maße,
• beträchtlich oder
• sehr stark (mit Gefahr auf Leib und Leben)

beeinträchtigt werden.

Es gibt eine Reihe von Institutionen, die ähnliche Konzepte entwickelt haben. Es gibt aber auch Kritiker dieses Modells, die die Ansicht vertreten, dass alle Daten gleich schutzwürdig sind und die Eingruppierung der Daten in Schutzklassen ablehnen. Bei realistischer Betrachtung wird man allerdings zu der Überzeugung gelangen: Unabhängig davon, wie viele Schutzkategorien gebildet werden, bietet ein solcher Ansatz eine sinnvolle und wirtschaftliche Vorgehensweise, den Aufwand für Sicherheitsmaßnahmen der Sensibilität der Daten anzupassen.

Strategie bei der Auswahl geeigneter Sicherheitsmaßnahmen

Zweck des Datenschutzgesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Beeinträchtigungen seiner Persönlichkeit können zur Verletzung seiner Privatsphäre, zu Belästigungen, zu Ruf- oder Geschäftsschädigungen und zur Verletzung existenzieller Grundlagen führen.

Bei der Prüfung, ob eine Datensicherheitsmaßnahme zur Erreichung des erforderlichen Schutzzwecks notwendig ist, sollte man daher stets von der Gefährdung ausgehen, die eine missbräuchliche Verwendung von Daten für den Einzelnen verursachen kann. Je stärker das Persönlichkeitsrecht verletzt werden kann, desto umfassendere technische und organisatorische Maßnahmen sind zur Verhinderung missbräuchlicher Datenverarbeitung angezeigt.

Bei der Auswahl der Datensicherheitsmaßnahmen ist stets darauf zu achten, dass das Datensicherheitskonzept in sich geschlossen und abgestimmt ist. Es macht wenig Sinn, wenn man bei einigen Kontrollbereichen starke, ja vielleicht sogar überzogene Maßnahmen vorschlägt und andere Kontrollbereiche außer Acht lässt, sodass das Gesamtsystem lückenhaft wird und seinen Schutzzweck nicht erfüllt. Mit anderen Worten ausgedrückt, alle 10 Kontrollbereiche sind zu untersuchen und gegebenenfalls durch geeignete Maßnahmen auszufüllen.

Zur Festlegung, welche Datensicherheitsmaßnahmen für welche Datenverarbeitung oder welche Datei zu ergreifen sind, empfiehlt es sich, folgendermaßen vorzugehen:

• Als Erstes sind die zu verarbeitenden personenbezogenen Daten auf ihre Sensibilität hin zu untersuchen und einer Schutzkategorie zuzuordnen.
• In einem zweiten Schritt sind die Sicherheitsbereiche und die Zugangs- bzw. Zugriffsberechtigungen festzulegen.
• Daraufhin sind die erforderlichen Datensicherheitsmaßnahmen zu definieren und auf ihre Brauchbarkeit zu überprüfen.
• Schließlich sind die technischen und organisatorischen Maßnahmen zu realisieren, wobei darauf besonders zu achten ist, dass keine Freiräume entstehen, wenn Maßnahmen schrittweise eingeführt werden.
• Der Erfolg und die Effektivität der Sicherheitsmaßnahmen hängt davon ab, dass sie von den Beteiligten akzeptiert werden. Dazu empfiehlt es sich, die Maßnahmen in Teilbereichen probeweise einzuführen. Nicht selten stellt sich nämlich heraus, dass eine Sicherheitsmaßnahme nicht praktikabel ist und den Arbeitsablauf zu stark behindert. In einem solchen Fall ist das Sicherheitskonzept zu überprüfen und gegebenenfalls nachzubessern. Dasselbe gilt, wenn beim Probebetrieb vorher nicht erkannte Lücken auftreten. Solche Rückkopplungen sind für ein ausgereiftes Sicherheitssystem von großer Bedeutung.
• Erweisen sich die Sicherheitsmaßnahmen für die Praxis einsatzreif, sind sie nach der Einführung in geeigneter Form anzuordnen und allen Beteiligten bekannt zu machen.
• Nach der Anordnung bestimmter Sicherheitsmaßnahmen ist es notwendig, deren Einhaltung regelmäßig zu überprüfen. Bei Nichteinhaltung angeordneter Maßnahmen sind Sanktionen vorzusehen und auch durchzuführen.

