Das Schutzstufenkonzept im Datenschutz

Jede Stelle, die personenbezogene Daten selbst oder im Auftrag erhebt, verarbeitet oder nutzt, muss entsprechende technische und organisatorische Vorkehrungen treffen, um das Bundesdatenschutzgesetz einzuhalten. So schreibt es der § 9 BDSG vor.

Der Wortlaut des Gesetzes ist dabei sehr allgemein gehalten. Er gibt zunächst keine näheren Hinweise auf Art und Inhalt der zu treffenden Maßnahmen. Hier hilft die Anlage zu § 9 Bundesdatenschutzgesetz (BDSG) weiter.

8 Vorgaben in der Anlage zu § 9 BDSG

Die Anlage macht acht Vorgaben, die durch technische und organisatorische Maßnahmen umzusetzen sind. Im Einzelnen muss Folgendes kontrolliert werden:

• Zutritt,
• Zugang und
• Zugriff auf Datenverarbeitungsanlagen
• Weitergabe von Daten
• Eingabe von Daten
• Auftragsdatenverarbeitung
• Verfügbarkeit von Daten
• Trennungsgebot

Der Aufwand muss im angemessenen Verhältnis zum Schutzzweck stehen

Sicherheitsmaßnahmen können erheblichen finanziellen und/oder zeitlichen Aufwand verursachen. Um den Aufwand im Rahmen des jeweils Zumutbaren zu halten, hat der Gesetzgeber selbst eine Einschränkung gemacht.

Diese findet sich in § 9 Satz 2. Erforderlich sind danach nur solche Vorkehrungen, bei denen der Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht.

Nur angemessene Maßnahmen für den Datenschutz nötig

Jedes Unternehmen muss anhand der acht Vorgaben überlegen, welche Maßnahmen für die jeweilige Datenverarbeitung getroffen werden müssen.

Es müssen nicht alle theoretisch möglichen, optimalen realisiert werden, sondern nur die im Einzelfall angemessenen.

Das „Ob“ steht nicht infrage, nur das „Wie“ der Schutzmaßnahmen

Eine Abwägung kann jedoch nur hinsichtlich des „Wie“ stattfinden, das „Ob“ steht nicht zur Disposition. So kann z.B. auf einen generellen Zugangsschutz zum Personalverwaltungssystem nicht mit dem Argument verzichtet werden, der zeitliche und/oder finanzielle Aufwand sei zu hoch. Welche Art des Zugangsschutzes wiederum gewählt wird – Passwort, Chipkarte, Biometrie –, muss anhand des Verhältnismäßigkeitsprinzips beantwortet werden.

Die Schutzbedürftigkeit entscheidet

Wenn Sie nun prüfen, welche konkreten Maßnahmen für den Datenschutz zu treffen sind, gehen Sie zunächst von der Schutzbedürftigkeit der jeweiligen Daten aus.

Die Schutzbedürftigkeit können Sie am einfachsten danach bewerten, wie hoch die Gefährdung des Persönlichkeitsrechts des Betroffenen bei einem eventuellen Missbrauch seiner personenbezogenen Daten ist.

Analysieren Sie das Risiko

Berücksichtigen Sie bei der Gefährdungs- und Missbrauchsanalyse folgende Aspekte:

• Vertraulichkeit der Daten: Handelt es sich um besondere Arten personenbezogener Daten bzw. ist eine Sensitivität aufgrund besonderer Umstände gegeben?
• Intensität der Datenverarbeitung: Werden Daten „nur“ gespeichert oder auch ausgewertet bzw. mit anderen Datenbeständen verknüpft?
• Verarbeitungssystem: PC oder Server-Anwendung, Anzahl der zugriffsberechtigten Personen, Einsatz von Dienstleistern etc.?

Wie hoch ist der Schaden?

Um das Potenzial der Gefährdung einschätzen zu können, hilft Ihnen folgende Frage weiter: Wie hoch ist der materielle und/oder immaterielle Schaden, der dem Betroffenen entsteht, wenn Unbefugte Zugriff auf personenbezogene Daten haben?

Das Stufenmodell des BSI

Das BSI geht von einem 3-Stufen-Modell aus (BSI-Standard 100-2 „IT-Grundschutz Vorgehensweise“, Kapitel 4.3 „Schutzbedarfsfeststellung“): normal: Die Schadensauswirkungen sind begrenzt und überschaubar. hoch: Die Schadensauswirkungen können beträchtlich sein. sehr hoch: Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmaß erreichen.

Die Risikoanalyse erfolgt oft in Abstimmung mit der EDV

Wird eine neue EDV-Anwendung in Betrieb genommen, so ist es Ihre Aufgabe als Datenschutzbeauftragter, in Abstimmung mit der EDV ein Datenschutz- und Datensicherungskonzept zu entwickeln.

