Die datenschutzrechtlichen Anforderungen im Kunst- und Kulturbetrieb
Autor: Rechtsanwalt Dr. Rutger von der Horst Köln, Münster, Los Angeles

Inhalt

Teil 3
5. Datenschutz durch Datensicherheit
5.1 Datensicherheitsgrundsätze
5.2 Datenschutzsicherungsmaßnahmen
5.3 Datenschutz und -sicherheits-Risikoanalyse

5. Datenschutz durch Datensicherheit

Der Einsatz neuer Informationstechnologien (IT) innerhalb des eigenen Kultur- und Kunstunternehmens erzeugt immer auch eine (zunächst) betriebsinterne Datengenerierung. Beim Aufbau einer „Datenschutzkultur" (siehe oben) gilt die Formel: „Datenschutz durch Datensicherheit". Die beiden Begriffe lassen sich wie folgt abgrenzen:

5.1 Datensicherheitsgrundsätze
Datensicherheit betrifft die (technische) Sicherung von Daten. Diese sollte von folgenden Grundsätzen geprägt sein:

Integrität: Die Daten lassen sich nicht manipulieren.

Authentizität: Der Urheber der Daten ist zweifelsfrei nachweisbar.

Vertraulichkeit: Die Daten sind nur für den Adressaten zugänglich.

Verfügbarkeit: Die Daten sind zugänglich, wenn man sie benötigt.

5.2 Datenschutzsicherungsmaßnahmen
Datenschutz hingegen betrifft den Schutz von Daten, genauer den Schutz der Dateninhalte. Dabei wird Datenschutz auch durch Datensicherheit erreicht bzw. unterstützt. Damit die entsprechenden Datensicherungsmaßnahmen auch tatsächlich eingehalten werden, müssen (betriebsintern) umfangreiche Kontrollen vorgesehen werden, § 9 BDSG. Das BDSG gibt dazu in der Anlage zu § 9 BDSG eine Auflistung der erforderlichen Kontrollen:

Zutrittskontrolle: Der Zutritt zu den Räume, in denen eine Datenverarbeitung stattfindet, wird überprüft.

Zugangskontrolle: Der Zugang zu den Datenverarbeitungsanlagen wird überprüft.

Zugriffskontrolle: Der Zugriff auf Daten erfolgt nur, soweit erforderlich.

Weitergabekontrolle: Die Weitergabe von Daten erfolgt nur von Berechtigten an Berechtigte.

Eingabekontrolle: Die Eingabe von Daten erfolgt nur von Berechtigten.

Auftragskontrolle: Datenverarbeitungstätigkeiten an Dritte werden auf Einhaltung von Datenschutz und Datensicherheit überprüft (Problem: Verlust der Verfügungsgewalt z. B. bei der Auftragsdatenverarbeitung bei der Fernwartung, beim Outsourcing und beim Einsatz von ASP = Application-Service-Providing, bei der die Software auf dem Server eines Dritten liegt, Fall des Mietens statt des Kaufens).

Verfügbarkeitskontrolle: Datensicherung erfolgt regelmäßig und wird auf Erfolg überprüft. (Sind die Daten auch tatsächlich noch physisch vorhanden?)

Trennungskontrolle: Getrennte Aufbewahrung (Speicherung) von Daten in unterschiedlichen Dateien mit unterschiedlichen Zugriffsrechten.

Erforderlich sind diese Maßnahmen jedoch nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Damit Sie nun herausfinden können, wann der Aufwand (noch) angemessen ist, müssen Sie eine Sicherheits(bedarfs-)analyse hinsichtlich der in Ihrem (Kunst- und Kultur-) Unternehmen verarbeiteten Daten durchführen.

5.3 Datenschutz- und sicherheits-Risikoanalyse
Diese Risikoanalyse zur Bestimmung des eigenen Bedürfnisses an Datenschutz und Datensicherheit sollte sich dabei von den folgenden Fragen leiten lassen:

- Welche Daten haben welchen „Sensibilitätsgrad"?

- Welche Schutzmechanismen gibt es?

- Welche sind durchführbar (technisch und wirtschaftlich)?

Die Analyse sollte auch das Erstellen einer Sicherheitsrichtlinie (Security Policy) nebst einer Benutzerrichtlinien beinhalten, die

· Zugriffsrechte festlegt, wobei die Befugnis von der Tätigkeit abgeleitet wird
(Prinzip: „divide et impera" = „teile und herrsche", denn nicht jeder muss immer alles wissen);

· dabei das Prinzip der Eigenverantwortlichkeit festschreibt;

· eine Aufzählung der erlaubten Daten- insbesondere Internetnutzungen enthält;

· auf eventuelle Sicherheitsrisiken hinweist;

· und Kontroll- wie auch Sanktionsmaßnahmen vorsieht.

In allen Fällen findet eine Dokumentation der betreffenden Vorgänge statt. Die Dokumentation des Sicherheitskonzepts sollte dabei Auskunft über die folgenden Punkte geben:

Aufgeführt werden sollte z. B. die technische Infrastruktur, auf der automatisierte Verfahren der Datenverarbeitung betrieben werden, einschließlich der verwendeten Systemprogramme, der Bürosoftware, einschließlich individueller Anpassungen für das Verfahren (z. B. Makroprogrammierung) der Büroanwendungen und die Löschungs-Vorschriften.

Weiter gehört dazu einen Beschreibung der Fachprogramme für die Branchenanwendung inklusive der Beschreibung der Eingabedaten, der Verarbeitungsprozesse und der Ausgabedaten; etwaige Programmdokumentation, sofern Programme individuelle erstellt werden. (Hier kann es u.U. zu urheberrechtlichen Kollisionen kommen, wenn die urheberrechtliche Lizenz die Weitergabe an Dritte - z. B. externe Datenschutzbeauftragte - nicht erlaubt. Ob ein solcher Ausschluss rechtlich zulässig ist, ist noch nicht geklärt.)

Die Vorgehensweise der Wartung ist ebenfalls zu beschreiben. Desweiteren gehören in die Beschreibung die Schnittstellen des Verfahrens zu anderen Verfahren, die Schnittstellen des verwendeten Systems nach außen (z. B. Fernwartung), die Zugriffsprofile der Benutzer, die Benennung von Verantwortlichen für den Datenschutz und die Datensicherheit, Systemverwaltung usw.

Es gehören dazu die Unterlagen zu den Verfahrenstests und die Freigabedokumentation, Hinweise zur Qualifikation der mit dem Verfahren arbeitenden Mitarbeiter. Ebenso zählt dazu die Beschreibung des Umgangs mit Papier (Aktenunterbringung, -entsorgung, und -vernichtung), sowie eine Beschreibung der Maßnahmen, die zur Sicherstellung der Sicherheit der Datenverarbeitung getroffen werden.

Kurz: Das ganze Sicherheitskonzept sollte vollständig und für jeden (sachkundigen) Dritten verständlich nachvollziehbar dokumentiert werden.

Die „goldene Datensicherheitsregel" lautet dabei: „Sicherheit ist kein Produkt, sondern ein Prozess!"

 

... und gerne beraten wir auch Sie

portrait vonderhorst 200x284

Ihr Ansprechpartner in Deutschland

Dr. Rutger von der Horst

Rechtsanwalt

Tel.: 0251 / 37 94 200

Fredricks & von der Horst
LOS ANGELES │ MÜNSTER

Kontakt: kanzlei@vonderhorst.de