Wie bereits in Teil 7 angekündigt, komme ich heute zum technischen Teil des Datenschutzes, wenn man das einmal so benennen will.
Vorschriften hierüber finden Sie in § 9 BDSG
“Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.”
Wie die Maßnahmen zu gestalten sind, wird in der Anlage zu § 9 BDSG, auf die ich nachfolgend eingehen möchte, eindeutig festgelegt:
Erst einmal gilt der Grundsatz
“Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,”
Wesentlich an Satz 2 der Anlage ist, dass die Maßnahmen entsprechend der Art der zu schützenden personenbezogenen Daten oder Datenkategorien zu treffen sind, d. h. je nach Art der Daten oder Datenkategorien können die Maßnahmen entsprechend ihrer Sicherheit gestaffelt sein. Personaldaten, die überwiegend auch sensible Daten beinhalten, sind natürlich schützenswerter, als einfache Stammdaten von Kunden, wie z. B. Adressdaten.
Dieses ist immer im Auge zu behalten, wenn es um die konkrete Maßnahme geht.
Zutrittskontrolle (Anlage zu § 9 Satz 2 Nr. 1 BDSG)
” 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle)”
Gemeint ist, dass nur ausschließlich hierzu befugte Personen Zuritt zu den Räumlichkeiten erhalten, in denen die Datenverarbeitung stattfindet, also überwiegend den Serverraum. Hier sollte auf entsprechende Schlösser oder sonstige Sicherheiten zur Verschließbarkeit geachtet werden.
Zugangskontrolle (Anlage zu § 9 Satz 2 Nr. 2 BDSG)
”2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle)”
Hier geht es um die Sicherheit betreffend den Zugang, wie z. B. Passworte, biometrische Prüfung (Fingerprint) etc.. Hier haben Sie freie Gestaltungsmöglichkeiten, die Sicherheit entsprechend zu gestalten. Z. B. kann festgelegt werden, dass automatisch nach einem vorgegebenen Zeitpunkt ein neues Passwort verlangt wird, dieses eine bestimmte Länge hat, aus Buchstaben, Zahlen, Sonderzeichen, Groß- u. Kleinschreibung bestehen muss, eine Wiederholung des vorherigen Passwortes nicht zulässig ist und vieles mehr. Denken Sie aber bitte auch an das Eingangs bereits Gesagte bezüglich der Sensibilität der zu schützenden Daten und der Abstimmung der Maßnahmen hierauf und auch, dass die Sicherheitsmaßnahme auch noch praktikabel sein sollte.
Zugriffskontrolle (Anlage zu § 9 Satz 2 Nr. 3 BDSG)
“3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),”
Ein vielfach vernachlässigter Punkt. Oft stelle ich bei Beratungsgesprächen fest, dass Mitarbeiter umfassenden Zugriff im System haben, ohne, dass es hierfür einen Grund gibt. So sollten Zugriff auf Personaldaten ausschließlich die Personen haben, die mit Personaldaten arbeiten, gegebenenfalls noch der direkte Vorgesetzte aber auch dieser nur auf für ihn notwendig Daten. Diese Zugriffskontrolle erreichen Sie mit einer gut geplanten Rechteverwaltung, also z. B. Einrichtung von Gruppen mit bestimmten Rechten und Zuweisung von Personen an diese Gruppen, so dass die Verwaltung der Rechte ohne große Probleme durchgeführt werden kann. Überprüfungen haben ergeben, dass auch trotz einer guten Rechteverwaltung in einigen Unternehmen die Auszubildenden nach den Administratoren die umfangreichsten Rechte haben, die zwar Rechte vergeben, aber selten gepflegt, also wieder entzogen werden, wenn sie für die Bearbeitung nicht mehr notwendig sind. Da die Auszubildenden von Abteilung zu Abteilung “wandern”, erhalten diese notwendigerweise Rechte aus jeder Abteilung, aber niemand fühlt sich dafür zuständig, diese auch wieder zu entfernen.
Weitergabekontrolle (Anlage zu § 9 Satz 2 Nr. 4 BDSG)
“4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),”
Bei dieser Vorgabe geht es darum, einen fehlerfreien Prozess für die Übertragung oder Speicherung auf Datenträger der Daten zu gewährleisten. Hier hilft bezüglich Übertragung z. B. eine gute Verschlüsselung, bezüglich Transport auf Datenträger z.B. verschließbare Boxen etc.
Eingabekontrolle (Anlage zu § 9 Satz 2 Nr. 5 BDSG)
“5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle)”
Diese Kontrolle können Sie nur durch permanente Protokollierung nachweisen. Dabei muss ein Protokoll die Tätigkeit und die Identität desjenigen festhalten, der die Tätigkeit vorgenommen hat. Achten Sie jedoch darauf, dass die Protokolldaten nur zu diesem Zweck verwendet werden dürfen und nicht etwa dazu, die Arbeitsleistung des Mitarbeiters zu bewerten.
