Welcher Schutz ist wichtig für unsere Daten?
Quelle: ISACA

Welcher Schutz ist wichtig für unsere Daten?

Von Davide Vazzari

Die Sicherheit der Daten ist ein wichtiges Thema: Verantwortungen und Massnahmen im Zusammenhang mit personenbezogenen Daten.

Artikel erschienen in Swiss IT Magazine 2014/03

     

Die Einhaltung der Datenschutzgesetze interessiert immer mehr.
Unternehmen müssen dafür sorgen, dass ihre Daten rechtmässig bearbeitet und geschützt werden. Ein Datenverlust oder eine Datenmisshandlung stellen ein Fehlerrisiko sowie ein potentieller Bruch des Datenschutzrechtes dar, deren Konsequenzen eine Geldstrafe und einen Reputationsschaden beinhalten. In diesem Kontext spielen Unternehmensprozesse und IT-Systeme eine wichtige Rolle, indem sie eine rechtmässige Bearbeitung der Daten definieren und angemessene Kontrollen sicherstellen. Der Artikel beginnt mit einer Kurzübersicht zum Datenschutzrecht und den hauptsächlichen gesetzlichen Anforderungen im Bereich der personenbezogenen Daten. Im zweiten Teil des Artikels werden wir auf die Rolle des Internen Kontrollsystems (IKS) im Zusammenhang mit der Sicherheit von Daten und der Einhaltung des Datenschutzgesetzes eingehen. Der angewendete Ansatz basiert auf dem COBIT-Modell und ist auf die Enabler der Organisationsziele im Zusammenhang mit Datenschutzrecht fokussiert. Obwohl jede Organisation ihre eigene Besonderheit hat, die die Governance und das Management von Organisationen beeinflussen, kann man bestimmte Enabler identifizieren.
Der Artikel beinhaltet somit eine Anwendung des COBIT-Modelles im Bereich des Datenschutzrechtes mit konkreten Beispielen über eine mögliche Strategie zur Minderung der Risiken im Zusammenhang mit personenbezogenen Daten.

Datenschutzrecht in Europa


Zum Datenschutzrecht gehören alle Gesetze, Verordnungen und Gerichtsentscheide, die dem Schutz der Privatsphäre dienen, das Recht auf informationelle Selbstbestimmung ausgestalten oder den Umgang mit personenbezogenen Daten regeln. Ein zentraler Begriff des Datenschutzrechtes sind die «personenbezogenen oder persönliche Daten». Personenbezogene Daten sind sämtliche Informationen, die einer bestimmten oder bestimmbaren Person zugeordnet werden können, zum Beispiel Namen, Adressen, Bankkonto, bzw. sensible Daten beispielweise medizinische Daten, politische Ansichten oder Rassenzugehörigkeit.
Personendaten dürfen nur rechtmässig bearbeitet werden, wenn man die Zustimmung der betroffenen Person oder andere legitimierte Gründe hat.
Das Datenschutzrecht hat sich international durchgesetzt und reiht sich in den Rahmen des globalen Informationsaustausches ein. Unterschiedliche Ansätze in der Umsetzung der nationalen Datenschutzgesetze führen zu Unterschieden zwischen den Ländern, die die Implementierung der Massnahmen komplizieren, insbesondere bei den Unternehmen, die in verschiedenen Ländern tätig sind, aber auch bei mittelständischen Unternehmen, die über begrenzte Ressourcen verfügen.

In Europa und in der Schweiz stammen die geltenden Datenschutzgesetze aus den 90iger Jahren, das heisst aus Zeiten, wo die Ausdehnung der elektronischen Datenverarbeitung und die Umsetzung des europäischen Binnenmarkts neue Regelungen im Rahmen des Informationsaustausches erforderten1). In der Schweiz wurde das Bundesgesetz über den Datenschutz im Juni 1992 in Kraft gesetzt2).
Neu hat die Europäische Kommission eine Revision der Regelungen bezüglich Datenschutzrechten geplant, die eine Verschärfung der Rechenschaftspflicht sowie eine Harmonisierung der Regelungen in den 27 EU Staaten beinhalten soll. Die aktuelle EU-Richtlinie zum Datenschutz wird voraussichtlich revidiert3).
Im Hinblick auf die EU-Richtlinie über Datenschutzrecht und die geplante Revision der Richtlinien kann man die folgenden Aspekte erwähnen:

• Datenschutzrecht trifft alle Organisationen, die Datenbanken mit persönlichen Informationen anlegen, d.h. von grossen multinationalen bis zu mittelständischen Unternehmen.


• Die extraterritoriale Wirkung der EU-Vorschriften bedeutet, dass die Vorschriften auch gelten, wenn eine Organisation keinen Sitz in der EU hat.

• Die Übermittlung personenbezogener Daten in die EU-Staaten oder ausserhalb der EU unterliegt bestimmten Bedingungen; besonders ausserhalb der EU darf eine solche Übermittlung nur erfolgen, wenn ein angemessenes Schutzniveau im Land des Empfängers oder innerhalb der empfangenden internationalen Organisation gewährleistet ist und diese Übermittlung ausschliesslich die Wahrnehmung von Aufgaben ermöglichen soll.
• Bei schweren Verletzungen des Schutzes von personenbezogenen Daten muss die zuständige Behörde innerhalb 24 Stunden benachrichtigt werden.

