Vertraulichkeit und Integrität – jeder von uns kennt diese Begriffe, verwendet sie ab und an und hat eine spontane Vorstellung davon, was sie bedeuten. Doch Bedeutungen haben nur vor einem bestimmten Hintergrund oder einem bestimmten Kontext Sinn.
Auch Juristen beschäftigen sich gerne mit diesen Begriffen, wenden sich damit aber nicht nur an ihre Kollegen, sondern an Normalsterbliche. In der europäischen Datenschutz-Grundverordnung richten sie sich damit an Unternehmensentscheider und Fachabteilungen, aber auch und im Besonderen an die IT. Doch was genau meinen sie damit?
Datensicherung und Datensicherheit verschmelzen
Der sechste Grundsatz der Verordnung verlangt die Integrität und Vertraulichkeit der personenbezogenen Daten. Das bedeutet zum einen, dass rechtmäßig erhobene und gespeicherte Daten nicht verlorengehen oder gelöscht werden dürfen.
Zum anderen dürfen Unbefugte nicht darauf zugreifen – weder direkt auf den Speicherort noch an irgendeiner Stelle in den verschiedenen Prozessen, in denen sie verarbeitet werden – oder sie ändern. Selbst aus Versehen oder Unachtsamkeit darf nichts Dergleichen passieren.
Die Verordnung verpflichtet die Unternehmen daher dazu, die hierfür geeigneten technischen und organisatorischen Maßnahmen einzurichten, durchzusetzen sowie lückenlos zu überwachen und zu dokumentieren.
Der Gedanke, hierbei handele es sich um eine einfache Übung – schließlich sind die Unternehmen bereits seit Jahrzehnten mit zuverlässiger Datensicherung vertraut –, führt leider in die Irre.
Die Expertise ist zwar tatsächlich vorhanden, was die Sicherung der Speicherorte anbelangt. Auch das Wissen, wie sich Revisionssicherheit bei archivierten Daten gewährleisten lässt, ist in den Unternehmen fest verankert. Doch das sind gewissermaßen statische Ansätze.
Der Grundsatz der Integrität und Vertraulichkeit bezieht sich jedoch explizit auf die Verarbeitung, nicht die Archivierung der Daten. Es geht also mehr um die Prozesse als die Orte, in denen die Datensicherheit gewährleistet sein muss. Zwar bleibt die Datensicherung weiterhin ein wesentlicher Bestandteil der Datensicherheit.
Doch genauso wichtig werden durch die Verordnung darüber hinausgehende Aspekte wie das Management von Identitäten und Berechtigungen zum Datenzugriff, deren lückenlose Überwachung und Dokumentation sowie Sicherheitsmechanismen wie Verschlüsselung, damit Daten nicht nur am Speicherort, sondern auch während der Übertragung nicht verändert werden können.
Datensicherung und IT-Sicherheit gehen also Hand in Hand. Für die IT-Abteilungen heißt das, dass die jeweils dafür zuständigen Teams koordiniert vorgehen und zusammenarbeiten müssen, um den sechsten Grundsatz der Verordnung zu erfüllen.
Keine (Rechts-)Sicherheit ohne Informationen
Diese weitergehenden Aspekte der Datensicherung und -sicherheit sind Teil eines umfassenden und prozessorientierten Informationsmanagements. OpenText ist auf das unternehmensweite Management jeder Art von Daten und Informationen spezialisiert.
Dazu zählen unter anderem die hier geforderten Lösungen für revisionssichere Archivierung, für Verschlüsselung bei der Datenübertragung sowie für Prozess- und Berechtigungsmanagement. Damit lässt sich jeder Zugriff auf personenbezogene Daten dokumentieren und nachvollziehen, während unbefugte Änderungen daran oder deren Verluste und Zerstörungen, selbst aus Versehen, effektiv verhindert werden.
Solche Fähigkeiten gehören zweifellos zu den im sechsten Grundsatz genannten technischen und organisatorischen Maßnahmen. Wer meint, auf diese Fähigkeiten erst einmal verzichten zu können, dürfte ein Problem damit bekommen.
Denn für sämtliche Grundsätze der europäischen Datenschutz-Grundverordnung, wie sie in Absatz 1, Artikel 5 EU-DSGVO aufgelistet sind, gilt laut Absatz 2 eine umfassende Rechenschaftspflicht der Verantwortlichen. Wer aber nicht über die nötigen Informationen verfügt, kann auch keine Rechenschaft ablegen.