Das am 1. 1.1978 in Kraft getretene BDSG gilt für alle Institutionen und Personen, die personenbezogene Daten in Dateien speichern und verarbeiten. Die Erfüllung der rechtlichen und organisatorischen Voraussetzungen des Datenschutzes fällt Großbetrieben mit speziellen Datenverarbeitungs-, Revisions- und Organisationsabteilungen leichter als Klein- und Mittelbetrieben.

Die besondere Situation beim Datenschutz in Kleinrechnersystemen muß daher immer in Abhängigkeit vom Einsatz eines Systems in einem Kleinbetrieb ohne Rechenzentrum beziehungsweise in einem Betrieb mit geschultem Personal - eventuell als "dedicated system" - neben einer großen Anlage gesehen werden. Entsprechend ergeben sich die Anforderungen an die Software.

Neben den aus der Auskunfts-, Benachrichtungs-, Korrektur-, Lösch- und Sperrpflicht abzuleitenden Softwarefunktionen sind insbesondere die Sicherungsmaßnahmen von Bedeutung.

Die im Rahmen der Sicherungspflicht zu erfüllenden Auflagen technischer und organisatorischer Art sind in der Anlage zu ° 6 geregelt. Zum großen Teil sind die dort geforderten Maßnahmen nur sukzessive durchführbar und setzen eine gründliche Vorbereitung voraus. Diesem Tatbestand wird der auf 1. 1. 1979 festgelegte Termin für das Inkrafttreten der Anlage gerecht.

Die Vorschrift des ° 6 und seiner Anlage werden ungeachtet des Datenverarbeitungsverfahrens für alle hier betrachteten Betriebe gelten, die dem BDSG nach ° 1 Abs. 2 und ° 22) unterliegen, das heißt für Betriebe, die personenbezogene Daten in Dateien verarbeiten.

Die Erfüllung der in der Anlage zu ° 6 geforderten Maßnahmen stellt für Betriebe, die keine geschlossenen Rechenzentren aufgebaut haben, eine außerordentliche Belastung dar. Bei der Konzeption dieser Vorschriften hat der Gesetzgeber offensichtlich die Merkmale kleinerer Datenverarbeitungsanlagen nicht berücksichtigt.

Im einzelnen verlangen die laut ° 6 und dessen Anlage zu treffenden Maßnahmen zehn verschiedene Arten der Kontrolle. Eine dem BDSG genügende Datensicherung ist nur dann gewährleistet, wenn diesem Anforderungskatalog entsprochen wird. Im folgenden sollen die erforderlichen Kontrollen insbesondere im Hinblick auf kleinere Datenverarbeitungsanlagen und dezentralisierter Datenverarbeitung dargestellt werden.

Zugangskontrolle

(Anlage zu ° 6, Abs. 1, Satz 1, Nr. 1)

Unbefugten soll der Zugang zu DV-Anlagen verwehrt bleiben, wenn personenbezogene Daten verarbeitet werden. Mit Hilfe personeller und bautechnischer Maßnahmen ist in großen Rechenzentren und eigenen DV-Abteilungen diese Auflage erfüllbar. Bei Bürocomputern, die aufgrund ihrer Anspruchslosigkeit oft in allgemein zugänglichen Räumen stehen, ist eine Zugangskontrolle in der Regel schwer zu gewährleisten. Eine denkbare Lösung besteht in der Erteilung einer allgemeinen Befugnis an diejenigen Personen, die im betreffenden Raum arbeiten.

Abgangskontrolle

(Anlage zu ° 6, Abs. 1, Satz 1, Nr. 2)

Schwieriger noch als die Zugangskontrolle erweist sich die Realisierung einer Abgangskontrolle, da das unbefugte Entfernen von Datenträgern verhindert werden soll. Das Problem zeigt sich hierbei in zweifacher Weise: einmal unter rein organisatorischen Gesichtspunkten, zum anderen unter einem psychologischen Aspekt. Werden beispielsweise beim Verlassen einer DV-Stelle Visitationen durchgeführt, so liegt darin ein zusätzlicher Kostenfaktor, insbesondere dann, wenn bei dezentralisierter Datenverarbeitung mehrere Kontrollstellen eingerichtet werden müssen. Das psychologische Problem ergibt sich dadurch, daß den Mitarbeitern permanent eine unrechtmäßige Entwendung personenbezogener Daten unterstellt wird und somit das Betriebsklima eine empfindliche Belastung erfährt. Die wirkungsvollste Maßnahme wäre hier der ausschließliche Einsatz von voluminösen Datenträgern, die nicht unbemerkt mitgenommen werden können. Das läuft jedoch konträr zum Trend der hochverdichteten Speicherung auf kleinen Platten, Floppies und Kassetten. Für die hier betrachteten Betriebe ist eine wirksame Abgangskontrolle kaum zu realisieren.

Speicherkontrolle

(Anlage zu ° 6, Abs. 1, Satz 1, Nr. 3)

Die Speicherkontrolle soll die unbefugte Eingabe, Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten verhindern.

Größere Bildschirmsysteme fangen die Speicherungskontrolle über die Software mit differenzierten Paßworten ab Closed-shop-Betriebe lösen diese Kontrollaufgaben über die Organisation mit geregelten Zugangs- und Auftragskompetenzen.

Die Schwierigkeiten bei Bürocomputern ergeben sich aus Hard- und Software. Relativ kleine Hauptspeicher lassen nur entsprechend kleine Anwendungsprogramme zu. Diese Anwendungsprogramme müssen auch die Speicherkontrolle übernehmen, was im allgemeinen schwerlich durchführbar ist. Außerdem müssen sämtliche laufenden Programme, die personenbezogene Daten verarbeiten, entsprechend überarbeitet werden.

