Konkrete Datenschutz-Maßnahmen ergreifen

Datenschutz, Teil 6

Akten Ordner mit Kette verschlossenDatenschutz ist eine vertrauensbildende Maßnahme. Dafür muss er aber mit Leben gefüllt sein. Mit konkreten Maßnahmen und bewussten Entscheidungen wird aus einer gesetzlichen Vorgabe eine individuelle Unternehmensregelung. Der sechste Teil unserer Datenschutz-Serie.

Im letzten Monitor-Beitrag “Mit Datenschutz Vertrauen schaffen” ging es darum, wie Berater und Vermittler mit Datenschutz ganz allgemein Vertrauen – bei ihren Kunden – schaffen können. Dieses Vertrauen ist aber nur mit konkreten Maßnahmen zu rechtfertigen. Einen besonderen Bereich hält das Bundesdatenschutzgesetz für besonders schützenwert.

Ein zentraler Punkt im Unternehmens-Datenschutz ist die Ausarbeitung der „technischen und organisatorischen Maßnahmen (TOM)“. Das BDSG beschreibt in §9 und der Anlage zu §9 die konkreten Bereiche, für die TOMs zu definieren sind.

Der Passus im BDSG – §9:

Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Und in der Anlage zu §9 lautet:

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind.

Diese beiden Passagen beinhalten mehrere, sehr allgemein gehaltene Aspekte:

Die TOMs beziehen sich – in der Anlage zu §9 – auf die automatisierte Verarbeitung und Nutzung. Bedeutet dies, dass Papierakten automatisch außen vor sind? Aus Experten-Sicht ist diese Frage mit einem klaren Nein zu beantworten, denn in §9 steht nichts von „automatisiert“. Klar ist jedoch auch, dass das Risiko des Datenmissbrauchs bei Papierakten um ein Vielfaches geringer ist als bei elektronisch- automatisiert verarbeiteten Daten.

Der zweite allgemeine Aspekt in diesem Zusammenhang ist die Aussage, dass Maßnahmen nur erforderlich sind, wenn der Aufwand im angemessenen Verhältnis zum Schutzzweck steht. Jetzt ist der Berater wieder als Unternehmer gefragt. Seine erste Aufgabe ist es, den Schutzzweck für die Daten zu bestimmen! Danach sollte er sich mögliche Maßnahmen überlegen, die es ihm erlauben, die Daten nach ihrem Schutzzweck zu schützen und den Aufwand zur Realisierung dieser Maßnahme(n) abzuschätzen. Abschließend ist zu beurteilen, ob der Aufwand für das Unternehmen in einem angemessenen Verhältnis zum Schutzzweck steht. Das ist eine sehr individuelle Einschätzung und Abwägung des möglichen Risikos. Wichtig ist dabei, sich tatsächlich bewusst gegen eine Schutz-Maßnahme zu entscheiden, wenn der Aufwand zu hoch wäre. Diese Entscheidung sollte unbedingt schriftlich dokumentiert sein. Die Dokumentation dient als Nachweis dafür, ein bestimmtes Risiko bewusst aber aus nachvollziehbaren Gründen eingegangen zu sein! Das hinterlässt erfahrungsgemäß bei den Betroffenen und auch bei der möglicherweise eingeschalteten Aufsichtsbehörde einen ganz anderen Eindruck als einfach nur „gedankenlos nichts unternommen zu haben“.

Die dritte allgemeine Aussage in diesem Zusammenhang ist das Thema geeignete Maßnahmen: Auch hier überlässt das Gesetz einem selbst die konkrete Ausarbeitung. Das ist auch gut so, denn welche Maßnahmen sind schon allgemeingültig – unabhängig von Branche, Daten, Unternehmensumfeld, Unternehmensgröße, Stand der Technik …? Dennoch macht das BDSG auch hier wieder die klare Vorgabe: Der Unternehmer muss eine Entscheidung zum Datenschutz treffen – welche auch immer geeignet ist. Nichtstun ohne vorhergehende Entscheidung ist keine geeignete Maßnahme. Nichtstun mit bewusster, dokumentierter Entscheidung und Risikoabwägung kann dagegen schon geeignet sein!

Besonders zu beleuchten ist der konkret genannte Bereich in der Anlage zu §9, für den Maßnahmen zu definieren sind.

Zutrittskontrolle: Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Zutritt bedeutet:

  • Wie kommt man in das Gebäude, indem die Datenverarbeitungsanlagen stehen?
  • Wie kommt man in den Raum im Gebäude, indem die Datenverarbeitungsanlagen stehen?

Bei großen Unternehmen ist diese Zutrittskontrolle meist sehr klar geregelt:

  • Zugangskarten für Mitarbeiter
  • „Empfang“ / Pforte für Besucher und dort werden Besucherausweise erstellt
  • Regelungen, dass Besucher während ihres kompletten Aufenthalts innerhalb des Unternehmens von einem Mitarbeiter begleitet werden müssen
  • separate Berechtigungen für den Zugang zu Serverräumen für berechtigte Mitarbeiter

Das kann für ein kleines Unternehmen oder gar einen Einzelkämpfer natürlich nicht die geeignete beziehungsweise die „in einem angemessenen Verhältnis zum Aufwand stehende“ Maßnahme sein.

Dennoch: Auch kleine Unternehmen können es sich nicht leisten, Unbefugte (also beispielsweise Besucher) unbeaufsichtigt in das Unternehmensgebäude oder in den Raum mit der Datenverarbeitungsanlage zu lassen. Eine einfache und sicherlich auch geeignete Maßnahme könnte sein: Das Bürogebäude und auch den „Server-Raum“ abzuschließen, wenn niemand da ist. Bei Einzelkämpfern ist der „Server-Raum“ oft das eigene Büro und der „Server“ der eigene Rechner.

Auch der Raum, in dem die Papierakten „verarbeitet“ werden – sprich abgestellt / abgelegt sind – sollte für „Unbefugte“ tabu (= abgeschlossen) sein, wenn kein Berechtigter im Raum ist. Drei Ordner aus einem Raum zu entfernen, wenn man sich alleine im Raum befindet, ist im Zweifel ganz einfach. Und ob jemand gleich bemerkt, dass die drei Ordner fehlen? Und wie ist den Kunden zu erklären, dass ihre Unterlagen jetzt bei irgendjemandem sind, nur nicht mehr im Büro des Maklers oder Finanzberaters?

Kontakt:

Startklar – Rose MüllerBild Rose Mueller
Bei der Kelter 5
74321 Bietigheim-Bissingen

Telefon: 07142 3392343
Fax: 07142 9669588
Mobil: 01577 3366800
E-Mail: dsb@startklar-rosemueller.de
Web: www.startklar-rosemueller.de