• Die kommende EU-Datenschutzrichtlinie sieht höhere Geldstrafen vor, die nach Schwere des Verstosses zwischen 0,5 und 2,0 Prozent des Umsatzes sein können.

Obwohl der Gesetzgeber darauf verzichtet, bestimmte einzelne Maßnahmen zwingend vorzuschreiben, verlangen Datenschutzgesetze neben der Benennung eines Datenschutzbeauftragten auch die Einführung von organisatorischen und technischen Massnahmen, die den Datenschutz sicherstellen, was die Geschäftsprozesse und IT-Systeme sowie das Risikomanagement von Unternehmen beeinflusst.

Datenschutz und Internes Kontrollsystem


Jede Organisation muss ihre eigenen Geschäftsinformationen sicherstellen und die gesetzlichen Anforderungen und Vorschriften erfüllen. Dafür muss ein wirksames Internes Kontrollsystem (IKS) mit entsprechenden Massnahmen zum Datenschutz implementiert sein. Im Rahmen des Datenschutzrechtes ist die Organisation verantwortlich für die Implementierung und Aufrechterhaltung von angemessenen Kontrollen über die Sammlung, die Bearbeitung und die Sicherheit der personenbezogenen Daten.
Das Enterprise Risk Management Framework (ERM) beschreibt das Interne Kontrollsystem als einen integrierten Prozess, der verschiedene Kontrollelemente enthält. Dazu gehören die Unternehmenskultur, die Struktur, Richtlinien, Kontrolltätigkeiten und die Überwachung.
Das COBIT Modell hat einen ähnlichen integrierten Ansatz. Dieses Modell zeigt nämlich eine unternehmensweite, durchgängige Perspektive der Governance und des Managements von Information (und zugehörige Technologien), in der Organisationsziele zu IT-bezogenen Zielen kaskadieren4).
Für die Implementierung einer effektiven Governance verfügt die Organisation über «Enabler», die relevante Ressourcen für die Implementierung der Governance und des Managements von Unternehmensinformationen darstellen.

Das COBIT Rahmenwerk beschreibt die folgenden sieben Enabler-Kategorien:

1. Prinzipien, Richtlinien und Rahmenwerke
2. Prozesse
3. Organisationsstruktur
4. Kultur, Ethik und Verhalten
5. Informationen
6. Services, Infrastruktur und Anwendungen
7. Mitarbeiter, Fähigkeiten und Kompetenzen

Die erste Kategorie zeigt die erwünschten Verhalten, die man in täglichen Tätigkeiten erwartet. Im Rahmen des Datenschutzrechtes beinhalten diese Enabler allgemeine Erwartungen. Prozesse beschreiben ausführliche Aktivitäten und erwartete Ergebnisse, die zur Erreichung allgemeiner datenschutzbezogener Ziele beitragen. Ein Beispiel sind die IT-Prozeduren für die Datensicherheit, die Zutritts-, Zugangs- und Zugriffskontrolle definieren.

Organisationsstruktur


Der nächste Enabler, Organisationsstruktur, vermittelt bestimmte Ziele und identifiziert die Ressourcenverantwortlichen für die Erreichung solcher Ziele. Die Organisationsstruktur hat auch mit der Gestaltung der Handlungsbeziehungen zwischen den Organisationseinheiten zu tun, und ist besorgt, dass das ganze System funktioniert.
Die Abbildung 1 zeigt ein Beispiel bezüglich Hauptverantwortlichkeiten im Zusammenhang mit dem Datenschutzrecht.

Kultur, Ethik und Verhalten


In seinen täglichen Tätigkeiten ist jeder Mitarbeiter verantwortlich für die rechtmässige Behandlung der Daten. Da Organisationen ohne Menschen nicht funktionieren können, sind individuelle Kompetenzen und eine ethische Kultur entscheidend. Kultur, Ethik und Verhalten hängen vorrangig von Menschen ab, aber die Organisationen können ein Bewusstsein bei den Mitarbeitenden mittels Datenschutz-Schulungen schaffen. Das Unternehmen kann in einem Verhaltenskodex sowie in anderen Richtlinien seine grundsätzlichen Standards und Erwartungen festlegen, die ein angemessenes ethisches Verhalten unterstützen.
Die heutige Kommunikation führt zu einem schnelleren Datenaustausch und die Mitarbeiter müssen sich bewusst sein, wie vertrauliche Unternehmensinformationen richtig zu behandeln sind und welche Verhalten und Praktiken verboten sind. Das Kopieren von Dateien auf einen USB-Stick oder auf eine externe Festplatte ist eine ernste Gefahrenquelle für den Datenschutz. Ein anderes Risiko ist die Versendung der sensiblen Daten per E-Mail ohne Verschlüsselung.

