20. August 2009 - Datenschutz-Konzept

So sollte eine Sicherheitsrichtlinie aussehen

Ein Mehr an Datenschutz und Datensicherheit ist ohne Erarbeitung und Umsetzung von Sicherheitsrichtlinien nicht möglich. Denn nur mit verbindlichen Vorgaben lassen sich die Schutzziele in der IT erreichen. Als Datenschutzbeauftragter sollten Sie nicht nur an der Erstellung der Sicherheitsrichtlinie Datenschutz aktiv teilhaben, sondern an allen IT-Sicherheitsrichtlinien. Wir zeigen Ihnen, worauf Sie dabei achten müssen.

so-sollte-eine-sicherheitsrichtlinie-aussehen.jpeg
Datenschutz und Datensicherheit lassen sich nur mit Sicherheitsrichtlinien erreichen (Bild: Thinkstock)

Sicherheitsrichtlinien sind entscheidend zur Steigerung von Datenschutz und Datensicherheit.

Datenschutz braucht Sicherheitsrichtlinien

Denn nur wenn die Mitarbeiterinnen und Mitarbeiter verbindliche Vorgaben für die Nutzung der Datenverarbeitung erhalten, diese verstehen und umsetzen, können personenbezogene Daten wirklich geschützt werden.

Aber Sicherheitsrichtlinien brauchen auch Datenschutz

Doch nicht nur der Datenschutz braucht die Sicherheitsrichtlinien. In jeder Sicherheitsrichtlinie gilt es auch die Ziele des Datenschutzes und die Vorgaben aus dem Datenschutz-Konzept zu beachten. So sollten die Maßnahmen der IT-Sicherheit dort ihre Grenzen haben, wo gegen den Schutz personenbezogener Daten verstoßen wird.

Ein klassisches Beispiel ist die Protokollierung der Nutzeraktivitäten und deren Auswertung. Hier gilt es, die Besondere Zweckbindung nach § 31 BDSG zu beachten.

Der DSB gehört in die Richtlinien-Gruppe

Deshalb sollten Sie als Datenschutzbeauftragter unbedingt Teil der Gruppe sein, die die Sicherheitsrichtlinien entwickelt, begutachtet und aktualisiert.

Geben Sie sich nicht damit zufrieden, an der Sicherheitsrichtlinie Datenschutz beteiligt zu werden, sondern sorgen Sie für die richtigen Datenschutz-Aspekte in allen Sicherheitsrichtlinien.

Beraten Sie die Geschäftsleitung

Dazu gehört es, die Geschäftsleitung ausführlich über die Datenschutz-Ziele zu beraten. Denn die verantwortliche Leitung muss die Sicherheitspolitik vorgeben, die Grundlage aller Sicherheitsrichtlinien ist. Wird dabei der Datenschutz nur halbherzig eingefordert, werden Sie es bei der weiteren Umsetzung der Sicherheitsrichtlinien nicht einfach haben.

Deshalb sollte der Datenschutz konkreter Bestandteil der IT-Sicherheitsrahmenrichtlinie sein, die die Eckpunkte der Sicherheitsorganisation einhält und Vorgaben zu den einzelnen Sicherheitsrichtlinien macht.

Download: Checkliste Inhalte einer Sicherheitsrichtlinie

Die Sicherheitsrichtlinie enthält Trifft zu Trifft nicht zu
die Festlegung des Geltungsbereiches
betroffene Arbeitsvorgänge und Fachverfahren
betroffene Datenkategorien, Schutzbedarf und Schutzziele
abzuwehrende IT-Risiken, bestehende Gefahren und mögliche Konsequenzen (wichtig für die Motivation!)
Bezug zu Gesetzen, Verordnungen und Standards
Verhältnis zu anderen Sicherheits- und Benutzerrichtlinien
konkrete Verantwortlichkeiten für die Schutzmaßnahmen
zu ergreifende Schutzmaßnahmen in kurzer, verständlicher Form
Hinweis auf Schulungsangebote
Konsequenzen bei Nichtbeachtung der Sicherheitsrichtlinie
Kontaktdaten von IT-Sicherheitsverantwortlichen und Datenschutzbeauftragten

Verhindern Sie typische Fehler

Wenn es um die Entwicklung, Prüfung und Aktualisierung der einzelnen Sicherheitsrichtlinien geht, sollten Sie dabei helfen, typische Fehler in den Sicherheitsrichtlinien zu vermeiden. Nur wenn die Sicherheitsrichtlinien auch erfolgreich umgesetzt werden können, ist etwas für den Datenschutz und die Datensicherheit gewonnen.

Fehler 1: Sicherheitsrichtlinien sind nicht individualisiert

Viele Unternehmen verweisen in ihren Sicherheitsrichtlinien nur auf Sicherheitsstandards, ohne die Vorgaben konkret auf die eigene Situation anzupassen.

Als Folge finden sich weder Unternehmensleitung noch Mitarbeiter in den Richtlinien wieder und die Vorgaben werden als praxisfern betrachtet. Sicherheitsrichtlinien, die innerlich abgelehnt werden, müssen scheitern.

Zudem bedeutet die Arbeit an den eigenen Sicherheitsrichtlinien auch, dass sich alle Beteiligten aktiv mit dem Thema Datensicherheit und Datenschutz befassen und so stärker sensibilisiert werden. Deshalb sollten Sie darauf drängen, dass die Sicherheitsrichtlinien individuell angepasst werden, auch wenn es viel Mühe kosten wird.

Fehler 2: Sicherheitsrichtlinien sind nicht umsetzbar

Wenig Sinn machen zudem Sicherheitsrichtlinien,

  • die sich praktisch nicht durchführen lassen,
  • zu Widersprüchen in Verbindung mit anderen Vorgaben und Richtlinien führen und
  • deren Einhaltung nicht wirklich überprüft werden kann.

Solche Sicherheitsrichtlinien führen dazu, dass die Leitung glaubt, alles geregelt zu haben und sich in trügerischer Sicherheit wähnt, während die tägliche Praxis ganz anders aussieht.

Fehler 3: Freigabe, Bekanntmachung und Zielgruppe werden vergessen

Weiterhin muss jede Sicherheitsrichtlinie von der verantwortlichen Stelle, in der Regel der Unternehmensleitung, freigegeben werden. Damit ist es aber nicht getan, denn die Anwender der Datenverarbeitung müssen auch Kenntnis davon erlangen.

Denken Sie also an die Bekanntmachung und Schulung aller Richtlinien, die Bezug zu personenbezogenen Daten haben.

Und wie bei jeder Vorgabe und Anleitung darf auch bei einer Sicherheitsrichtlinie nicht die Zielgruppe vergessen werden: Die Beschreibungen müssen also klar, verständlich und so knapp wie möglich sein.

Fehler 4: Sicherheitsrichtlinien werden nicht aktualisiert

Schließlich bleibt festzuhalten, dass Sicherheitsrichtlinien Aktualisierungsbedarf haben, denn gerade in der IT ändern sich die Systeme und Bedrohungen in kurzen Zeitabständen. Die Entwicklung und Prüfung von Sicherheitsrichtlinien ist deshalb ein laufender Prozess. Nutzen Sie bei der Überprüfung auch die folgende Checkliste, die Ihnen wichtige Inhalte einer Sicherheitsrichtlinie nennt.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln