Datenschutz ist keine Wahloption, sondern gesetzlich verankert

Jeder, der mit digitalen Prozessen vertraut ist und womöglich im geschäftlichen Umfeld damit zu tun hat, weiß: Datenschutz ist keine Philosophie, sondern stark praxisbezogen. Gerade in Unternehmen erfährt das Thema erst in den letzten Jahren die nötige Aufmerksamkeit, dabei sollten Datenschutz und Datensicherheit von Anfang an als relevante Faktoren in der Onlinepräsenz eine Rolle spielen. Dass das mittlerweile anders aussieht, ist vor allem der gesetzlichen Neuordnung zum Datenschutz verdanken und einer Vielzahl weiterer Richtlinien und EU-Verordnungen, die Regeln für das Interagieren im Internet aufstellen.

Wir bei LANSOL beschäftigen uns seit über zwei Jahrzehnten mit differenzierten IT-Lösungen, nicht allein in technischer Hinsicht. Gerade im Bereich von IT-Outsourcing und beim Einsatz von professionellen Cloud-Lösungen sehen wir, welchen Stellenwert das Thema mittlerweile hat. Im Folgenden möchten wir eine Erklärung zur Unterscheidung von „Datenschutz“ und „Datensicherheit“ geben – um anschließend die Grundlagen des gesetzlich verankerten Datenschutzes in Deutschland miteinzubeziehen.

Datenschutz – was ist das überhaupt?

Datenschutz in Deutschland hat viel mit juristischen Auseinandersetzungen zum Grundrecht auf informationelle Selbstbestimmung zu tun. Schon im Jahre 1983 war das Ganze ein Thema vor dem höchsten deutschen Zivilgericht, dem Bundesgerichtshof, als dieser in Bezug auf die damalige Volkszählung darlegte, dass Datenschutz eben durch diesen Passus im Grundgesetz gedeckt ist (Urteil vom 15.12.1983). Als Datenschutz wird demnach das eigene Recht verstanden, über die Erhebung, Verwendung und Weitergabe personenbezogener Daten selbst zu bestimmen. Eine Datenschutz Definition ist also in erster Linie durch die Gesetzgebung in Deutschland gegeben.

Doch allein das Bundesdatenschutzgesetz (BDSG) allein gibt nicht ausschließlich Auskunft darüber, was erlaubt ist und was nicht. Wer im Internet aktiv ist, insbesondere über Angebote vertretene Unternehmen, müssen gleichzeitig auch noch Regelungen aus dem Telekommunikationsgesetz (TKG) und anderen Gesetzen berücksichtigen. Gemäß des „lex specialis derogat legi generali“-Grundsatzes gilt, dass spezielle Regelungen aus einem Gesetz (Versicherungsvertrags-, Telekommunikationsgesetz u.a.) den allgemeinen Regelungen, die sich im Bundesdatenschutzgesetz wiederfinden, vorangehen.

Besondere Aspekte des Datenschutzes: Beispiel Datensicherheit

In Bezug auf Onlineangebote, also in digitaler Form vorliegende Daten verschiedener Art, hat vor allem die Datensicherheit als Teil des Datenschutzes eine bedeutende Funktion. Während Datenschutz prinzipiell den Grundsatz darlegt, bestimmte Daten ordnungsgemäß zu sichern und vor dem Zugriff unberechtigter Dritter zu schützen, bezeichnet Datensicherheit die tatsächlich hierfür getroffenen Maßnahmen technischer Art. Eine in der Form implementierte Form der Datensicherheit verbindet verschiedene Schutzaspekte.

• Confidentiality (Vertraulichkeit)

Im Umgang mit gespeicherten Daten gilt es, den Zugang hierzu ausschließlich autorisierten Anwendern zu ermöglichen und auch nur diesen die Rechte zur Modifizierung zu geben. Besondere Knackstellen ergeben sich in der Praxis insbesondere bei der Datenübertragung, weniger durch gezielte Angriffe auf Datenbestände eines Unternehmens. Ein wirksames Mittel der sicheren und verschlüsselten Datenübertragung stellt die Einbettung eines Verschlüsselungsprotokolls dar. Wir bei LANSOL setzen hier auf den „Transport Layer Security“-Standard (TLS), vormals bekannt unter der Bezeichnung „Secure Sockets Layer“ (SSL).

• Integrity (Integrität)

Jede Änderung an den gespeicherten Daten muss zweifelsohne dokumentiert sein, sodass im Nachhinein eindeutig nachvollziehbar ist, wer für welche Art im Speziellen verantwortlich ist.

• Availability (Verfügbarkeit)

Das System, auf welchem die Daten gesichert sind, muss vor typischen Gefahren geschützt sein. Hierzu zählt vor allem der wirksame Schutz vor Systemausfällen. Sichere Server, wie sie LANSOL in seinen zwei ISO 27001 und ISO 9001 zertifizierten Rechenzentren beheimatet, bieten ein hohes Maß an Sicherheit und Verfügbarkeit.

