Rainer von zur Mühlen ist Geschäftsführer der von zur Mühlen´schen Sicherheitsberatung, Bonn, und bei verschiedenen Industriebetrieben externer Datenschutzbeauftragter oder Berater in Fragen der nutzenorientierten Realisierung des BDSG.

Betrieblicher Datenschutz ist unbeliebt und wird zumeist als lästig empfunden. Dabei ist Datenschutz eine Führungsaufgabe, auch wenn er in der betrieblichen Praxis als solche überwiegend nicht erkannt oder praktiziert wird. Richtig verstanden, liegt er auch im wirtschaftlichen Interesse von Unternehmen.

Datenschutz wird in der täglichen Arbeit an den Datenschutzbeauftragten (DSB) delegiert; damit meint man, das Erforderliche getan zu haben. Häufig könnte aber die Aufgabe effizienter und wirtschaftlicher erledigt werden. Dazu zunächst vier Thesen:

1. These: Datenschutz hat häufig einen Alibicharakter: Man erfüllt gesetzliche Vorschriften mehr oder weniger formal. Das alte Bundesdatenschutzgesetz (BDSG) unterstützte dieses Verhalten. Der Datenschutzbeauftragte mußte nach dem Wortlaut des Gesetzes Verzeichnisse führen, die es in einer guten Dokumentation ohnehin gab. Ein unmittelbarer Nutzen für das Unternehmen wurde zumeist nicht erreicht. Aus der Absicht, gesetzliche Vorschriften und nichts anderes zu erfüllen, entwickelte sich fast folgerichtig ein formalistischer Verwaltungsdatenschutz.

2. These: Datenschutz in der noch üblichen Form ist unwirtschaftlich. Wegen des Fehlens unmittelbaren Nutzens ist Datenschutz für die Unternehmen teuer. Hauptamtliche Datenschutzbeauftragte sind zumeist erfahrene Mitarbeiter in höheren Gehaltsklassen. Sie beanspruchen für ihre Tätigkeit zu

Recht eine Infrastruktur. Sie müssen sich fortbilden, reisen, Schulungen durchführen. Nur wenige Unternehmen hatten bisher den Mut, die Funktion externen Fachleuten zu übertragen. Dabei bringt die Fremdvergabe hier einige Vorteile: Spezialisierung, überbetriebliche Erfahrung, Mitarbeiterstab unterschiedlicher Fachrichtungen eines Spezialbetriebs für Datenschutz und Datensicherung, haftungsrechtliche Absicherungen, geringere Fixkosten, Wegfall der Lohnnebenkosten, Sach- und Bürokosten sowie der Bereitstellung einer personellen Infrastruktur.

3. These: Auch die Datenschutzschulungen haben Alibicharakter. Die üblichen Datenschutzschulungen lehren Datenschutzrecht und überfordern bei weitem die Masse der Mitarbeiter, die mit personenbezogenen Daten umzugehen haben. In der Konsequenz hemmt gefährliches Halbwissen die betriebliche Organisation, wo ein Datenschutzinteresse gar nicht gegeben ist.

Aufgrund dieser unbefriedigenden Situation gilt es, einen Weg zu suchen, die Ziele des Datenschutzes zu erfüllen und zugleich dabei den unmittelbaren Nutzen für das Unternehmen selbst zu erhöhen.

Es klingt ketzerisch, aber unternehmerischer Datenschutz darf nicht auf dem BDSG und seinen Vorschriften aufbauen, sondern muß sich vom Eigeninteresse an der Integrität von personenbezogenen Daten, der Verfügbarkeit der DVA und der allgemein erforderlichen Sicherheit in der Informationsverarbeitung der Unternehmen leiten lassen und dabei zugleich die gesetzlichen Zielvorgaben des BDSG erfüllen, Nur dann kann Datenschutz wirtschaftlich sein.

4. These: Datenschutz kann Revisionsaufgaben erfüllen. Mittlere und zum Teil auch größere Betriebe haben keine eigene DV-Revision - warum soll der Datenschutz hier nicht helfen?

Die weitreichenden Aufgaben des betrieblichen Datenschutzbeauftragten, die sich bislang auf die personenbezogenen Daten natürlicher Personen erstrecken, können wirtschaftlich für das Unternehmen genutzt werden, wenn der DSB nicht nur seine herkömmlichen Aufgaben erfüllt, sondern die Grundlagen für eine DV-Revision schafft. Der Datenschutzbeauftragte oder ein externer Berater, der nach einem solchen Konzept arbeiten soll, muß zunächst an die Arbeitsplätze selbst, um das Konzept von unten nach oben zu entwickeln.

