002-2024-0426_DLBISIC01_Course_Book-2.pdf
Document Details
Uploaded by Deleted User
2024
Tags
Related
Full Transcript
EINFÜHRUNG IN DATENSCHUTZ UND IT- SICHERHEIT DLBISIC01 EINFÜHRUNG IN DATENSCHUTZ UND IT-SICHERHEIT IMPRESSUM Herausgeber: IU Internationale Hochschule GmbH IU International University of Applied Sciences Juri-Gagarin-Ring 152 D-99084 Erfurt Postanschrift: Albert-...
EINFÜHRUNG IN DATENSCHUTZ UND IT- SICHERHEIT DLBISIC01 EINFÜHRUNG IN DATENSCHUTZ UND IT-SICHERHEIT IMPRESSUM Herausgeber: IU Internationale Hochschule GmbH IU International University of Applied Sciences Juri-Gagarin-Ring 152 D-99084 Erfurt Postanschrift: Albert-Proeller-Straße 15-19 D-86675 Buchdorf [email protected] www.iu.de DLBISIC01 Versionsnr.: 002-2024-0426 Rainald Schöneberg © 2024 IU Internationale Hochschule GmbH Dieses Lernskript ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Dieses Lernskript darf in jeglicher Form ohne vorherige schriftliche Genehmigung der IU Internationale Hochschule GmbH (im Folgenden „IU“) nicht reproduziert und/oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet wer- den. Die Autor:innen/Herausgeber:innen haben sich nach bestem Wissen und Gewissen bemüht, die Urheber:innen und Quellen der verwendeten Abbildungen zu bestimmen. Sollte es dennoch zu irrtümlichen Angaben gekommen sein, bitten wir um eine dement- sprechende Nachricht. 2 INHALTSVERZEICHNIS EINFÜHRUNG IN DATENSCHUTZ UND IT-SICHERHEIT Einleitung Wegweiser durch das Studienskript................................................. 6 Weiterführende Literatur.......................................................... 7 Übergeordnete Lernziele.......................................................... 9 Lektion 1 Begriffsbestimmungen und Hintergründe 11 1.1 Informationstechnik (IT) für die Unterstützung von privaten Aktivitäten und geschäftli- chen Prozessen.................................................................. 13 1.2 Sicherheit und Schutz als Grundbedürfnisse.................................... 24 1.3 Datenschutz als Persönlichkeitsrecht.......................................... 27 1.4 IT-Sicherheit als Qualitätsmerkmal von IT-Verbünden........................... 29 1.5 Abgrenzung Datenschutz und IT-Sicherheit..................................... 31 Lektion 2 Grundlagen des Datenschutzes 35 2.1 Prinzipien................................................................... 36 2.2 Rechtliche Vorgaben......................................................... 37 2.3 Übermittlung personenbezogener Daten ins Ausland............................ 47 2.4 Informationelle Selbstbestimmung im Alltag................................... 50 Lektion 3 Grundlagen der IT-Sicherheit 53 3.1 Paradigmen der IT-Sicherheit................................................. 54 3.2 Modelle der IT-Sicherheit..................................................... 56 3.3 Rechtliche Vorgaben der IT-Sicherheit......................................... 57 Lektion 4 Standards und Normen der IT-Sicherheit 61 4.1 Grundlegende Standards und Normen......................................... 62 4.2 Spezifische Standards und Normen............................................ 69 3 Lektion 5 Erstellung eines IT-Sicherheitskonzeptes auf Basis von IT-Grundschutz 75 5.1 Strukturanalyse.............................................................. 78 5.2 Schutzbedarfsfeststellung.................................................... 80 5.3 Modellierung (Auswahl der Sicherheitsanforderungen).......................... 86 5.4 IT-Grundschutz-Check........................................................ 88 5.5 Risikoanalyse................................................................ 89 Lektion 6 Bewährte Schutz- und Sicherheitskonzepte für IT-Geräte 93 6.1 Schutz vor Diebstahl......................................................... 94 6.2 Schutz vor Schadsoftware (Malware)........................................... 95 6.3 Sichere Anmeldeverfahren.................................................... 