Mittlere Systeme, die über ein Betriebssystem verfügen, können zwar die generelle Zugriffsberechtigung auf ein Programm oder einen Datenbestand realisieren. Eine differenzierte Zugriffshierarchie ist jedoch in der Regel auch hier nur über die Anwendungsprogramme zu verwirklichen.

Benutzerkontrolle

(Anlage zu ° 6, Abs. 1, Satz 1, Nr. 4)

Sie gilt nur für Datenfernverarbeitungssysteme und soll eine unbefugte Benutzung verhindern. Darunter fallen zum Beispiel Betriebe, die über Terminals an das eigene oder ein fremdes Rechenzentrum angeschlossen sind. Die Benutzerkontrolle kann bei solchen Systemen über die Hard- und Software abgefangen werden, weil alle DFÜ-fähigen Systeme heute mit Schlüsseln und Password-Abfragen ausgestattet sind.

Zugriffskontrolle

(Anlage zu ° 6, Abs. 1, Satz 1, Nr. 5)

Hier wird die im Punkt "Speicherkontrolle" bereits erwähnte Einschränkung der Zugriffsberechtigung auf bestimmte Teildaten gefordert.

Hat ein Mitarbeiter Zugang zur Datenverarbeitungsanlage, so muß durch die Zugriffskontrolle sichergestellt werden, daß er ausschließlich zu den Daten Zugriff hat, die er zur ordnungsgemäßen Verrichtung seiner Aufgabe benötigt.

Übermittlungskontrolle

(Anlage zu ° 6, Abs. 1, Satz 1, Nr. 6)

Sie gilt wie die Benutzerkontrolle nur für Datenfernverarbeitungssysteme. Die Übermittlungskontrolle erfordert Maßnahmen, die es ermöglichen, diejenigen Stellen zu ermitteln und zu überprüfen an die personenbezogene Daten durch selbsttätige Einrichtungen übermittelt werden können. Durch eine entsprechende Dokumentation der bei der Übermittlung eingesetzten Programme kann diese Kontrollpflicht erfüllt werden.

Eingabekontrolle

(Anlage zu ° 6, Abs. 1, Satz 1, Nr. 7)

Diese Vorschrift verlangt, daß nachträglich überprüft und festgestellt werden kann, wer wann welche personenbezogenen Daten eingegeben und gespeichert hat. Sie steht in Anlehnung zur Speicherkontrolle, die die unbefugte Eingabe verhindern soll.

Auf jeden Fall bedeutet die Eingabekontrolle eine erhebliche zusätzliche Belastung, da zu jedem eingegebenen personenbezogenen Datum ein entsprechendes Protokoll geführt werden muß. Die Protokollaufzeichnung führt zu einem weiteren Datenbestand, der gegebenenfalls auch personenbezogene Daten enthält. Er kann über eine zusätzliche Peripherieeinheit gespeichert werden, was bei kleinen Systemen zu unverhältnismäßig hohen Zusatzkosten führt. Wird er auf einem vorhandenen Direktzugriffsspeicher mitgeführt, muß er gegen unberechtigte Auswertung besonders geschützt werden.

Transportkontrolle

(Anlage zu ° 6, Abs. 1, Satz 1, Nr. 9)

Bei der Transportkontrolle ist sicherzustellen, daß bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, verändert oder gelöscht werden können. Daher sollten Datenträger mit personenbezogenen Daten grundsätzlich in zu verschließenden Behältnissen transportiert werden. Ansonsten gelten die Daten durch das Brief- und Fernmeldegeheimnis als ausreichend geschützt; besondere Verschlüsselungen sind bei der Datenfernübertragung folglich in der Regel nicht notwendig.

Organisationskontrolle

(Anlage zu ° 6, Abs. 1, Satz 1, Nr. 10)

Die innerbetriebliche Organisation muß so gestaltet sein, daß sie den Anforderungen des BDSG gerecht wird. Dies ist im Grunde eine Leerformel, die nur sicherstellen soll, daß die durch die Punkte 1 - 9 ausgelösten Maßnahmen auch organisatorisch eingebunden werden.

Aus der Verpflichtung der speichernden Stellen zur Auskunftserteilung ergibt sich die Anforderung an die Software, daß alle zu einer Person gespeicherten Daten aufgefunden werden müssen, auch wenn diese gegebenenfalls unter anderen Such-Einheiten abgelegt sind.

Der Anspruch der Betroffenen auf Korrektur fehlerhafter Daten ergibt keine Software-Anforderungen, weil schlechterdings keine Dateiverwaltung ohne Korrekturfunktion vorstellbar ist. Das gilt auch für das Löschen von Daten.

Die Möglichkeit zur Sperrung von nicht mehr benötigten Daten kann die Datenverarbeitung aber deutlich vereinfachen, da für gesperrte Daten auch viele der sonst bestehenden Pflichten entfallen. Datenverarbeitungssysteme sollten daher Sperrmöglichkeiten für ganze Sätze beziehungsweise Satzteile umfassen. Die konventionelle Dateibearbeitung durch das Anwenderprogramm läßt dies auch zu; allerdings müssen dann alle Verarbeitungsprogramme modifiziert werden. Ein einfacher Weg zur Sperrung liegt in der Auslagerung der Daten auf einen speziellen Datenträger, der insgesamt als "gesperrt" gilt und nicht verarbeitet wird.

*Prof.Dr. Rainer Thome, Lehrstuhl für Informatik und Betriebswirtschaftslehre, Universität Heidelberg