Es hat sich bewährt, die Revision nicht - wie den traditionellen Datenschutz - vom Host und seinen Anwendungen aus zu entwickeln, sondern an den Arbeitsplätzen zu beginnen. Wichtig ist zunächst die Stichprobenauswahl, die in Vorgesprächen mit den Bereichsverantwortlichen zu treffen ist. Sie wird in einer folgenden Vorerhebung präzisiert, um vor allem die Arbeitsplätze mit Zugriff auf brisante personenbezogene Daten einerseits und wichtige Unternehmensdaten andererseits zu erfassen. Dort wird dann in folgenden Aufgabenabschnitten die Revision durchgeführt:

- Analyse der vorhandenen Hardware und Software und Vergleich mit der Soll-Ausstattung;

- Untersuchung der logischen Konfiguration;

- Ermittlung des Aufgabenerfüllungsgrades der eingesetzten Software;

- Einschätzung des Auslastungsgrades und der Wirtschaftlichkeit des IDV-Arbeitsplatzes.

Ergebnis ist unter anderem ein DV-Kataster, das spätere Revisionen und auch künftige Hard- und Software-Entscheidungen erleichtert.

Zugleich mit den genannten Maßnahmen ist eine Risiko- und Schwachstellenanalyse ebenfalls direkt am Arbeitsplatz durchzuführen. Untersucht werden müssen:

- die vorhandene Hard- und Software in bezug auf die Sensibilität der Daten und das Mißbrauchsrisiko, um Schwächen aufzudecken hinsichtlich sowohl personenbezogener Daten als auch schützenswerter Unternehmensdaten und Verfahren;

- die Zugriffs- und Benutzerkontrollen auf Funktionsweise und auf regelmäßige Aktivierung;

- eventuelle logische Lücken, die eine Paßwort-Aushorchung ermöglichen könnten;

- die Anforderungen eines arbeitsplatzadäquaten Sicherheitsstandards mit Maßnahmen auf Hardware- und Software-Basis.

Anforderungen an die Datensicherheitsanalyse

Die Datensicherungskonzeption, die sich aus diesen Analysen ergibt, berücksichtigt die Belange des einzelnen Arbeitsplatzes und sollte Empfehlungen zur Installation eines leistungsfähigen Backup-Mediums auf Hardware- oder auf Softwarebasis geben. Sie schließt organisatorische und technische Maßnahmen zur Datensicherung am IDV-Arbeitsplatz ein.

Oft stellt der DSB Lizenzverstöße und Datenhygieneprobleme fest. Er kann dann Vorsorgemethoden für die Sicherheit am Arbeitsplatz erarbeiten und - Vorteil für die Akzeptanz - mit den betroffenen Mitarbeitern abstimmen. Er legt eine Datensicherheitsanalyse vor, die folgendes leisten muß:

- Untersuchung und gegebenenfalls Wiederherstellung der physikalischen Sicherheit der Datenträger mit speziellen Festplattenanalyse Tools;

- Inspektion auf Virenbefall, bei Bedarf Säuberung und Immunisierung mit Hilfe, von Virenjäger- beziehungsweise Serum-Tools;

- Abhängigkeitsanalyse: Ermittlung des Grades der Verflechtung einzelner Unternehmensbereiche mit der dezentralen Datenverarbeitung.

Zuletzt erstellt der DSB eine IDV-Richtlinie, die auf die individuellen Bedürfnisse des Unternehmens und der einzelnen Beschäftigten abgestimmt ist und als bindende Organisationsanweisung für die Mitarbeiter gilt.

Sie beinhaltet unter anderem Kriterien für die zentrale Beschaffung von Hard- und Software und zur Kategorisierung von Sicherheitsstufen. Ferner kann sie als Basis der Unterweisungen dienen, die der DSB durchführen muß.

Die Unix-Vernetzungen und Host-Anbindungen müssen in vergleichbarer Weise inspiziert werden wie die einzelnen Arbeitsplätze für sich genommen. Kaum ein DSB wagt sich bislang an diesen immer bedeutenderen Komplex heran.

