“Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst.” Der Satz, per copy&paste eingefügt, steht auf vielen Unternehmensseiten im Internet. Mehrere Rechtsanwälte stellen ein Muster für eine Datenschutzerklärung zur Verfügung, das mittels Generator individuell angepasst werden kann. So weit, so gut.
Fragt man die Seitenbetreiber: “Wie machen Sie das konkret, meine persönlichen Daten zu schützen?”, die Antwort wäre Schulterzucken, der Verweis auf den Administrator oder den Datenschutz-Generator . “Unser Unternehmen ist viel zu klein, um für irgendwelche Hacker interessant zu sein”, sagt so mancher ausgelastete Geschäftsinhaber. Bisher sei immer alles gut gegangen. So weit, so schlecht.
Zum Datenschutz gehört mehr als eine Absichtserklärung. Der Schutz der Daten muss auch sichergestellt werden. Das geschieht am besten mit einer IT-Richtlinie, die nicht nur den Datenschutz im engeren Sinne, sondern auch Fragen der Datensicherheit und der IT-Sicherheit umfasst.
Die Begriffe Datenschutz, IT-Sicherheit und Datensicherheit
Datenschutz, IT-Sicherheit und Datensicherheit werden oft falsch verstanden. Die Begriffe folgen tatsächlich keiner einheitlichen Definition und überschneiden sich in manchen Bereichen. Die folgenden Erläuterungen sollen als Orientierung und als Abgrenzung dienen, besonders im Blick auf kleinere Unternehmen, die keine eigene IT-Abteilung besitzen und auch nicht verpflichtet sind, einen Datenschutzbeauftragten zu bestellen. Was im Einzelnen zu beachten ist:
Datenschutz
Mit Datenschutz sind alle Maßnahmen zum Schutz des Einzelnen bezogen auf seine persönlichen Daten gemeint. Er dient dem Schutz der Privatsphäre eines jeden Menschen. Persönliche Daten sollen weder missbraucht noch ungefragt weitergegeben werden. Jeder Mensch soll grundsätzlich selbst entscheiden können, welche seiner Daten wem und wann zugänglich sein sollen. Dieses Recht auf informationelle Selbstbestimmung leitet sich nach Ansicht des EU-Parlaments aus Art. 8 Abs. 1 der Europäischen Menschenrechtskonvention ab.
Datensicherheit
Im Unterschied zum Datenschutz befasst sich die Datensicherheit mit dem Schutz von Daten, unabhängig davon ob diese einen Personenbezug aufweisen oder nicht. Grundsätzlich geht es um alle Informationen, also auch Geschäftskonzepte, Konstruktionspläne, Steuerunterlagen etc. Datensicherheit betrifft sämtliche Maßnahmen zum Schutz von Daten vor Manipulation, Verlust oder unberechtigter Kenntnisnahme, egal ob sie in analoger oder digitaler Form vorhanden sind. Im Bundesdatenschutzgesetz (BDSG) finden sich eine Reihe technischen und organisatorischen Maßnahmen, die die Datensicherheit garantieren sollen. Sowohl der Zugang zum Computer als auch zu Papierordnern oder Arbeitsmappen muss in Räumen mit Publikumsverkehr verhindert werden.
IT-Sicherheit
Davon zu unterscheiden ist die Sicherheit von IT-Systemen. Hier geht es nicht nur um den Schutz vor unbefugtem Zugang, sondern auch um die Sicherstellung, dass die Daten verfügbar sind, regelmäßige Datensicherungen vorgenommen werden. Vorhandene IT-Systeme müssen zuverlässig funktionieren, die Wege der technischen Verarbeitung müssen genauso abgesichert sein, wie der Speicherort.
Was ist zu schützen?
In diesen drei Bereiche lassen sich unterschiedliche Schutzziele beschreiben:
- Vertraulichkeit: Daten dürfen nur von befugten Personen eingesehen und verwendet werden.
- Integrität: Daten müssen korrekt, unverändert und verlässlich verwendet werden. Daten dürfen nicht verfälscht werden, sei es durch unsachgemäße Benutzung oder fehlerhafte Funktion von Soft-/ Hardware.
- Authentizität: Die Echtheit, Zuverlässigkeit und Verbindlichkeit von Daten muss sichergestellt sein.
- Verfügbarkeit: Sowohl die Daten als auch die verwendeten Programme oder Ressourcen müssen jederzeit genutzt werden können.
Was eine IT-Richtlinie beinhalten sollte
Eine IT-Richtlinie beschreibt die vom Unternehmen getroffenen Maßnahmen zum Schutz von (personenbezogenen) Daten vor unbefugter Kenntnisnahme durch Dritte oder nichtberechtigte Mitarbeiter. Sie informiert alle Beteiligten, wie mit Daten umgegangen werden soll. Sie gilt für alle Beschäftigten des Unternehmens (Fest- und Teilzeitangestellte, Auszubildende, Werkstudenten und Aushilfskräfte etc.) sowie externe Personen, die regelmäßig im Unternehmen tätig sind. Die IT-Richtlinie muss dementsprechend verbindlich kommuniziert werden. Das Unternehmen muss sicherstellen, dass die genannten Personen die erforderlichen Schulungen und Instruktionen erhalten. Im Einzelnen werden Regeln für den Umgang mit E-Mails, mit dem Internet, mit Nutzerkonten und Passwörtern, für die Installation und den Gebrauch von Programmen und dem Verhalten bei Sicherheitsvorfällen definiert.
So wird sichergestellt, dass die Aussage “Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst”, nicht nur ein hehres Versprechen bleibt, sondern jederzeit überprüft werden kann. Dann wird im Unternehmen aus Schulterzucken ein Schulterklopfen.