Wichtige Hinweise für die Praxis

Das beste System bringt nur halb so viel, wenn nur wenige damit umzugehen wissen. Beim Thema Datenschutz kommt erschwerend hinzu, dass eine Vielzahl von Mitarbeitern mitunter an der Dokumentenpflege und dem Datenmanagement mitwirken. So ergeben sich potenzielle Risiken in Form eines unsachgemäßen Gebrauchs ansonsten nach allen Grundlagen des Datenschutzes ausgelegter Systeme. In den folgenden Absätzen geben wir konkrete Hilfestellungen für Problemfelder in der Praxis, die Datenschutz oftmals einschränken.

• Mitarbeiterschulung

Mehrere Erhebungen legen dar, dass eine mangelnde Kenntnis aufseiten der Mitarbeiter mithin das größte Risiko im Bereich der Datensicherheit darstellt. Lediglich jedes dritte Unternehmen schult seine Mitarbeiter einmal jährlich, um diese auf den neuesten Stand von Recht und Technik zu bringen. Informationssicherheit ist tägliche Praxis, weshalb Mitarbeiterschulungen bereits vielfach Gefahren eindämmen.

Auch bei LANSOL orientieren wir uns nach den höchsten Standards, die technische und gesetzliche Komponenten gleichermaßen tangieren. Schulungen bei LANSOL werden durch einen extern bestellten Datenschutzbeauftragten durchgeführt. Dies stellt sicher, dass alle in unserem Hause tätigen Mitarbeiter zu jedem Zeitpunkt mit allen wesentlichen datenschutzrechtlichen Aspekten vertraut sind. Ein hohes Maß an Sicherheit, das wir bei der Konzeption unserer Produkte ebenso ansetzen.

• Einsetzung eines Datenschutzbeauftragten

Was in kleinen Unternehmen oftmals noch „nebenbei“ läuft, kann in größeren Firmen mit entsprechender Datenmenge zu einem echten Problem werden. § 4f BDSG sagt, dass im Unternehmen ein Datenschutzbeauftragter zu bestellen ist, sofern regelmäßig mehr als neun Mitarbeiter an der Verarbeitung personenbezogener Daten beteiligt sind.

Wie bereits im vorherigen Absatz dargelegt, orientieren wir uns im Hause LANSOL anhand höchster datenschutzrechtlicher Standards. Hierzu haben wir einen externen Datenschutzbeauftragten bestellt, welcher u.a. unsere Mitarbeiter schult und alle datensensiblen Bereiche unseres Geschäfts überwacht.

• Sicherung der IT-Infrastruktur

Der Einsatz von Standard-Betriebssoftware ist empfehlenswert, da regelmäßige Wartungen und Updates zur Sicherung der Systeme beitragen. Dennoch sind Hacker oftmals schneller, sodass Monat für Monat mehrere hundert neuer Computerviren im Netz zirkulieren. Absolute Pflicht ist eine Firewall sowie ein täglich auf den neuesten Stand gebrachter Virenscanner. Im Umgang mit sensiblen Daten empfiehlt es sich, einen leistungsstarken Spamfilter für die sichere E-Mail-Kommunikation einzusetzen. Bereits in den Angeboten zum Hosted Exchange, Zyan Web, Zyan Office oder Dedicated Webhosting sind bei LANSOL einfach zu bedienende Anti-Spam-Technik inklusive. Dasselbe gilt für die regelmäßige Datensicherung, die durch redundante RAID-50-Speichersysteme auf Fibre Channel Basis seitens LANSOL automatisch erfolgt.

Fazit

Datenschutz erfordert ein systematisches, an die Bedürfnisse des Unternehmens ausgerichtetes Vorgehen. Ein wesentliches Element ist dabei die technische Komponente, die nicht allein auf sicheren Systemen basiert, sondern ebenso einen pfleglichen und geschulten Einsatz damit erfordert. Sinnvoll ist es in jedem Fall, Kompetenzen und Zuständigkeiten innerhalb des Unternehmens zu bündeln. Die Ernennung eines Datenschutzbeauftragten ist hier das geeignete Instrument. Seitens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gibt es seit Jahren regelmäßig aktualisierte Informationen, die Hilfestellungen zur Implementierung und Sicherstellung eines funktionierenden Datensicherungssystems bieten.

Umfassender Datenschutz, wobei Datensicherheit separat zu sehen ist, ist im Hause LANSOL kein Mittel zum Zweck – Datenschutz bei LANSOL ist gelebte Firmenphilosophie und erlässlich in einem Bereich, in dem Datensicherheit ein sehr hohes Gut darstellt.