Datenschutz

Das Schutzstufenkonzept / Hinweise für IT-Sicherheitskonzepte

Das Schutzstufenkonzept - eine Basis für den technischen Datenschutz

(Auszug aus dem 1. Tätigkeitsbericht)

Durchgeführte Prüfungen ergaben, dass Datensicherungsmaßnahmen im Sinne des ThürDSG nicht immer konsequent durchgeführt bzw. umgesetzt werden. Unsicherheiten bestehen z. B. in der Auswahl geeigneter technischer Maßnahmen,

die einen angemessenen Schutz der Daten entsprechend ihrer Sensibilität gewährleisten. Es zeigt sich aber mitunter auch eine gewisse Sorglosigkeit beim Umgang mit personenbezogenen Daten. Fehlende oder unzureichende Datenschutz- und Datensicherheitskonzepte offenbaren, dass die Gefahren und Risiken bezüglich des Schutzes der Daten insbesondere beim Einsatz automatisierter Verfahren unterschätzt werden. Intuitiv oder sporadisch festgelegte Sicherheitsmaßnahmen erzeugen eine gefährliche Scheinsicherheit.

Im Folgenden sollen einige Grundsätze bei der Auswahl von Datensicherungsmaßnahmen unter Berücksichtigung eines Schutzstufenkonzeptes aufgezeigt werden:

Das Schutzobjekt der Datensicherungsmaßnahmen sind die zu verarbeitenden personenbezogenen Daten. An ihren konkreten Gefährdungen haben sich die technischen und organisatorischen Maßnahmen zu orientieren. Ein wesentlicher Gradmesser für den notwendigen Schutzbedarf der Daten stellt ihre Sensibilität dar. Je sensibler die zu verarbeitenden Daten sind, umso höher ist ihr Schutzbedarf; ein zunehmender Aufwand an Sicherungsmaßnahmen ist erforderlich. Von diesem Grundsatz ausgehend muss auch die Frage beantwortet werden, ob der geplante bzw. realisierte Schutzaufwand im konkreten Fall angemessen ist. Dies erfordert konsequenterweise von jeder speichernden Stelle, die zu schützenden personenbezogenen Daten nach dem Grad ihrer Sensibilität einzustufen, um die in § 9 ThürDSG geforderten angemessenen Datensicherungsmaßnahmen festzulegen. Für eine Einstufung der Daten bezüglich ihrer Sensibilität sind allerdings in den datenschutzrechtlichen Vorschriften keine Kriterien vorgegeben. Nach dem Volkszählungsurteil des Bundesverfassungsgerichtes von 1983 gibt es infolge der automatisierten Datenverarbeitung kein belangloses Datum mehr. Der Gesetzgeber hat im ThürDSG festgelegt, die geforderten technischen und organisatorischen Maßnahmen angemessen an der Schutzwürdigkeit der Daten zu orientieren. Dabei spielen sicher auch die hiermit verbundenen Aufwendungen, insbesondere finanzieller Art, eine Rolle. Eine Schlussfolgerung hieraus wäre, für jedes IT-Vorhaben ein spezifisches Sicherheitskonzept zu erarbeiten. Dies ist in der Regel mit einem erheblichen Aufwand verbunden und erfordert auch detaillierte Kenntnisse bezüglich der möglichen Gefährdungsrisiken und der Maßnahmen, diese Risiken abzudecken. Personell und finanziell könnten kleinere öffentliche Stellen hiermit überfordert sein. Mit Hilfe eines Schutzstufenkonzeptes lassen sich diese Aufwendungen in der Regel für IT-Anwendungen mit fixierbaren Datenobjekten reduzieren.

Ein Schutzstufenkonzept stellt eine Orientierungshilfe dar, um den Grad der Schutzwürdigkeit der Daten zu ermitteln und davon abgeleitet für diese die erforderlichen Datensicherungsmaßnahmen festzulegen. Die Schutzstufen sind in Abhängigkeit von dem Grad der Beeinträchtigung des informationellen Selbstbestimmungsrechts bei einem Missbrauch der personenbezogenen Daten festgelegt. Der TLfD empfiehlt entsprechend dem derzeitigen Erkenntnis- und Erfahrungsstand hierfür nachfolgende Einstufungskriterien:

Stufe 0: Kein besonderer Schutzbedarf

Personenbezogene Daten aus öffentlich zugänglichen Quellen, deren Verarbeitung keine Beeinträchtigung des informationellen Selbstbestimmungsrechtes erwarten lässt und die gegen Änderungen, Verfälschungen etc. keines besonderen Schutzes bedürfen.

Beispiele: Angaben aus öffentlichen Telefon- und Adressbüchern, Branchenverzeichnissen, amtliche Bekanntmachungen, Presseveröffentlichungen.