98 6.4 Sichere Speicherung von Daten.............................................. 102 6.5 Sichere Vernichtung von Daten............................................... 104 Lektion 7 Ausgewählte Schutz- und Sicherheitskonzepte für IT-Infrastrukturen 107 7.1 Objektschutz............................................................... 108 7.2 Schutz vor unerlaubter Datenübertragung.................................... 109 7.3 Schutz vor unerwünschtem Datenverkehr..................................... 111 7.4 Schutz durch Notfallplanung................................................. 111 Verzeichnisse Literaturverzeichnis............................................................. 116 Abbildungsverzeichnis.......................................................... 118 4 EINLEITUNG HERZLICH WILLKOMMEN WEGWEISER DURCH DAS STUDIENSKRIPT Dieses Studienskript bildet die Grundlage Ihres Kurses. Ergänzend zum Studienskript ste- hen Ihnen weitere Medien aus unserer Online-Bibliothek sowie Videos zur Verfügung, mit deren Hilfe Sie sich Ihren individuellen Lern-Mix zusammenstellen können. Auf diese Weise können Sie sich den Stoff in Ihrem eigenen Tempo aneignen und dabei auf lerntyp- spezifische Anforderungen Rücksicht nehmen. Die Inhalte sind nach didaktischen Kriterien in Lektionen aufgeteilt, wobei jede Lektion aus mehreren Lernzyklen besteht. Jeder Lernzyklus enthält jeweils nur einen neuen inhaltlichen Schwerpunkt. So können Sie neuen Lernstoff schnell und effektiv zu Ihrem bereits vorhandenen Wissen hinzufügen. In der IU Learn App befinden sich am Ende eines jeden Lernzyklus die Interactive Quizzes. Mithilfe dieser Fragen können Sie eigenständig und ohne jeden Druck überprüfen, ob Sie die neuen Inhalte schon verinnerlicht haben. Sobald Sie eine Lektion komplett bearbeitet haben, können Sie Ihr Wissen auf der Lern- plattform unter Beweis stellen. Über automatisch auswertbare Fragen erhalten Sie ein direktes Feedback zu Ihren Lernfortschritten. Die Wissenskontrolle gilt als bestanden, wenn Sie mindestens 80 % der Fragen richtig beantwortet haben. Sollte das einmal nicht auf Anhieb klappen, können Sie die Tests beliebig oft wiederholen. Wenn Sie die Wissenskontrolle für sämtliche Lektionen gemeistert haben, führen Sie bitte die abschließende Evaluierung des Kurses durch. Die IU Internationale Hochschule ist bestrebt, in ihren Skripten eine gendersensible und inklusive Sprache zu verwenden. Wir möchten jedoch hervorheben, dass auch in den Skripten, in denen das generische Maskulinum verwendet wird, immer Frauen und Män- ner, Inter- und Trans-Personen gemeint sind sowie auch jene, die sich keinem Geschlecht zuordnen wollen oder können. 6 WEITERFÜHRENDE LITERATUR ALLGEMEIN Harich, T. (2015): IT-Sicherheit im Unternehmen. Mitp, Frechen. 978-3958451285 Kappes, M. (2013): Netzwerk- und Datensicherheit. Eine praktische Einführung. 2. Auflage, Springer Vieweg, Wiesbaden. Kersken, S. (2023): IT-Handbuch für Fachinformatiker. Der Ausbildungsbegleiter. 11. Auflage, Rheinwerk, Bonn. Kneuper, R. (2021): Datenschutz für Softwareentwicklung und IT. Springer Vieweg, Wiesba- den. Willems, E. (2015): Cybergefahr: Wie wir uns gegen Cyber-Crime und Online-Terror wehren können. Springer Vieweg, Wiesbaden. LEKTION 1 Goeken, M./Roßbach, P. (2013): Grundlagen, Herausforderungen und methodische Unter- stützung. In: IT-Governance, Heft 14, S. 3–7. LEKTION 2 Europäische Union (2016): VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbei- tung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtli- nie 95/46/EG (Datenschutz-Grundverordnung). (Im Internet verfügbar.) Voigtländer, D./Schmischke, T. (2011): Der Datenschutzbeauftragte. In: HMD – Praxis der Wirtschaftsinformatik, Heft 281, S. 52–61. LEKTION 3 Bundesamt für Sicherheit in der Informationstechnik (BSI) (2023): Die Lage der IT-Sicher- heit in Deutschland 2023. Bonn. (Im Internet verfügbar). 