Weitergabekontrolle, Teil 1: Wann Weitergabekontrolle Pflicht ist

Personenbezogene Daten müssen in jeder Situation geschützt sein, egal ob sie in der Cloud gespeichert, auf einem USB-Stick transportiert oder unterwegs an die Kundendatenbank gesendet werden. In der Bewegung sind sie allerdings Gefahren ausgesetzt. Genau deshalb ist die Weitergabekontrolle so wichtig.

Bewegte Daten bekommen Laufzettel

Von Oliver Schonschek

Unter den technisch-organisatorischen Maßnahmen im Datenschutz gibt es einige Kontrollarten, die häufig falsch interpretiert werden. Die sogenannte Weitergabekontrolle aus der Anlage zu § 9 BDSG gehört dazu. Das liegt zum einen daran, dass die Bezeichnung „Weitergabe“ leicht mit „Übergabe“ zu verwechseln ist, also mit dem Prozess, durch den Daten von einer Person an eine andere übergeben werden. Tatsächlich dreht sich die Weitergabekontrolle um personenbezogene Daten, die auf irgendeine Weise unterwegs sind; sie schließt damit logisch an die Eingabekontrolle an. Die Daten müssen bei der Weitergabe vertraulich und sicher bleiben – und bereits die Planung der Übermittlung muss genau dokumentiert und prüfbar sein.

Schützen, prüfen und dokumentieren

Ein Blick in das Bundesdatenschutzgesetz (BDSG) zum Thema Weitergabekontrolle zeigt zudem, dass in dieser Kontrolle weitaus mehr steckt als eine kontrollierte Datenbewegung. So versteht man unter der Weitergabekontrolle technische und organisatorische Maßnahmen, die je nach der Art der zu schützenden Daten gewährleisten sollen,

„dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist“ (BDSG-Anlage zu § 9 Satz 1).
Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Die Vorgabe enthält zahlreiche Aufgaben für den betrieblichen Datenschutz. Angesprochen sind hier

  • der Schutz gegen unbefugtes Lesen, Kopieren, Ändern oder Entfernen von personenbezogenen Daten bei der Weitergabe;
  • die Datenübertragung, die Speicherung von Daten auf Datenträgern und der Transport von Datenträgern (dabei sind Datenträger nicht etwa nur CDs oder USB-Sticks, auch Papierdokumente sind Medien der Weitergabe); behandelt werden außerdem
  • Prüfung und Dokumentation: Es muss auch noch geprüft und festgestellt werden können, wer die Daten erhalten soll. Und auch hier gilt es, genauer hinzusehen. Gemeint ist nicht nur die nachträgliche Prüfung, sondern auch die dokumentierte Planung der Übermittlung von Daten.
Serie: Weitergabekontrolle
Teil 1 räumt mit einem Missverständnis auf und gibt einen Überblick über die datenschutzrechtlich nötigen Maßnahmen. Teil 2 geht genauer auf die Planung und Dokumentation von Datenübertragungen ein – und auf das Problem von Cloud-Diensten und (privaten) Mobilgeräten. Teil 3 begleitet die Daten beim Transport auf Trägermedien, ob USB-Stick oder Aktenordner.

Verschlüsselung ist Kernstrategie

Das umfangreiche Programm der Weitergabekontrolle erfordert natürlich den Einsatz zahlreicher Methoden und Schutzverfahren. Die Anlage zum BDSG nennt allerdings nur „die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren“ als Maßnahme. Dies soll unterstreichen, wie wichtig eine Verschlüsselung ist; keinesfalls sind damit die Methoden bereits erschöpft. Eine Kodierung hilft gegen unbefugtes Lesen, nicht aber z.B. gegen das Löschen der Daten. Auch die geplanten Datentransporte oder Datenübertragungen kann man an einer Verschlüsselung nicht „ablesen“.

Deshalb werden die nächsten Teile dieser Serie die Aufgaben der Weitergabekontrolle genauer betrachten: die Datenübertragung, den Datentransport, die Speicherung auf Datenträgern und die Dokumentation zu geplanten Datenübertragungen bzw. Datentransporten. Nicht zuletzt werden dabei die Cloud als Datenspeicher sowie mobile Endgeräte eine wichtige Rolle spielen – genau darum geht es in Teil 2 dieser Serie.
News Analyst Oliver Schonschek.JPG

Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.


Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de

Nützliche Links