Datenschutz = Datensicherheit

Zutritt, Zugang oder Zugriff?

Regina Mühlich ist Inhaberin der Managementberatung AdOrga Solutions. Sie ist anerk. und gepr. Sachverständige für IT und Datenschutz, Datenschutz-Auditorin und Datenschutzbeauftragte sowie Qualitätsmanagementbeauftragte und Projektmanagerin. Sie war über 20 Jahre in internationalen Unternehmen als COO, Leiterin Projekt-, Qualitätsmanagement und Konzerndatenschutzbeauftragte tätig.
Halbwissen oder gar Unwissenheit ist nicht nur unsexy, sondern in diesem Fall für Unternehmen sogar gefährlich. Bei Nichteinhaltung der datenschutzrechtlichen Anforderungen drohen empfindliche Geldbußen bis weit in den sechsstelligen Eurobereich sowie Haftstrafen von bis zu zwei Jahren. Trotzdem wissen viele Unternehmer teils nicht, wie Datenschutz in der Praxis richtig funktioniert.

Mit Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- sowie der Datentrennungs-Kontrolle kennt Paragraf 9 des Bundesdatenschutzgesetzes (BDSG) acht sogenannte technische und organisatorische Maßnahmen, die zu treffen sind, um den Datenschutz zu gewährleisten. Übergeordnetes Ziel ist die Datensicherheit, welche einen ergänzenden Aspekt des Datenschutzes darstellt. Allein schon die begriffliche Nähe der Worte Zutritts-, Zugangs- und Zugriffskontrolle legen einen definierten Blick und Obacht im täglichen Umgang nahe.

Im Einzelfall muss jedes Unternehmen prüfen, welche der einzelnen Maßnahmen zweckmäßig und umsetzbar sind.
Im Einzelfall muss jedes Unternehmen prüfen, welche der einzelnen Maßnahmen zweckmäßig und umsetzbar sind.
Foto: Marco2811 - Fotolia.com

Zutrittskontrolle - "Draußen vor der Tür"

Zutrittskontrolle meint im Datenschutz, Maßnahmen zu ergreifen, die verhindern, dass unbefugte Personen den physikalischen Zutritt zu Datenverarbeitungsanlagen erhalten. Dazu zählen im weitesten Sinn Computer jeder Art - Server, PC, Notebook, Smartphone, Kopierer und andere Geräte, die sich zur Verarbeitung personenbezogener Daten eignen. Unbefugte Personen sind all jene, welche sich aufgrund der ihnen zugewiesenen Aufgaben nicht bei den entsprechenden Geräten aufhalten müssen.

Ziel ist es, die Möglichkeit unbefugter Kenntnis- oder Einflussnahme von vornherein auszuschließen. Die Schutzmaßnahmen sollen mit zunehmender Sensibilität der Daten entsprechend steigen. Maßnahmen im Rahmen der Zutrittskontrolle sind:

  • Empfang mit Personenkontrolle sowie das Tragen von Firmen-/ Besucherausweisen

  • Verschlossene Türen

  • Alarmanlage

  • Videoüberwachung und Wachdienst

  • Schlüssel- und Chipkartenregelung sowie biometrische Einlass-Systeme

  • Einbruchhemmende Fenster

Zugangskontrolle - "Nur für Befugte"

Die Zugangskontrolle verhindert die Nutzung der Datenverarbeitungsanlagen durch Unbefugte. Während die Zutrittskontrolle den physikalischen Zutritt verhindert, unterbindet die Zugangskontrolle die Nutzung des Systems. Dabei dürfen Unternehmen die Angreifbarkeit von außen via Datenverbindung (Internet) keinesfalls außer Acht lassen - ein bedeutendes Einfallstor für Cyberkriminelle und Datendiebe. Folgende Maßnahmen können ergriffen werden, um den unerlaubten Zugang zu personenbezogenen Daten zu verhindern:

  • Bildschirmschoner mit Passwortschutz

  • Passwortrichtlinie

  • Magnet- und Chipkarte

  • Benutzername und Passwort

  • PIN-Verfahren

  • Einsatz von Spamfilter und Virenscanner

  • Biometrische Verfahren

Zugriffskontrolle - "Deine, meine und unsere Daten"

Die Zugriffskontrolle stellt sicher, dass ausschließlich befugte Personen Zugriff auf personenbezogene Daten, Programme, und Dokumente erhalten. Die Berechtigung ergibt sich aus der Aufgabenzuweisung und der Organisation des Betriebes. Wichtig: Der Vorgesetzte eines befugten Mitarbeiters verfügt nicht automatisch über eine Zugriffsberechtigung. Ein unbefugtes Lesen, Kopieren, Verändern oder Löschen personenbezogener Daten während ihrer Verarbeitung, Nutzung oder Speicherung soll ausdrücklich verhindert werden.

Eine Zugriffsmatrix dokumentiert unter Zuhilfenahme eines Berechtigungskonzepts, welcher Mitarbeiter auf welche Daten und Programme Zugriff hat. Bei der Verwendung mobiler Datenträger und Endgeräte wie USB-Sticks, Notebooks oder Kameras verdient die Zugriffskontrolle erhöhte Aufmerksamkeit. Datensicherheit sollte hier auch durch den Einsatz eines entsprechenden Verschlüsselungsverfahrens sichergestellt werden. Maßnahmen der Zugriffskontrolle sind:

  • Erstellen eines Berechtigungskonzepts

  • Einrichten von Administratorenrechten

  • Verschlüsselung der Datenträger

  • Regelungen für den Gebrauch von mobilen Datenträgern und Endgeräten

  • Verschlüsselung des WLAN

  • Löschung wiederbeschreibbarer Datenträger und deren datenschutzkonforme Vernichtung

Letztendlich schließen Zutritts-, Zugangs- und Zugriffskontrolle jeweils nahtlos aneinander an. Im Einzelfall muss daher jedes Unternehmen prüfen, welche der einzelnen Maßnahmen zweckmäßig und umsetzbar sind. Nicht nur aufgrund der engen Begrifflichkeiten. Um kostspielige Missverständnisse in der Datensicherheit zu vermeiden, braucht es Sorgfalt und Expertise. Professioneller Datenschutz und Datensicherheit gehen Hand in Hand - zum Schutz vor Strafe und vor allem des eigenen Unternehmens. (bw)