Bei der Definition von Sicherheitsmaßnahmen, insbesondere dann wenn man Maßnahmenkataloge zurate zieht, ist zu beachten, dass manche Maßnahmen gleiche Sachverhalte regeln, sich gegenseitig behindern oder durch andere Maßnahmen bereits abgedeckt sein können. Beziehen sich Maßnahmen beispielsweise auf ein Rechenzentrum als Ganzes, etwa baulichen Maßnahmen, so muss sich die Stärke der Maßnahmen an dem Verfahren mit der höchsten Schutzklasse orientieren. Hingegen gibt es bei bestimmten Sicherheitsmaßnahmen, etwa bei der Transportkontrolle, durchaus auch verfahrensbezogene Unterschiede.

Beispiel eines Maßnahmenkatalogs

Der nachfolgende Maßnahmenkatalog enthält weniger Einzelmaßnahmen als vielmehr Maßnahmenbündel, denen im Einzelfall Maßnahmen zuzuordnen sind. An dieser Stelle soll lediglich ein Überblick über die Sicherheitsbereiche gegeben werden.

Zugangskontrolle

Ziel der Zugangskontrolle ist es, mit Hilfe geeigneter Maßnahmen zu verhindern, dass Unbefugte Zugang zu solchen Datenverarbeitungsanlagen (auch PC und mobile Rechner) haben, mit denen personenbezogene Daten verarbeitet werden. Die Größe der Datenverarbeitungsanlage ist dabei unerheblich. Unter Zugang ist die Annäherung an DV-Anlagen mit der Möglichkeit zu verstehen, auf diese einzuwirken und/oder von Daten Kenntnis nehmen zu können.

Maßnahmen:

• Festlegung der zugangsberechtigten Personen
• Closed Shop-Betrieb (nur berechtigte Personen haben Zutritt)
• Revisionsfähigkeit der Zugangsberechtigungen
• Schaffung von Sicherheitszonen
• Identifikation durch Ausweise etc.
• Einsatz eines Zugangskontrollsystems
• Zugangsregelungen für betriebsfremde Personen
• Maßnahmen zur Innen- und Außenhautsicherung
• Protokollierung der Zu- und Abgänge

Datenträgerkontrolle

Ziel der Datenträgerkontrolle ist es, mit Hilfe geeigneter Verfahren zu verhindern, dass Datenträger mit personenbezogenen Daten unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Art des Datenträgers spielt dabei keine Rolle. Diese Kontrollart richtet sich insbesondere an die in der IT-Abteilung oder am PC tätigen Personen.

Maßnahmen:

• Absicherung der Bereiche, in denen Datenträger aufbewahrt werden (Datenträgerarchiv)
• Aufbewahrung in so genannten Data Safes
• Maschinelle Datenträgerverwaltung
• Maßnahmen gegen unbefugtes Entfernen von Datenträgern
• Protokollierung der autorisierten Weitergabe von Datenträgern
• Kopierkontrolle
• Datenschutzgerechte Entsorgung nicht mehr benötigter Datenträger

Speicherkontrolle

Ziel der Speicherkontrolle ist es, mit geeigneten Maßnahmen sicherzustellen, dass personenbezogene Daten nur befugt gespeichert und gespeicherte personenbezogene Daten nur befugt zur Kenntnis genommen, verändert oder gelöscht werden können. Die Speicherung bezieht sich sowohl auf eine Aufnahme von Daten in den Hauptspeicher einer IT-Anlage als auch auf maschinell verarbeitbare Datenträger (Festplatten, CD, DVD etc.).

Maßnahmen:

• Einsatz von Mitteln zur Identifikation und Authentisierung der Benutzer
• Einführung einer revisionsfähigen Zugriffsberechtigungsverwaltung
• Softwareverriegelung des Bildschirmes bei längerem Inaktivsein des Benutzers
• Verwendung des Schreibschutzes bei Datenträgern
• Trennung des Test- und Produktionsbetriebes
• Kontrolle der System- und User-Aktivitäten (z. B. Protokollierung der Art des Datenzugriffs)
• Datenverschlüsselung

Benutzerkontrolle

Ziel der Benutzerkontrolle ist es, mit Hilfe geeigneter Maßnahmen zu verhindern, dass unbefugte Personen Datenverarbeitungssysteme, in denen personenbezogene Daten gespeichert werden, mit Hilfe von Einrichtungen der Datenübertragung nutzen können. Unbefugte sind all diejenigen Personen, die keine Berechtigung zur Ausführung dieser Tätigkeit besitzen.

Maßnahmen:

• Festlegung der nutzungsberechtigten Personen
• Identifikation und Authentifizierung der Benutzer
• Sicherung der Datenstationen, Netze und Übertragungsleitungen
• Verschlüsselung der zu übertragenden Daten
• Protokollierung der Benutzer und deren Aktivitäten

Zugriffskontrolle

Ziel der Zugriffskontrolle ist es, mit Hilfe von geeigneten Maßnahmen sicherzustellen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können.