Informationen


Der fünfte Enabler des COBIT Modelles ist Informationen. Wenn Organisationen mit verschiedenen Daten zu tun haben, braucht man Informationen über diese Daten, um die Daten systematisch und ordnungsgemäss zu behandeln. Zum Beispiel stellt sich die Frage, zu welcher Kategorie die Daten gehören. Daten des Personals brauchen ein höheres Niveau an Sicherheit als andere Bereiche.
Auch für Daten gibt es einen Lebenszyklus. Die aktuellen Aufbewahrungsvorschriften in einem Land geben die minimale Zeit der Archivierung von Geschäftsunterlagen vor. Wenn die Archivierung personenbezogene Daten enthält, fordern die Datenschutzgesetze, dass die Aufbewahrung nicht länger als nötig sein muss.
Beispielsweise dürfen Kundenlisten nur für die Zeit der Geschäftsbeziehungen gespeichert werden, oder wenn eine rechtliche Pflicht es erfordert.
Eine andere wichtige Information besteht in der Klassifizierung der Daten. Jede Organisation kann ein System von Datenkategorien führen, das nach Sensitivität die Dateien klassifizieren kann. Eine ordnungsmässige Klassifizierung ist der erste Schritt für die angemessene Behandlung der Daten. Für jeden Datentyp können verschiedene Sicherheitsniveaus implementiert werden.

Services, Infrastruktur und Anwendungen


Der sechste Enabler, Services, Infrastruktur und Anwendungen, umfasst die Infrastruktur und die Technologie, die die Bearbeitung und Speicherung persönlicher Daten sicherstellen.
Angemessene Zugangskontrollen zu einem Rechenzentrum ist ein Beispiel zur physischen Kontrolle, wobei die logische Kontrolle wie zum Beispiel die Einführung von Passwörtern wichtiger ist. Die Wirkung der logischen Kontrolle ist von der angewendeten Technologie abhängig.

Fähigkeiten und Kompetenzen


Obwohl Kultur, Ethik und Verhalten zentrale Voraussetzungen sind, muss die Organisation die notwendige Fähigkeiten und Kompetenzen erwerben und weiterentwickeln. Der Datenschutzbeauftragte spielt diesbezüglich eine wichtige Rolle, denn er ist zuständig für die Überwachung der Risiken und der Geschäftsauswirkungen von Datenschutzgesetzen und er soll die Implementierung von Richtlinien und Aktivitäten steuern und koordinieren. Seine Kompetenzen bestehen darin, über die notwendigen rechtlichen Kenntnisse der Datenschutzgesetze sowie ein allgemeines Verständnis des Geschäftes und der Geschäftsprozesse zu verfügen. Obwohl der Datenschutzbeauftragte eine Beraterrolle inne hat, haben die Mitarbeiter die Pflicht, interne Verfahren zu verstehen und einzuhalten. Dafür wird erwartet, dass Mitarbeiter über die notwendigen Kompetenzen und Erfahrung verfügen.

Mit dritten Parteien muss man in einem schriftlichen Vertrag bestimmte Aspekte festlegen, zum Beispiel:

• Art und Zweck der Nutzung und Verarbeitung von Daten

• technische und organisatorische Massnahmen zur Datensicherheit

• Korrektur, Löschung und Sperrung von Daten

• physischer Ort der Auslagerung von Daten

Die Abbildung 2 illustriert den Zyklus von personenbezogenen Daten zusammen mit den sieben Enablern, die als Unterstützung des Prozesses dienen.

Fazit

Datenschutzrecht ist ein Thema, das die Organisationen in Zukunft immer mehr beschäftigen wird. Die Identifikation von gesetzlichen Anforderungen und die Festlegung von entsprechenden Massnahmen können die rechtlichen Risiken auf ein tragbares Mass reduzieren.
Das Rahmenwerk COBIT bietet einen systematischen Ansatz an, um die zur Erfüllung der Organisationsziele im Zusammenhang mit Datenschutzrecht zu ermöglichen.


Der Autor
Davide Vazzari, Dipl. Betriebswirtschaftslehre, CIA, CISA, CFE, Zürich, Switzerland.

Abbildung 1: Hauptverantwortung im Zusammenhang mit DatenschutzgesetzeN

CEO = Als Geschäftsleiter verantwortlich für die allgemeine Einhaltung der Datenschutzgesetze.
CIO = Aufbau und Strukturierung der IT-Abteilung und Festlegung der Konformitätsziele.
Datenschutzbeauftragter = Überwachung der Risiken und der Geschäftsauswirkungen von Datenschutzgesetzen, und Implementierung von Richtlinien und Aktivitäten zur Einhaltung der Datenschutzrichtlinien.
IT Manager = Schutz der Dateien.
HR und andere Business Manager = Effektive Überwachung über Behandlung der personenbezogenen Daten.

Anmerkungen

1) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr.

2) Bundesgesetz über den Datenschutz, vom 19. Juni 1992.

3) http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm

4) COBIT 5, Rahmenwerk für Governance und Management der Unternehmens-IT.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER