11. Hinweise zum technischen und organisatorischen Datenschutz

11.1 Neue Regelungen zur Datensicherheit

Die derzeitigen Bestimmungen zu technischen und organisatorischen Maßnahmen in den Datenschutzgesetzen von Bund und Ländern - bekannt auch als die „10 Gebote der Datensicherheit” stammen aus den 70er Jahren. Auch in das DSG-LSA vom 12.03.1992 sind diese Regelungen zur Datensicherheit in § 6 Abs. 2 DSG-LSA übernommen worden.

Nach nunmehr über 20 Jahren ihrer Geltung ist durch die rasante Entwicklung im Bereich der Informations- und Kommunikationstechnik eine Anpassung dieser Regelungen geboten. Nicht zuletzt bedingt durch die schnelle Entwicklung der Informationstechnologie selbst vollzieht sich ein Paradigmenwechsel im Datenschutz. Nicht die zentral ausgerichtete Datenverarbeitung steht mehr im Vordergrund, sondern dezentralisierte und verteilte Strukturen vernetzter multimedialer Systeme, die, wie z.B. das Internet, die Welt zum „globalen Dorf” verwandeln und vielfältige Möglichkeiten zur Teilnahme an dieser globalen Kommunikation bieten. Dabei werden die Innovationszyklen in der Informationstechnologie immer kürzer, die Entwicklungen immer dynamischer und die Technik selbst immer komplexer.

Deshalb ist es notwendig, künftig neben dem Schutz der Informations- und Kommunikationstechnik den Schutz der personenbezogenen Daten selbst sicherzustellen und hierfür technologieunabhängige Sicherheitsziele zu definieren.

Angesichts dieser Entwicklungen wurden durch den ständigen Arbeitskreis „Technische und organisatorische Datenschutzfragen” der 57. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (25./26.03.1999) Empfehlungen für die Vereinheitlichung der Regelung zum technischen und organisatorischen Datenschutz vorgelegt. An den Vorarbeiten einer Arbeitsgruppe war auch der Landesbeauftragte beteiligt.

Ziel dieser Empfehlungen ist es, ein Hilfsmittel für alle am Novellierungsprozeß Beteiligten in Bund und Ländern zu geben und einen Beitrag dazu zu leisten, möglichst einheitliche , dem Stand der Technik entsprechende Regelungen zum technischen und organisatorischen Datenschutz zu finden.

Der Landesbeauftragte nahm Kontakt zum Ministerium des Innern auf und leitete diesem die „Empfehlungen für die Vereinheitlichung der Regelungen zum technischen und organisatorischen Datenschutz” mit der Bitte um Berücksichtigung bei der Novellierung des DSG-LSA zu.

Die Landesregierung hat in ihrem Entwurf eines Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 27.03.2001 diese Empfehlungen aufgegriffen und für § 6 Abs. 2 des Gesetzentwurfes diesen neuen Ansatz vorgesehen.

Die neuen Sicherheitsziele sind:

- Vertraulichkeit , d.h. nur Befugte dürfen Daten zur Kenntnis nehmen,

- Integrität , d.h. Daten müssen während der Erhebung, Verarbeitung und Nutzung unversehrt, vollständig und aktuell bleiben,

- Verfügbarkeit , d.h. Daten müssen zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet oder genutzt werden können,

- Authentizität , d.h. Daten müssen jederzeit ihrem Ursprung zugeordnet werden können,

-   Revisionsfähigkeit , d.h. es muß feststellbar sein, wer wann welche Daten in welcher Weise erhoben, verarbeitet oder genutzt hat,

- Transparenz , d.h. die Verfahren zur Erhebung, Verarbeitung und Nutzung müssen nachvollziehbar und aktuell dokumentiert sein.

Diese Sicherheitsziele sind technologieunabhängig und bieten damit einen Sicherheitsrahmen, der auch bei neuen Formen der Datenverarbeitung Bestand haben wird. Auch die EU-Datenschutzrichtlinie bedient sich dieser Begriffe.

Datenschutzkontrollinstanzen und Anwender, d.h. Hard- und Softwareentwickler, Sicherheitsexperten, Systembetreiber, sprechen damit künftig die „gleiche” Sprache.