Maßnahmen:

• Anlegen von revisionsfähigen Benutzerprofilen
• Identifikation und Authentifizierung der Benutzer
• Maschinelle Überprüfung der Berechtigungen
• Einführung zugriffsbeschränkender Maßnahmen (z. B. nur Leseberechtigung)
• Zeitliche Begrenzung der Zugriffsmöglichkeiten
• Beschränkung der freien Abfragemöglichkeiten von Datenbanken (Query-Spache)
• Benutzerbezogene Protokollierung der (Fehl-)Zugriffe
• Einsatz von Verschlüsselungsverfahren

Übermittlungskontrolle

Ziel der Übermittlungskontrolle ist es, mit Hilfe geeigneter Maßnahmen gewährleisten zu können, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Einrichtungen der Datenübertragung übermittelt werden können. Hier kommt es nicht auf die tatsächliche oder theoretisch mögliche, sondern auf die nach der Verfahrenskonzeption vorgesehene Übermittlung an (auch im Rahmen von automatisierten Abrufverfahren). Die Überprüfung und Feststellung muss nicht dauernd erfolgen, aber sie muss jederzeit möglich sein.

Maßnahmen:

• Dokumentation der Abruf- und Übermittlungsprogramme
• Festlegung der Übermittlungswege und der Datenempfänger
• Protokollierung der Datenübermittlung
• Auswertungsmöglichkeiten der Übermittlungsprotokolle, um die Empfänger oder Abrufenden gezielt feststellen zu können

Eingabekontrolle

Ziel der Eingabekontrolle ist es, mit Hilfe geeigneter Maßnahmen sicherzustellen, dass nachträglich die näheren Umstände einer Dateneingabe überprüft und festgestellt werden können. Die Überprüfung und Feststellung sollte nach erfolgter Eingabe anhand von Unterlagen möglich sein. Die Protokollierung der einzelnen Eingaben und deren Veranlasser wird nach dem BayDSG für den Regelfall allerdings nicht vorgeschrieben. Es sind jedoch Fälle denkbar, dass bei bestimmten Eingaben Veranlasser, Grund und Zeitpunkt mitgespeichert oder in einer personenbezogenen Protokolldatei abgespeichert werden.

Maßnahmen:

• Festlegung von Eingabebefugnissen
• Protokollierung der Eingaben, Veränderungen und Löschungen
• Speicherung des Veranlassers
• Lückenlose Vorgangsprotokollierung für jeden Einzelfall
• Einsatz der elektronischen Signatur

Auftragskontrolle

Ziel der Auftragskontrolle ist es, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur nach den Weisungen des Auftraggebers verarbeitet werden.

Maßnahmen:

• Klare Vertragsgestaltung und -ausführung
• Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber
• Sorgfältige Auswahl des Auftragnehmers
• Formalisierung der Auftragserteilung
• Protokollierung und Kontrolle der ordnungsgemäßen Vertragsausführung
• Sanktionen bei Vertragsverletzung

Transportkontrolle

Ziel der Transportkontrolle ist es, zu verhindern, dass bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können.

Maßnahmen:

• Festlegung der für die Übermittlung oder den Transport Berechtigten
• Regelungen für die Versandart und Festlegung des Transportweges
• Verwendung sicherer Transportbehälter
• Sicherung des Übertragungs- und Transportweges
• Physikalische Löschung aller Datenträger vor einer neuen Beschreibung und nach jeder Verarbeitung
• Duplizierung der Datenträger
• Verschlüsselung der Daten
• Überprüfung aller Daten und Datenträger hinsichtlich Virenbefall
• Überwachung der Transportzeit

Organisationskontrolle

Ziel der Organisationskontrolle ist es, die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Gemeint ist damit, dass sich der Datenschutz nicht an die Organisation, sondern die Organisation an den Datenschutz anpassen sollte.

Maßnahmen:

• Bestellung eines behördlichen Datenschutzbeauftragten
• Funktionstrennung innerhalb der DV-Abteilung, sofern das die Abteilungsgröße erlaubt
• Formalisierte Freigabeverfahren für neue DV-Verfahren und bei wesentlichen Änderungen
• Erlass von Programmierrichtlinien
• Vorgaben für die Dokumentation der Programme
• Erlass von Datenschutzrichtlinien und Dienstanweisungen
• Schulung der Mitarbeiter
• Erstellen eines Notfallkonzepts
• Regelmäßige Datensicherung
• Erstellen von Bedienungs- und Benutzeranweisungen
• Revisionsfähige Benutzerverwaltung
• Vorgabe der Regelungen für die Passwortvergabe und -verwaltung
• Zentrale Beschaffung der Hard- und Software