Datenschutz in der IT-Abteilung

Wehe, wenn der Prüfer kommt?

26.08.2008
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.

Wedde: Aus strafrechtlicher Sicht könnte ein CIO im Bereich des Datenschutzes verleitet sein, einmal ein Auge zuzudrücken - hier stehen die ausgesprochen lächerlichen Strafen des Bundesdatenschutzgesetzes in keinem Verhältnis zur Schwere der Vergehen. Anders sieht es da schon mit einschlägigen Straftatbeständen im Strafgesetzbuch aus, die unzulässige Zugriffe auf bestimmte Daten und Informationen mit teilweise hohen Gefängnisstrafen sanktionieren. Im Bereich des Zivilrechts sollten CIOs ebenfalls Sorge haben - da können schnell große Summen an Schadensersatzforderungen zusammenkommen, wenn sie im Falle des Falles von Betroffenen oder von den eigenen Arbeitgebern belangt werden.

Gleiches Recht für alle

CW: Mehr Vorsicht ist also angebracht.

Wedde: Die gibt es schon, nur nicht in allen Bereichen. Viele IT-Leiter achten sehr genau auf Datensicherheit - darauf, dass regelmäßig gesichert wird, damit keine Daten verloren gehen. Die "Kleinigkeiten", etwa wie mit den Daten im Alltagsgeschäft umgegangen wird und wer Zugriffs- oder Zugangsrechte zu sensiblen Bereichen hat, interessieren indes oft weniger. Wozu braucht beispielsweise ein CIO oder IT-Leiter, der für das Tagesgeschäft gar nicht mehr zuständig ist, noch ein eigenes Admin-Passwort mit umfassenden Rechten oder einen eigenen Zugangsschlüssel zu allen Bereichen eines Rechenzentrums? Viele leitende Mitarbeiter bekommen solche weitgehenden Rechte qua Position automatisch zugesprochen, ohne dass sie sie wirklich brauchen und ohne dass sich jemand Gedanken darüber macht, dass mit jeder Person, die einen nur wenig kontrollierten Zugang zu schützenswerten Informationen besitzt, auch das Risiko steigt.

CW: IT-Leiter müssen sich grundsätzlich überlegen, wie Zugriffsberechtigungen auf personenbezogene Daten ausgestaltet werden sollen?

Welche Strafen drohen

Bei Verstößen gegen das BDSG droht ein Bußgeld bis 250.000 Euro für besonders schwerwiegende, vorsätzliche Vergehen. Verstöße gegen das Telekommunikationsgesetz (TKG), beispielsweise das unerlaubte Mitlesen von Mitarbeiter-E-Mails werden mit bis zu 300 000 Euro Bußgeld belangt. Die gezielte Verletzung des Post- und Fernmeldegeheimnisses ist zudem ein Straftatbestand (§206 Strafgesetzbuch StGB), der gar mit bis zu fünf Jahren Freiheitsstrafe geahndet werden kann. Werden Daten von den Festplatten der Mitarbeiterrechner verändert beziehungsweise ohne Wissen des Betroffenen gelöscht, drohen nach §303a StGB bis zu zwei Jahre Freiheitsstrafe. Derart hohe Strafen wurden im Bereich Datenmissbrauch von deutschen Gerichten bisher aber noch nicht ausgesprochen, weshalb weiterhin viel Raum für juristische Interpretationen bleibt.

Wedde: Ja, oft werden IT-Mitarbeitern relativ unkontrollierte Möglichkeiten des Zugriffs auf Daten zugestanden. Im Arbeitsleben beginnt dies etwa schon mit Fernwartungssystemen und dem zentral gesteuerten Patch-Management. Wenn datenschutzkonform gearbeitet wird, müsste jeder Mitarbeiter auf seinem Rechner eine Meldung bekommen, wenn sich der Administrator Zugriff auf individuelle PCs oder Notebooks verschaffen möchte, um diesen oder jenen Patch zu installieren. Erst wenn der Mitarbeiter den Zugriff zulässt, findet die Aktion statt. Solche Verfahren gibt es in einer Reihe von Betrieben - aber nicht in allen. Es ist doch viel bequemer, ungefragt und ohne explizite Zustimmung diese Wartung zu betreiben. Ein eindeutiger Verstoß gegen das Datenschutzgesetz.

CW: Transparenz sieht anders aus.