Zutritt, Zugang oder Zugriff ... Datenschutz = Datensicherheit?
Bei Nichteinhaltung der datenschutzrechtlichen Anforderungen drohen empfindliche Geldbußen bis weit in den sechsstelligen Eurobereich sowie Haftstrafen von bis zu zwei Jahren. Trotzdem wissen viele Unternehmer – gerade Selbstständige über Kleinunternehmen bis hin zum Mittelstand – teils nicht, wie Datenschutz in der Praxis richtig funktioniert. Mit Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- sowie der Datentrennungs-Kontrolle kennt § 9 des Bundesdatenschutzgesetzes (BDSG) acht sogenannte technische und organisatorische Maßnahmen, die zu treffen sind, um den Datenschutz zu gewährleisten. Übergeordnetes Ziel ist die Datensicherheit, welche einen ergänzenden Aspekt des Datenschutzes darstellt. Allein schon die begriffliche Nähe der Worte Zutritts-, Zugangs- und Zugriffskontrolle legen einen definierten Blick und Obacht im täglichen Umgang nahe.
Zutrittskontrolle – „Wer muss draußen vor der Tür bleiben?“
Zutrittskontrolle meint im Datenschutz, Maßnahmen zu ergreifen, die verhindern, dass unbefugte Personen den physikalischen Zutritt zu Datenverarbeitungsanlagen erhalten. Dazu zählen im weitesten Sinn Computer jeder Art – Server, PC, Notebook, Smartphone, Kopierer und andere Geräte, die sich zur Verarbeitung personenbezogener Daten eignen. Unbefugte Personen sind all jene, welche sich aufgrund der ihnen zugewiesenen Aufgaben nicht bei den entsprechenden Geräten aufhalten müssen. Ziel ist es, die Möglichkeit unbefugter Kenntnis- oder Einflussnahme von vornherein auszuschließen. Die Schutzmaßnahmen sollen mit zunehmender Sensibilität der Daten entsprechend steigen. Maßnahmen im Rahmen der Zutrittskontrolle sind:
• Empfang mit Personenkontrolle sowie das Tragen von Firmen-/ Besucherausweisen
• Verschlossene Türen
• Alarmanlage
• Videoüberwachung und Wachdienst
• Schlüssel- und Chipkartenregelung sowie biometrische Einlass-Systeme
• Einbruchhemmende Fenster
Zugangskontrolle – „Nutzung des Systems nur für Befugte!“
Die Zugangskontrolle verhindert die Nutzung der Datenverarbeitungsanlagen durch Unbefugte. Während die Zutrittskontrolle den physikalischen Zutritt verhindert, unterbindet die Zugangskontrolle die Nutzung des Systems. Dabei dürfen Unternehmen die Angreifbarkeit von außen via Datenverbindung (Internet) keinesfalls außer Acht lassen – ein bedeutendes Einfallstor für Cyberkriminelle und Datendiebe. Folgende Maßnahmen können ergriffen werden, um den unerlaubten Zugang zu personenbezogenen Daten zu verhindern:
• Bildschirmschoner mit Passwortschutz
• Passwortrichtlinie
• Magnet- und Chipkarte
• Benutzername und Passwort
• PIN-Verfahren
• Einsatz von Spamfilter und Virenscanner
• Biometrische Verfahren
Zugriffskontrolle – „Deine, meine und unsere Daten!“
Die Zugriffskontrolle stellt sicher, dass ausschließlich befugte Personen Zugriff auf personenbezogene Daten, Programme, und Dokumente erhalten. Die Berechtigung ergibt sich aus der Aufgabenzuweisung und der Organisation des Betriebes. Wichtig: Der Vorgesetzte eines befugten Mitarbeiters verfügt nicht automatisch über eine Zugriffsberechtigung. Ein unbefugtes Lesen, Kopieren, Verändern oder Löschen personenbezogener Daten während ihrer Verarbeitung, Nutzung oder Speicherung soll ausdrücklich verhindert werden. Eine Zugriffsmatrix dokumentiert unter Zuhilfenahme eines Berechtigungskonzepts, welcher Mitarbeiter auf welche Daten und Programme Zugriff hat. Bei der Verwendung mobiler Datenträger und Endgeräte(USB-Stick, Notebook, Kamera, usw.) verdient die Zugriffskontrolle erhöhte Aufmerksamkeit. Datensicherheit sollte hier auch durch den Einsatz eines entsprechenden Verschlüsselungsverfahrens sichergestellt werden. Maßnahmen der Zugriffskontrolle sind:
