Drucksache 14/5555
– 32 –
Verurteilung zu entgehen, sind die fünf säumigen Mitgliedstaaten nunmehr gehalten, die Verabschiedung der
die Umsetzung der Richtlinie bewirkenden Rechtsakte
zügig voranzubringen. Am relativ weitesten sind damit
die Niederlande, in denen beide Kammern des Parlaments den Entwurf eines novellierten Datenschutzgesetzes gebilligt haben, dessen Inkrafttreten aber noch
aussteht. In Luxemburg wurde der entsprechende Gesetzentwurf im Oktober 2000 dem Parlament unterbreitet,
während Irland einen noch nicht zwischen allen Ressorts
abgestimmten Regierungsentwurf kennt. In Frankreich
hat die Regierung im Sommer 2000 der Datenschutzkommission (CNIL) ihren Vorentwurf eines novellierten Datenschutzgesetzes zur Prüfung unterbreitet. Mit zahlreichen Änderungen der CNIL wurde der Entwurf dem
Conseil d’Etat (Staatsrat) zur weiteren Begutachtung
übermittelt. Dessen Votum stand bei Redaktionsschluss
noch aus.
Die Art. 29-Gruppe (s. o. Nr. 2.2.1) wies bereits mehrfach
auf die zunehmend um sich greifenden Rechtsunsicherheiten mangels Umsetzung der Richtlinie hin und riet zuletzt in
ihrer Empfehlung 1/2000 vom 3. Februar 2000 den betroffenen Mitgliedstaaten bzw. ihren Regierungen eindringlich,
so schnell wie möglich die erforderlichen Maßnahmen zur
Umsetzung der Richtlinie zu ergreifen (s. Anlage 5, WP 30).
2.7
Erneuerung der „Zehn Gebote“
Anlässlich der anstehenden Novellierungen der Datenschutzgesetze des Bundes und der Länder wurde im Arbeitskreis „Technische und organisatorische Datenschutzfragen“ der Datenschutzbeauftragten von Bund und
Ländern eine Empfehlung erarbeitet, die sich mit der Vereinheitlichung der Regelungen zum technischen und organisatorischen Datenschutz befasst. Die Empfehlung
soll Hilfen zur Modernisierung der Technikregelungen
geben. Die Empfehlung ist über meine Homepage unter
„Datenschutz und Technik“ abrufbar.
Die Umsetzung der technisch-organisatorischen Verpflichtungen, wie sie im BDSG niedergelegt sind, bereitete in der Praxis immer wieder Schwierigkeiten. Diese
wuchsen mit der schnellen Entwicklung der Technik und
den dazu nicht mehr passenden oder zeitgemäßen Regelungen im BDSG. Durch diese Entwicklungen, die zunehmende Vernetzung und besonders die Verschmelzung der
Informationstechnik mit der Telekommunikation findet
ein Paradigmenwechsel im Datenschutz statt.
Die moderne Datenverarbeitung bedarf zur Herstellung
einer sicheren Verarbeitung eines methodischen Vorgehens auf der Basis einer Risikoanalyse und eines Sicherheitskonzepts. Um einen sicheren IT-Betrieb zu gewährleisten sollte das IT-Sicherheitshandbuch oder das
IT-Grundschutzhandbuch des Bundesamtes für Sicherheit
in der Informationstechnik (BSI) angewandt werden.
Die Herstellung von Datensicherheit (IT-Sicherheit) bedeutet heute im wesentlichen die Einführung eines Sicherheitsmanagements und ist damit auch eine Managementaufgabe.
Deutscher Bundestag – 14. Wahlperiode
Die derzeitigen Technikregelungen in den Datenschutzgesetzen beschreiben konkrete Sicherheitsmaßnahmen
und haben dabei im wesentlichen die technischen Komponenten von Datenverarbeitungsanlagen zum Gegenstand. Als Folge hieraus ergibt sich für diese Regelungen
eine sehr starke Technologieabhängigkeit. Dies führt zugleich dazu, dass sie in immer kürzer werdenden Abständen der neueren technischen Entwicklung angepasst
werden müssen. Besonders die technischen und organisatorischen Maßnahmen
n
müssen sich dem Einzelfall anpassen und sind
n
vom Schutzbedarf der Daten,
n
vom Verarbeitungssystem,
n
von der Bedrohungslage und
n
vom Stand der Technik abhängig.
Die Anforderungen, die im § 9 BDSG definiert werden,
stehen in einem engen sachlichen Zusammenhang mit der
Datensicherung (IT-Sicherheit) im Bereich der automatisierten Datenverarbeitung. Man versteht darunter die
Summe der Maßnahmen zur Sicherung des ordnungsgemäßen Betriebs einer Datenverarbeitung durch Sicherung der Hardware, Software und Daten vor Verlust, Beschädigung und Missbrauch. Im einzelnen gilt dabei für
das Verhältnis von IT-Sicherheit und Datenschutzmaßnahmen folgendes:
n
n
n
n
Auf der Ebene des Schutzzweckes: Die IT-Sicherheit
dient dem Interesse der datenverarbeitenden Stelle.
Die Datenschutzmaßnahmen dienen dem Interesse
der Betroffenen.
Auf der Ebene der Funktion: Die IT-Sicherheit
schützt vor Verlust der Vertraulichkeit, Integrität und
Verfügbarkeit. Die Datenschutzmaßnahmen schützen
vor unzulässiger Verarbeitung und Nutzung personenbezogener Daten.
Auf der Ebene des Anwendungsbereichs: Die IT-Sicherheit bezieht sich nur auf die automatisierte Datenverarbeitung. Die Datenschutzmaßnahmen beziehen sich auf alle Verarbeitungsarten.
Auf der Ebene der Maßnahmen: Viele IT-Sicherheitsmaßnahmen dienen der Ausführung des Datenschutzes und viele Datenschutzmaßnahmen erhöhen
die IT-Sicherheit.
Aufgrund der aufgezeigten großen Übereinstimmungen
hinsichtlich Ziel und Anwendungsbereich der IT-Sicherheit einerseits und den Technikregelungen im BDSG andererseits stellt sich die Frage, warum ähnliche Sachverhalte mit unterschiedlichen Begriffen belegt wurden. Auf
der einen Seite die Begriffe der IT-Sicherheit:
n
n
n
Vertraulichkeit (Schutz vor unbefugter Preisgabe von
Informationen)
Integrität (Schutz vor unbefugter Veränderung von
Informationen)
Verfügbarkeit (Schutz vor unbefugter Vorenthaltung
von Informationen oder Betriebsmitteln),