Stufe 1: Grundschutzbedarf

Personenbezogene Daten, deren Verarbeitung eine Beeinträchtigung des informationellen Selbstbestimmungsrechts insofern erwarten lässt, als durch einen Missbrauch der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden kann.

Beispiele: Daten, deren Übermittlung eines berechtigten Interesses bedürfen, z. B. Daten aus öffentlichen Registern (z. B. Grundbuchauskunft, einfache Melderegisterauskunft, sofern keine Auskunftssperre vorliegt).

Stufe 2: Hoher Schutzbedarf

Personenbezogene Daten, deren Verarbeitung eine erhebliche Beeinträchtigung des informationellen Selbstbestimmungsrechts insofern erwarten lässt, als der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann oder personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen oder deren unbefugte Kenntnis eine Gefahr für Leib, Leben oder die persönliche Freiheit des Betroffenen befürchten lässt.

Beispiele: Daten, deren Übermittlung eines rechtlichen Interesses bedürfen, Sozialdaten, Gesundheitsdaten, Steuerdaten, Personaldaten, religiöse und politische Anschauungen, Berufs- und Geschäftsgeheimnisse, Fernmeldegeheimnis, personenbezogene Daten von Personen, deren Indentität zu schützen ist (wie Adressen von polizeilichen V-Leuten, Adressen von Zeugen in bestimmten Strafverfahren etc.).

Eine Einstufung der zu verarbeitenden Daten kann nicht schematisch erfolgen. Beachtet werden müssen in jedem Fall die Besonderheiten des jeweiligen Anwendungsfalles. Die zu schützenden personenbezogenen Daten sind immer aus dem Zusammenhang ihrer Verwendung in eine Schutzstufe einzuordnen. Die Eingruppierung kann also nicht anhand eines nur isoliert betrachteten Datums erfolgen.

Für die ausgewählte Schutzstufe sind die erforderlichen technischen und organisatorischen Datensicherungsmaßnahmen nach § 9 ThürDSG festzulegen, die den notwendigen Schutzbedarf für die hier eingeordneten personenbezogenen Daten gewährleisten. Unter Beachtung der eingesetzten DV-Technik und Betriebssysteme könnten als Orientierungshilfe "standardisierte" Datensicherungsmaßnahmen hierfür vorgegeben werden. Solche Standardmaßnahmen können jedoch nicht die konkreten örtlichen Gegebenheiten und die spezifischen Besonderheiten eingesetzter Anwendungssysteme berücksichtigen. Ihr nicht schematischer Einsatz stellt jedoch eine Hilfestellung für den normalen Anwender dar, um zumindest einen Grundschutz mit technischen und organisatorischen Maßnahmen zu gewährleisten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem IT-Sicherheitshandbuch und dem IT-Grundschutzhandbuch zwei Orientierungshilfen mit dem Ziel herausgegeben, die Sicherheit von IT-Systemen und der zu verarbeitenden Daten zu gewährleisten. Die Absicherung der Verfügbarkeit, der Integrität und der Vertraulichkeit der Daten sind auch datenschutzrechtliche Zielvorgaben.

In beiden Handbüchern stehen Aspekte der IT-Sicherheit im Vordergrund, wobei auf datenschutzrechtliche Gesichtspunkte primär nicht eingegangen wird. Die ausgewiesenen Technologien und Schutzmaßnahmen können jedoch die Basis für einen ausreichenden technischen Datenschutz bilden, wenn sie differenziert unter Beachtung des Grades der Schutzwürdigkeit der abzusichernden personenbezogenen Daten ausgewählt werden.

Nach Erfahrungen des BSI ist für etwa 80 Prozent der IT-Anwendungen ein Grundschutz ausreichend. Die hierfür erforderlichen Sicherungsmaßnahmen und -mechanismen sind im IT-Grundschutzhandbuch aufgeführt. Diese Maßnahmen gewährleisten einen angemessenen Schutz für personenbezogene Daten, welche entsprechend dem aufgezeigten Schutzkonzept in die Schutzstufe 1 einzuordnen sind.

Eine solche konfektionierte Sicherheitslösung ist allerdings in der Regel nicht ausreichend für IT-Anwendungen, die personenbezogene Daten verarbeiten, deren Schutzbedarf der Klasse 2 entspricht.

In diesem Fall muss ein spezifisches Sicherheitskonzept erarbeitet werden, das gegenüber dem Grundschutz eine maßgeschneiderte Sicherheitslösung darstellt. Ein solches Konzept ist ausgehend von einer Bedrohungs- und Risikoanalyse zu erstellen. Das IT-Sicherheitshandbuch des BSI bietet hierfür viele hilfreiche Anregungen und Hinweise.