• Erstellen eines Berechtigungskonzepts
• Einrichten von Administratorenrechten
• Verschlüsselung der Datenträger
• Regelungen für den Gebrauch von mobilen Datenträgern und Endgeräten
• Verschlüsselung des WLAN
• Löschung wiederbeschreibbarer Datenträger und deren datenschutzkonforme Vernichtung
Letztendlich schließen Zutritts-, Zugangs- und Zugriffskontrolle jeweils nahtlos aneinander an. Im Einzelfall muss daher jedes Unternehmen prüfen, welche der einzelnen Maßnahmen zweckmäßig und umsetzbar sind. Nicht nur aufgrund der engen Begrifflichkeiten: Um kostspielige Missverständnisse in der Datensicherheit zu vermeiden, braucht es Sorgfalt und Expertise. Externe Datenschutzbeauftragte bieten fachkundige Unterstützung und sicheren Umgang mit den technischen und organisatorischen Maßnahmen sowie allen weiteren datenschutzspezifischen Themen. Professionell betreut gehen Datenschutz und Datensicherheit Hand in Hand – zum Schutz vor Strafe und vor allem des eigenen Unternehmens.
* Regina Mühlich, Inhaberin von AdOrga Solutions in München, www.adorgasolutions.de ist als externe Datenschutzbeauftragte und Managementberaterin tätig. Die geprüfte und anerkannte Sachverständige für IT und Datenschutz, Datenschutzauditorin (DSA-TÜV) und Qualitätsmanagementbeauftragte betreut bundesweit kleine und mittelständische Unternehmen. Dabei unterstützt sie Projekte zur Implementierung von Datenschutz-Managementsystemen sowie die Einführung von Qualitäts- und Informationssystemen (z. B. ISO 9001, 27000). Durch ihre über 25-jährige Berufserfahrung in internationalen Unternehmen (als COO, Projekt-/QM-Leiterin, Konzerndatenschutzbeauftragte) verfügt Regina Mühlich über umfangreiche Kenntnisse verschiedener Unternehmensstrukturen und -abläufe.
Zutrittskontrolle – „Wer muss draußen vor der Tür bleiben?“
Zutrittskontrolle meint im Datenschutz, Maßnahmen zu ergreifen, die verhindern, dass unbefugte Personen den physikalischen Zutritt zu Datenverarbeitungsanlagen erhalten. Dazu zählen im weitesten Sinn Computer jeder Art – Server, PC, Notebook, Smartphone, Kopierer und andere Geräte, die sich zur Verarbeitung personenbezogener Daten eignen. Unbefugte Personen sind all jene, welche sich aufgrund der ihnen zugewiesenen Aufgaben nicht bei den entsprechenden Geräten aufhalten müssen. Ziel ist es, die Möglichkeit unbefugter Kenntnis- oder Einflussnahme von vornherein auszuschließen. Die Schutzmaßnahmen sollen mit zunehmender Sensibilität der Daten entsprechend steigen. Maßnahmen im Rahmen der Zutrittskontrolle sind:
• Empfang mit Personenkontrolle sowie das Tragen von Firmen-/ Besucherausweisen
• Verschlossene Türen
• Alarmanlage
• Videoüberwachung und Wachdienst
• Schlüssel- und Chipkartenregelung sowie biometrische Einlass-Systeme
• Einbruchhemmende Fenster
Zugangskontrolle – „Nutzung des Systems nur für Befugte!“