Die Risiko- und Schwachstellenanalyse der Software muß sich hier vor allem mit Verzeichnis- und Benutzerstruktur, Benutzeroberfläche und Menüführung, Anwendungen, Applikationssicherheit und Datensicherungsverfahren befassen.

Hardwaretechnisch liegt das Augenmerk hauptsächlich auf Standorten und Nutzung der Drucker, Anbindung an Weitverkehrsnetze, Standorten der Datensichtstationen sowie Nutzung von PCs mit Terminalemulation und von Band- beziehungsweise Diskettenstationen.

Für die Netzsicherheit schließlich sorgt die Untersuchung von Konfiguration und Topologie, Zugriffsverfahren, spezifischen Risiken und schließlich der Gesamtfunktionalität von Einzelkomponenten sowie der Auswirkungen ihrer Heterogenität auf die Sicherheit.

Neben den internen Mechanismen des Betriebssystems prüft der DSB den Einsatz von Ergänzungsmöglichkeiten wie elektronischen Wachhunden, Hardwarezusätzen etc. und schlägt bei Bedarf eine geeignete Lösung vor.

Datenschutz als ein Nebenprodukt

Bei den Revisionsaktivitäten in den verschiedenen Bereichen werden neben den gesetzlich zu erfüllenden Datenschutzprinzipien weitere Ergebnisse angestrebt, die den Datenschutz zu einer systemimmanenten Funktion und damit einem wirtschaftlichen Nebenprodukt einer sicheren DV-Organisation machen:

Der DSB soll Sicherheitsrisiken feststellen, die die Integrität und Verfügbarkeit nicht nur der personenbezogenen Daten, den Zugriff auf diese und die Verfügbarkeit der DV-Anlagen und Netze gefährden können. Es empfiehlt sich, für Prüfungen durch die Aufsichtsbehörde einen Datenschutzbericht zu erstellen.

Das BDSG verlangt in der Anlage zu § 9, Absatz 1 konkrete Maßnahmen unter dem Vorbehalt der Angemessenheit. Der DSB hat nach diesen Vorgaben zu beurteilen, ob das Notwendige getan worden ist und weshalb gegebenenfalls die eine oder andere Maßnahme unter Wirtschaftlichkeitsaspekten und in Abwägung der Schutzinteressen betroffener Personen nicht oder noch nicht angemessen ist.

Der DSB sollte die bisherige Datenschutztätigkeit auch revidieren, um möglichst weitgehend darauf aufbauen zu können.

Das gilt auch für die Organisationsdokumentation, auf die der DSB in vom BDSG geregeltem Ausmaß zugreifen darf.

Der externe DSB stimmt sich mit dem Auftraggeber über ein Datenschutzkonzept ab, das unter Abwägung der gesetzlichen Vorschriften und der Interessen des Unternehmens dem Grundsatz von Angemessenheit und Wirtschaftlichkeit entspricht.

Es hat sich bewährt, eine DV-Sicherheitsrichtlinie zu erarbeiten, die speziell auf die Benutzerarbeitsplätze zugeschnitten wird. Sie regelt Fragen der Datensicherung, des Umgangs mit Daten, Datenträgern und Listen, des Zugriffs und der Paßwortpflege, der Vertraulichkeit der Vorschriften zur Autorisierung von Anwendungen und des Einsatzes von Spielesoftware.

Die Richtlinie wird sinnvollerweise so aufgebaut, daß ein Systembetreuer später wesentliche Kontrollfunktionen mit seiner Betreuungsfunktion verbinden kann und soll. Sie dient dann auch als Grundlage der gesetzlich vorgeschriebenen Datenschutzunterweisungen der Mitarbeiter und ihrer Verpflichtung auf das Datengeheimnis.

Dazu haben sich Tonbildschauen, die sich an die Mitarbeiter und die Führungsvorgesetzten richten, bewährt. Sie sind so aufgebaut, daß sie in erster Linie motivierend und erst in zweiter Linie unterrichtend, das heißt wissensvermittelnd, wirken.

Führungsvorgesetzte sollten an diesen Schulungen teilnehmen, damit sie die Anforderungen des Datenschutzes an die Ausführungskräfte kennen. Sie erhalten darüber hinaus eine Ergänzungsschulung, die etwas stärker auf die gesetzlichen Vorschriften eingeht, mit denen die Ausführungskräfte sonst überfordert würden.