Zur Gewährleistung eines ausreichenden Datenschutzes bei der Verarbeitung personenbezogener Daten wird im Interesse der Betroffenen sowie einer angemessenen Datensicherheit hinsichtlich eines ordnungsgemäßen Datenverarbeitungsbetriebes je nach Behördengröße und Umfang der Datenverarbeitung folgende Sicherheitsstrategie empfohlen:

1. Einrichten eines IT-Sicherheitsmanagements

Bildung einer Projektgruppe für IT-Sicherheit , in der je nach Sachlage Vertreter folgender Bereiche ihre Kenntnisse und Erfahrungen einbringen sollten:
EDV/Organisation, Fachabteilungen, Benutzer, Sicherheitsbeauftragter, Datenschutzbeauftragter und Personalrat. Aufgabe dieser Projektgruppe wären u. a. das Definieren und Aktualisieren der IT-Sicherheitsziele unter Beachtung auch datenschutzrechtlicher Anforderungen, das Erstellen und Aktualisieren von IT-Sicherheitskonzepten und das Aufstellen eines Realisierungsplanes zur Umsetzung der Maßnahmen.

2. Ermittlung der Schutzbedürftigkeit

Alle vorhandenen und geplanten IT-Systeme sind mit ihren Anwendungen und zu verarbeitenden Daten in die Ermittlung einzubeziehen.
Anhand einer Analyse der zu verarbeitenden Daten sind die vorhandenen personenbezogenen Informationen in eine der aufgezeigten Schutzstufen unter Beachtung des Verwendungszusammenhangs einzuordnen (siehe oben).
Der Schutzbedarf für ein IT-System ergibt sich immer aus dem Schutzbedarf seiner bedürftigsten Anwendung.

3. Bedrohungs- und Risikoanalyse

Wird nach 2. ein Grundschutz als Schutzbedarf ermittelt (Zuordnung der Daten in Schutzstufe 1), so werden technische und organisatorische Sicherheitsmaßnahmen entsprechend dem IT-Grundschutzhandbuch des BSI als angemessen und ausreichend angesehen. Die möglichen Bedrohungen bzw. Gefährdungen für die IT-Systeme bezüglich der zu verarbeitenden Daten können aus den entsprechenden Katalogen des Grundschutzhandbuches entnommen und zusammenfassend dargestellt werden. Mittels einer Risikoanalyse sind die Risiken zu bestimmen. Wird nach 2. ein hoher Schutzbedarf festgestellt (Zuordnung der Daten in Schutzstufe 2), sollte über die Einbeziehung des Grundschutzhandbuches hinaus eine individuelle Bedrohungs- und Risikoanalyse durchgeführt werden. Diese sollte anhand des IT-Sicherheitshandbuches vom BSI erfolgen.

4. Sicherheitskonzept

Durch die Auswahl und Bewertung von Sicherheitsmechanismen sollen die unter 3. ermittelten Risiken auf ein auch aus datenschutzrechtlicher Sicht akzeptables Niveau reduziert werden. Dazu werden geeignete Mechanismen identifiziert und den Bedrohungen zugeordnet.
Ein Sicherheitskonzept muss zur Umsetzung der gestellten Sicherheitsanforderungen sowohl organisatorische und technische Maßnahmen vorsehen, wobei diese immer im Zusammenhang zu betrachten sind.
Die erforderlichen Maßnahmen sind für das konkrete IT-System aus dem Maßnahmekatalog des Grundschutzhandbuches unter Berücksichtigung der unter 3. ermittelten Risiken auszuwählen.
Falls nach 2. ein hoher Schutzbedarf festgestellt wurde, ist aufbauend auf der durchgeführten individuellen Risikoanalyse ein individuelles Sicherheitskonzept zu erstellen. Hier sind über das Grundschutzhandbuch hinaus zusätzliche Maßnahmen zu realisieren, wie z. B. Verschlüsselung der Daten, digitale Signatur, umfassende Protokollierung, Einschränkung von Datenmasken.
Nachdem die Maßnahmen festgelegt, ihre Wirkungen verbal beschrieben und mit den technischen, organisatorischen und rechtlichen Gegebenheiten der verarbeitenden Stelle abgestimmt sind, ist das Restrisiko zu analysieren und eine Kosten-Nutzen-Betrachtung anzustellen. Eventuell sind angemessenere oder kostengünstigere Maßnahmen auszuwählen, um die angestrebte Sicherheit zu gewährleisten.

Ihr Kontakt zum TLfDI


Logo des TLFDI

Sie brauchen die Hilfe des TLfDI?

Postfach 90 04 55 | 99107 Erfurt
Häßlerstrasse 8 | 99096 Erfurt

Tel.: 03 61 / 37 71 900
Fax : 03 61 / 37 71 904

Logo Freistaat Thüringen