Die Zugangskontrolle verhindert die Nutzung der Datenverarbeitungsanlagen durch Unbefugte. Während die Zutrittskontrolle den physikalischen Zutritt verhindert, unterbindet die Zugangskontrolle die Nutzung des Systems. Dabei dürfen Unternehmen die Angreifbarkeit von außen via Datenverbindung (Internet) keinesfalls außer Acht lassen – ein bedeutendes Einfallstor für Cyberkriminelle und Datendiebe. Folgende Maßnahmen können ergriffen werden, um den unerlaubten Zugang zu personenbezogenen Daten zu verhindern:
• Bildschirmschoner mit Passwortschutz
• Passwortrichtlinie
• Magnet- und Chipkarte
• Benutzername und Passwort
• PIN-Verfahren
• Einsatz von Spamfilter und Virenscanner
• Biometrische Verfahren
Zugriffskontrolle – „Deine, meine und unsere Daten!“
Die Zugriffskontrolle stellt sicher, dass ausschließlich befugte Personen Zugriff auf personenbezogene Daten, Programme, und Dokumente erhalten. Die Berechtigung ergibt sich aus der Aufgabenzuweisung und der Organisation des Betriebes. Wichtig: Der Vorgesetzte eines befugten Mitarbeiters verfügt nicht automatisch über eine Zugriffsberechtigung. Ein unbefugtes Lesen, Kopieren, Verändern oder Löschen personenbezogener Daten während ihrer Verarbeitung, Nutzung oder Speicherung soll ausdrücklich verhindert werden. Eine Zugriffsmatrix dokumentiert unter Zuhilfenahme eines Berechtigungskonzepts, welcher Mitarbeiter auf welche Daten und Programme Zugriff hat. Bei der Verwendung mobiler Datenträger und Endgeräte(USB-Stick, Notebook, Kamera, usw.) verdient die Zugriffskontrolle erhöhte Aufmerksamkeit. Datensicherheit sollte hier auch durch den Einsatz eines entsprechenden Verschlüsselungsverfahrens sichergestellt werden. Maßnahmen der Zugriffskontrolle sind:
• Erstellen eines Berechtigungskonzepts
• Einrichten von Administratorenrechten
• Verschlüsselung der Datenträger
• Regelungen für den Gebrauch von mobilen Datenträgern und Endgeräten
• Verschlüsselung des WLAN
• Löschung wiederbeschreibbarer Datenträger und deren datenschutzkonforme Vernichtung
Letztendlich schließen Zutritts-, Zugangs- und Zugriffskontrolle jeweils nahtlos aneinander an. Im Einzelfall muss daher jedes Unternehmen prüfen, welche der einzelnen Maßnahmen zweckmäßig und umsetzbar sind. Nicht nur aufgrund der engen Begrifflichkeiten: Um kostspielige Missverständnisse in der Datensicherheit zu vermeiden, braucht es Sorgfalt und Expertise. Externe Datenschutzbeauftragte bieten fachkundige Unterstützung und sicheren Umgang mit den technischen und organisatorischen Maßnahmen sowie allen weiteren datenschutzspezifischen Themen. Professionell betreut gehen Datenschutz und Datensicherheit Hand in Hand – zum Schutz vor Strafe und vor allem des eigenen Unternehmens.
* Regina Mühlich, Inhaberin von AdOrga Solutions in München, www.adorgasolutions.de ist als externe Datenschutzbeauftragte und Managementberaterin tätig. Die geprüfte und anerkannte Sachverständige für IT und Datenschutz, Datenschutzauditorin (DSA-TÜV) und Qualitätsmanagementbeauftragte betreut bundesweit kleine und mittelständische Unternehmen. Dabei unterstützt sie Projekte zur Implementierung von Datenschutz-Managementsystemen sowie die Einführung von Qualitäts- und Informationssystemen (z. B. ISO 9001, 27000). Durch ihre über 25-jährige Berufserfahrung in internationalen Unternehmen (als COO, Projekt-/QM-Leiterin, Konzerndatenschutzbeauftragte) verfügt Regina Mühlich über umfangreiche Kenntnisse verschiedener Unternehmensstrukturen und -abläufe.