Klare Verfahren schaffen Datensicherheit
Wenn jeder Transfer von Daten geplant und dokumentiert werden soll, sieht das nach einer Menge Verwaltung aus. Ganz so schlimm ist es aber nicht, wie dieser Beitrag zeigen wird. Teil 1 dieser Serie hat bereits betont, dass mit „Weitergabe von Daten“ weniger der Besitzerwechsel durch Übergabe von Akten oder CDs gemeint ist, sondern die Datenübertragung von einem Speicher- oder Verarbeitungsort an einen anderen, wie sie täglich milliardenfach geschieht. Das liegt insbesondere an den großen Distanzen, die die Daten im Tagesgeschäft bei internationalen Projekten und verteilten Standorten heutzutage überbrücken müssen. Früher sprach man deshalb auch von Datenfernübertragung (DFÜ).
Obwohl Daten(fern)übertragungen heute branchenübergreifend Standard sind, haben viele Unternehmen die elektronischen Transfers nicht richtig im Griff. So manches läuft planlos, spontan und ohne richtige Dokumentation. Genau das aber soll die Weitergabekontrolle vermeiden, wie ein Blick in die Anlage zu § 9 Satz 1 BDSG zeigt.
Die Dokumentation ist halb so schlimm
Dabei müsste klar sein, dass sich ein Aufwand, der dem Schutzbedarf entspricht, wirklich lohnt: Man stelle sich vor, die Datenübertragung würde nicht geregelt und dokumentiert. Dann würden vertrauliche Daten auf unbekannten Wegen vielleicht ungesichert an Dritte geschickt, ohne dass man die Chance hätte, dies später nachvollziehen zu können. Wenn die Daten später gelöscht werden müssen, ist dann gar nicht mehr klar, wer sie überhaupt erhalten hat. Auch ist nicht klar, ob die Daten bei der Übertragung gegen Lauschangriffe geschützt wurden.
Im Systemprotokoll
Die für die Weitergabekontrolle geforderte Übersicht, an wen welche Daten oder Datenkategorien übertragen werden sollen, muss natürlich nicht als manuelles Logbuch geführt werden. Als sinnvolle Maßnahmen eignen sich einerseits die Systemprotokolle der Server, Anwendungen bzw. Router, die automatisch erzeugt werden und die einzelnen Datentransfers nach definierten Kriterien festhalten. Wichtig ist hierbei, dass diese Protokolle zweckgebunden sind (§ 31 BDSG) und nicht für heimliche Analysen missbraucht werden. Welcher Mitarbeiter wann besonders viele E-Mails verschickt hat, geht niemanden etwas an – sofern es keinen konkreten Anlass zu einer entsprechenden Überwachung gibt und die Mitarbeitervertretung und der betriebliche Datenschutzbeauftragte einbezogen sind.
Nach Verfahrensverzeichnis
Zusätzlich zu den Systemprotokollen, die die erfolgten Datentransfers enthalten, sollten die geplanten Datenübertragungen im Verfahrensverzeichnis des Unternehmens dokumentiert sein. Dort werden nicht etwa die einzelnen Übertragungen eingetragen, sondern die jeweiligen Verfahren, bei deren Rahmen eine Datenübertragung stattfinden soll, die betroffenen Datenkategorien und Personengruppen, die Empfängerstellen für die zu transferierenden Daten sowie die zu ergreifenden Sicherheitsmaßnahmen.
Hier ist insbesondere die Verschlüsselung der Verbindung zu nennen. Zu klären und festzulegen ist außerdem, mit welchem Übertragungsverfahren die Transfers durchgeführt werden sollen, also mit welcher Anwendung und über welches Übermittlungsprotokoll. Davon hängt dann auch die zu ergreifende Verschlüsselungsmethode ab. Man sollte also auch planen, ob die Daten über verschlüsselte E-Mails, sicheren File-Transfer (SFTP) oder via VPN (Virtual Private Network) zu übertragen sind.
Teil 1 räumt mit einem Missverständnis auf und gibt einen Überblick über die datenschutzrechtlich nötigen Maßnahmen. Teil 2 geht genauer auf die Planung und Dokumentation von Datenübertragungen ein – und auf das Problem von Cloud-Diensten und (privaten) Mobilgeräten. Teil 3 begleitet die Daten beim Transport auf Trägermedien, ob USB-Stick oder Aktenordner.
Vorsicht bei schnellen Schattenlösungen!
Zurzeit ist das wohl häufigste (und wichtigste) Beispiel für eine ungeplante und undokumentierte Weitergabe von Daten die Verwendung von Filesharing-Lösungen oder Cloud Storage ohne betriebliche Freigabe und Kontrolle. Eine solche „Schatten-IT“ läuft komplett an der Weitergabekontrolle vorbei und bedeutet ein hohes Datenrisiko für das Unternehmen. Das gilt ganz besonders für Cloud-Apps auf Smartphones und Tablets, die Mitarbeiter z.B. unterwegs nutzen, um Daten ungeschützt über offene WLAN-Verbindungen an private Cloud-Dienste zu übertragen.
In den meisten Fällen reißen derartige BYO-Praktiken ein, weil die Mitarbeiter nicht wissen, wie sie die Daten unterwegs korrekt und sicher übertragen sollen oder weil der definierte betriebliche Weg zu kompliziert erscheint. Eine der wichtigsten Maßnahmen bei der Weitergabekontrolle besteht daher darin, Datensicherheit durch Transparenz zu schaffen. Dann sind nicht nur die freigegebenen Wege bekannt, sondern auch die erforderlichen Sicherheitsmaßnahmen und die erlaubten Übertragungsmethoden und -ziele (oder sie können zumindest in Erfahrung gebracht werden).
- Die dritte und letzte Folge dieser Serie betrachtet die ebenfalls zu regelnden und datenschutzgerecht zu überwachenden Datentransporte mittels Datenträgern. Wie um Himmels Willen verschlüsselt man einen ganz normalen Aktenordner?
Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.
Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de