Drucksache 17/13000
58 ––
–– 58
Deutscher Bundestag – 17. Wahlperiode
– Arbeit von und mit Externen: Wenn Externe für die Institution Aufgaben übernehmen, bei denen sie Zugriff auf
vertrauliche Daten erhalten können, müssen hierfür geeignete Regelungen getroffen werden (vgl. M 2.226 Regelungen für den Einsatz von Fremdpersonal). Dies beginnt mit dem Abschluss von Vertraulichkeitsvereinbarungen
(vgl. M 3.55 Vertraulichkeitsvereinbarungen). Aktionen Betriebsfremder sollten kontrolliert und protokolliert
werden (vgl. M 2.16 Beaufsichtigung oder Begleitung von Fremdpersonen). Auch bei der Auswahl geeigneter externer Dienstleister müssen diverse Sicherheits- und Datenschutzaspekte beachtet werden (vgl. M 2.252 Wahl eines geeigneten Outsourcingdienstleisters), aber auch bei der Beendigung von Verträgen mit Externen (vgl.
M 2.307 Geordnete Beendigung eines Outsourcing-Dienstleistungsverhältnisses). Externe Administratoren sollten
nicht dauerhaft unbeaufsichtigt an sicherheitsrelevanten IT-Systemen arbeiten, durch qualifizierte interne Mitarbeiter sollten zumindest sporadisch deren Tätigkeiten gesichtet werden.
– Privilegierte Rollen: Personen mit so genannten privilegierten Rollen wie Administratoren haben weitgehende Zugriffsrechte und gleichzeitig ein umfassendes Fachwissen. Auch um Administratoren vor Verdächtigungen zu
schützen, sollten die Rechte so restriktiv wie möglich vergeben werden und Arbeiten unter privilegierten Berechtigungen protokolliert werden. Es sollte keine Person geben, die Zugriffsberechtigungen auf alle Systeme hat (vgl.
M 2.38 Aufteilung der Administrationstätigkeiten).
– Berechtigungen dokumentieren und kontrollieren: Berechtigungen sind zu dokumentieren.
– Kein Zugriff ohne Authentisierung: Der Zugriff auf alle IT-Systeme und Dienste muss durch sichere Verfahren zur
Identifikation und Authentisierung des zugreifenden Benutzers abgesichert werden.
– Sicherheitsvorfälle: Trotz aller Sicherheitsvorkehrungen können Sicherheitsvorfälle nie ganz ausgeschlossen werden. Daher muss eine Vorgehensweise aufgebaut werden, um mit Sicherheitsvorfällen im Akutfall vernünftig umgehen zu können (vgl. M 6.58 Etablierung einer Vorgehensweise zur Behandlung von Sicherheitsvorfällen). Neben der Festlegung der Rollen, Verantwortlichkeiten und Verhaltensregeln müssen für die effektive Behandlung
von Sicherheitsvorfällen die Betroffenen richtig mit deren Auswirkungen umgehen und Vorfälle unverzüglich
melden (vgl. M 6.60 Festlegung von Meldewegen für Sicherheitsvorfälle).
3.5.2
Meldepflicht bei Datenschutzpannen
Die Informationspflicht bei Datenpannen hat sich grundsätzlich bewährt. Eine von mir durchgeführte bundesweite Erhebung über die gemeldeten Fälle zeigt, dass die
Meldepflicht von den verantwortlichen Stellen ernst genommen wird. Angesichts zahlreicher Datenpannen bei
öffentlichen Stellen sollte auch der öffentliche Bereich
meldepflichtig werden.
Seit dem 1. September 2009 müssen nicht-öffentliche
Stellen und ihnen gleich gestellte öffentlich-rechtliche
Wettbewerbsunternehmen gravierende Datenschutzpannen der zuständigen Aufsichtsbehörde anzeigen sowie die
Betroffenen informieren und ihnen Handlungsempfehlungen unterbreiten. § 42a BDSG sieht eine solche Informationspflicht vor, wenn sensible Daten unrechtmäßig in die
Hände Dritter gelangt sind und schwerwiegende Beeinträchtigungen für die Betroffenen drohen. Bei einem Verstoß droht ein Bußgeld von bis zu dreihunderttausend
Euro oder mehr.
Die Regelung hat sich – trotz einer wahrscheinlich hohen
Dunkelziffer nicht gemeldeter Vorfälle – bewährt. Die
Publizitätspflicht motiviert die verantwortlichen Stellen,
mehr für die Datensicherheit und den Datenschutz zu tun;
zugleich versetzt sie die Betroffenen in die Lage, negative
Konsequenzen frühzeitig zu erkennen und Sicherheitsmaßnahmen zu ergreifen.
Nach einer bundesweiten Erhebung unter den Aufsichtsbehörden, die ich nach Ablauf der ersten 18 Monate seit
BfDI 24. Tätigkeitsbericht 2011-2012
Inkrafttreten der Informationspflicht durchgeführt habe,
wurden fast 90 Fälle gemeldet, davon vier in meinem Zuständigkeitsbereich. Ganz überwiegend handelte es sich
um Bankverbindungs- und Kreditkartendaten, die den
verantwortlichen Stellen durch Diebstahl oder Verlust
von Datenträgern, durch Fehlversendungen von E-Mails
und Briefen, durch fehlerhafte Zugriffsmöglichkeiten auf
Online-Mitgliederseiten oder durch Hacking abhanden
gekommen sind. Zum Teil waren auch besonders sensible
Informationen wie Gesundheitsdaten betroffen.
Das Risiko des Abhandenkommens sensibler Daten besteht bei Unternehmen und Behörden gleichermaßen.
Dies belegen zahlreiche Vorfälle aus der jüngeren Vergangenheit, etwa der Hackerangriff auf die Server des
Zolls im Sommer 2011 oder die Datenspionage durch einen externen IT-Mitarbeiter im Bundesministerium der
Gesundheit im Herbst 2012 (vgl. Nr. 3.5.1). Es ist für
mich nicht nachvollziehbar, warum öffentliche Stellen
bislang von der Informationspflicht ausgeschlossen sind.
Dass es auch anders geht, zeigt beispielsweise das Berliner Datenschutzgesetz, das seit dem Jahr 2011 die Informationspflicht bei Datenpannen auf die Berliner Landesverwaltung erstreckt. Der Bund sollte diesem guten
Beispiel folgen, zumal er auch hier einmal mehr von den
Modernisierungsbestrebungen auf europäischer Ebene
eingeholt zu werden droht: Auch der Entwurf der Europäischen Kommission für eine europaweit einheitliche
Datenschutz-Grundverordnung (vgl. Nr. 2.1) sieht eine
Informationspflicht bei Datenpannen für den öffentlichen
und den nicht-öffentlichen Bereich gleichermaßen vor.