Auftragskontrolle (Anlage zu § 9 Satz 2 Nr. 6 BDSG)
“zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),”
Dieser Punkt kommt nur bei der Auftragsdatenverarbeitung zum Zuge, also einer Tätigkeit, die in einer Anwaltspraxis im Normalfalle nicht vorkommt, da dort Daten für eigene Zwecke verarbeitet werden.
Verfügbarkeitskontrolle (Anlage zu § 9 Satz 2 Nr. 7 BDSG)
“zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),”
Es muss sichergestellt werden, dass Daten gegen Verlust oder Zerstörung geschützt werden. Auch hier ist wieder auf die Verhältnismäßigkeit hinzuweisen. Hier spielen sowohl Gefährdungslage als auch unterschiedliche Einflussfaktoren eine Rolle.
Nehmen wir z. B. die Datensicherung. Hier ist zu prüfen, welche Datensicherungsintervalle anhand der Datenstruktur, des Datenumfanges, des Bearbeitungsumfanges (also Aktualisierungsintervalle etc.) notwendig sein werden, ob eine Vollsicherung oder nur die Sicherungs der Bewegungsdaten und wenn nur diese, ob nur die hinzugekommenen und geänderten Daten täglich oder in welchen Zeitabständen gesichert werden sollen. Ob diese Sicherung auf externen Datenträgern über Datenleitung übertragen (also z. B. in die Cloud) oder auf Datenträger, wie Wechselplatte, Magnetband, CD, DVD etc. erfolgen soll. Hiervon abhängig ist dann auch die Frage der Aufbewahrung des Sicherungsmedium. Es wird wenig Sinn machen, die Datensicherungsmedien neben dem Server oder im gleichen Gebäudekomplex zu lagern, wenn beides gleichzeitig durch Feuer vernichtet werden kann.
Hierzu gehört aber auch der Schutz gegen Diebstahl, die unterbrechungsfreie Stromversorgung und viele Dinge mehr.
Trennungsgebot (Anlage zu § 9 Satz 2 Nr. 8 BDSG)
“zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.”
Für die Möglichkeit der Trennung von Datenbeständen gibt es viele Gründe. Nehmen wir z. B. die Speicherung von Protokolldaten aus der Eingabekontrolle. Diese sind getrennt zu halten. Es kommt immer auf den jeweiligen Zweck der Erhebung an. Wenn Sie z. B. eine Werbemaßnahme durchführen, also z. B. E-Mails an Ihre Mandanten senden und feststellen wollen, ob diese von den Mandanten geöffnet wurden, führen Sie ein Tracking durch. Dieses ist auch ohne vorherige Einwilligung möglich, wenn die Daten anonymisiert erhoben und getrennt von den Mandantenstammsätzen gehalten werden. Sobald eine Zusammenführung möglich ist, ist dieses ohne ausdrückliche Einwilligung unzulässig. Teilweise sind auch verschiedene Tables innerhalb der Datenbank notwendig. So sind sensible Personaldaten nicht jedem zugänglich zu machen, auch nicht allen Mitarbeitern der Personalabteilung. Hier benötigen Sie eine Rechtevergabe auf Datensatzebene, d. h. dass nur teilweise Zugriff auf den Personalsatz (ohne sensible Daten, wie Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben etc.) möglich ist.
So, dass war in groben Zügen der technische Teil des Bundesdatenschutzgesetzes.
Ich hoffe, die einzelnen Beiträge haben Sie für die Problematik des Datenschutzes auch in der Anwaltskanzlei sensibilisiert und ich hoffe auch, dass Sie einen Datenschutzbeauftragten bestellt haben. Sobald Sie Personaldaten in Ihrer Kanzlei verarbeiten, verarbeiten Sie auch sensible Daten nach § 3 Abs. 9 BDSG. Es handelt sich hierbei um
“besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.”
Wenn Sie solche Daten verarbeiten, oder z. B. einer Persönlichkeitsbewertung dienen, hat eine Vorabprüfung nach § 4d Abs. 5 stattzufinden. Zuständig hierfür ist nach § 4d Abs. 6 der Beauftragte für den Datenschutz.
Sollten Sie also bisher keinen Beauftragten für den Datenschutz bestellt haben, sollten Sie dieses vielleicht jetzt ins Auge fassen. Selbstverständlich können Sie auch einen externen Datenschutzbeauftragten bestellen, was teilweise erhebliche Vorteile mit sich bringt (Vermeidung Kündigungsschutz, Vermeidung von Schulungen etc.).
Sollten Sie hierzu Fragen haben, können Sie sich gerne an mich wenden.