Hierzu ist es notwendig, die Schutzbedürftigkeit der in der Anwendung zu verarbeitenden Daten festzustellen. In der Praxis ist die Situation häufig so, dass der Datenschutzbeauftragte derjenige ist, der diese Schutzbedarfsanalyse vornimmt.

Verantwortliche müssen die Schutzbedürftigkeit bestimmen, nicht Sie

Allerdings ist der Datenschutzbeauftragte oftmals gar nicht in der Lage, die Schutzbedürftigkeit korrekt festzustellen. Denn das obliegt dem Verantwortungsbereich desjenigen, der für die konkrete Anwendung die Fachverantwortung trägt.

Sie können aber beim Schutzstufenkonzept unterstützen

Wenn Sie auch die Schutzbedürftigkeit nicht allein bestimmen können, so können Sie den Kolleginnen und Kollegen doch eine Hilfestellung in Form eines Schutzstufenkonzepts an die Hand geben.

Ein solches Schutzstufenkonzept definiert unterschiedliche Kategorien der Schutzbedürftigkeit anhand des jeweiligen Schadenspotenzials:

Je höher der potenzielle Schaden, desto höher die Schutzbedürftigkeit und desto größer die Anforderungen an die jeweiligen Sicherheitsvorkehrungen.

Sie müssen das Rad nicht neu erfinden

Sie können sich bei der Erstellung eines solchen Schutzstufenonzepts an bereits vorhandenen Empfehlungen orientieren. So haben sowohl die Landesdatenschutzbeauftragten als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Vorschläge erarbeitet.

Der Schwächste gewinnt

Werden Daten unterschiedlicher Schutzstufen gemeinsam verarbeitet, müssen sich die Maßnahmen an den schutzbedürftigsten Daten orientieren.

Ein Schutzstufenkonzept kann auch empfindliche Unternehmensdaten ohne Personenbezug beinhalten. Statt auf einen Schaden des Betroffenen ist dann auf den Schaden für das Unternehmen abzustellen. Das Konzept des BSI sieht eine solche Ausweitung vor.

Fazit: Im Einzelfall hilft der Datenschutzbeauftragte

Jedes Schutzstufenkonzept kann nur eine allgemein gehaltene Empfehlung sein. Diese können Sie Ihren Kolleginnen und Kollegen für eine erste Einschätzung als Leitlinie für den Datenschutz geben.

Bei unklaren und insbesondere kritischen Fällen muss der Datenschutzbeauftragte zusammen mit den Fachverantwortlichen eine detaillierte Einordnung und Abwägung vornehmen.

Das Stufenmodell der Landesdatenschutzbeauftragten für den Datenschutz

Die Landesdatenschutzbeauftragten gehen von einem 4- bzw. 5-Stufen-Modell aus, das folgende Schutzbedürftigkeiten unterscheidet (Quelle: LDSB Niedersachsen): Stufe A: frei zugängliche Daten, in die Einsicht gewährt wird, ohne dass der Einsichtnehmende ein berechtigtes Interesse geltend machen muss, z.B. Daten, die die verantwortliche Stelle im Internet oder in Broschüren veröffentlicht bzw. aus öffentlich zugänglichen Quellen erlangt hat. Stufe B: personenbezogene Daten, deren Missbrauch zwar keine besondere Beeinträchtigung erwarten lässt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse des Einsichtnehmenden gebunden ist, z.B. interne Telefon-Durchwahlnummern, interne Zuständigkeiten. (Diese Stufe fehlt i.d.R. beim 4-Stufen-Modell.) Stufe C: personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann (Stichwort: Beeinträchtigung des Ansehens), z.B. Daten über Vertragsbeziehungen, Höhe des Einkommens, etwaige Sozialleistungen, Ordnungswidrigkeiten. Stufe D: personenbezogene Daten, deren Missbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann (Stichwort: soziale Existenz), z.B. Unterbringung in Anstalten, Straffälligkeit, dienstliche Beurteilungen, psychologisch-medizinische Untersuchungsergebnisse, Schulden, Pfändungen, Insolvenzen. Stufe E: Daten, deren Missbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann (Stichwort: physische Existenz), z.B. Adressen von verdeckten Ermittlern, Adressen von Personen, die mögliche Opfer einer Straftat sein können.

Ass. jur. Heidi Schuster
Heidi Schuster ist Referentin für Datenschutz und IT-Sicherheit in der Generalverwaltung der Max-Planck-Gesellschaft und Lehrbeauftragte an der Hochschule München.