7 LEKTION 4 ISACA-Fachgruppe IT-Risikomanagement mit COBIT (2015): Heartbleed – IT-Risikomanage- ment mit COBIT in der Praxis. Welchen Nutzen hat COBIT bei Security-Vorfällen wie Heartbleed? In: IT-Governance, Heft 20, S. 23–28. LEKTION 5 Bundesamt für Sicherheit in der Informationstechnik (BSI) (2021): Informationssicherheit mit System - Der IT-Grundschutz des BSI. Bonn. (Im Internet verfügbar). LEKTION 6 Bundesamt für Sicherheit in der Informationstechnik (BSI) (o. J.): Basisschutz für Computer & Smartphone. Sichere Einrichtung Ihres Computers, Tablets und Smartphones. Bonn. (Im Internet verfügbar). LEKTION 7 McCreight, T./Leece, D. (2016): Physical security and IT convergence: Managing the cyber- related risks. In: Journal of Business Continuity & Emergency Planning, 10. Jg., Heft 1, S. 18–30. 8 ÜBERGEORDNETE LERNZIELE Der Kurs Einführung in Datenschutz und IT-Sicherheit vermittelt Ihnen einen Überblick über die wichtigsten Grundlagen dieses Fachgebiets. Nach erfolgreicher Teilnahme verstehen und beherrschen Sie die rechtlichen Rahmenbe- dingungen des Datenschutzes und der IT-Sicherheit sowie theoretische Modelle, operative Ziele und grundlegende Prinzipien des Datenschutzes und der IT-Sicherheit. Außerdem werden Sie wichtige Standards und Managementansätze der IT-Sicherheit kennenlernen. Zuletzt werden noch bewährte Schutz- und Sicherheitskonzepte für IT-Geräte und IT-Infra- strukturen vorgestellt. 9 LEKTION 1 BEGRIFFSBESTIMMUNGEN UND HINTERGRÜNDE LERNZIELE Nach der Bearbeitung dieser Lektion werden Sie wissen, … – was Informationstechnik bedeutet und wie sie funktioniert. – wie die Begriffe Sicherheit und Schutz zu verstehen sind. – was Datenschutz bedeutet und worauf er begründet ist. – was IT-Sicherheit bedeutet und wie sie zum Datenschutz steht. 1. BEGRIFFSBESTIMMUNGEN UND HINTERGRÜNDE Einführung Die Informationstechnik (IT) ist heute allgegenwärtig: im Haus, im Auto, am Arbeitsplatz etc. Auch Privatpersonen können sich heute ein Leben ohne E-Mail, Facebook und Google fast nicht mehr vorstellen. Für Verbände, Behörden und Unternehmen ist das Thema „Digitalisierung“ in einem globalen Umfeld ein Muss. Die Stichworte hier sind „Industrie 4.0“ und „Wirtschaft 4.0“. Mit der überall zu beobachtenden Zunahme des Grades der Digitalisierung sind alle Nutzer immer mehr auf Informations- und Kommunikationssysteme angewiesen. Viele machen sich deshalb zu Recht Gedanken über die Sicherheit ihrer Daten und Geräte. Und dann erfahren sie in den Medien, dass soziale Netzwerke Mitgliederdaten unerlaubt an Werbetreibende weitergeben, dass Hackern der Zugriff auf Millionen von Kundendaten gelingt und dass Krankenhäuser Patientendaten ungeschreddert im Altpapiercontainer entsorgen. Spätestens seit den Enthüllungen von Edward Snowden, einem amerikanischen Whistleb- lower und ehemaligen CIA-Mitarbeiter, muss davon ausgegangen werden, dass Geheim- dienste ungehindert Zugriff auf unsere Smartphones, Computer und E-Mails haben, dass sie zudem von den Herstellern eigene Hintertüren für verschlüsselte Geräte fordern und, dass sie sogar mit dem Verbot jeglicher verschlüsselter Kommunikation liebäugeln (Davies 2019). Dies sind leider keine hypothetischen Szenarien – immer wieder gelangen Informationen über einen unerwünschten oder unerlaubten Zugriff auf persönliche oder geschäftliche Daten and die Öffentlichkeit. Und das, was bekannt wird, ist nach Einschätzung von Exper- ten nur die Spitze des Eisbergs. Dieser ungewollte Zugriff erfolgt aber nicht nur durch Kriminelle oder Geheimdienste. So steht beispielsweise seit den jüngsten Terroranschlägen für Bundesinnenminister Thomas de Maizière fest: „Datenschutz ist schön, aber in Krisenzeiten wie diesen hat Sicherheit Vorrang.“ Und in diesem Sinne verschärfte die Bundesregierung die anlasslose Speiche- rung von E-Mail und Telefon-Verbindungsdaten. Sie gab gar den sogenannten Bundestro- janer frei. Was bedeutet aber nun eigentlich Datenschutz? Was meint der Begriff Sicherheit bei Infor- mations- und Kommunikationssystemen? Welche Bedrohungen und Gefährdungen sind realistisch? Wie kann ich mich oder mein Unternehmen davor schützen? 12 Antworten zu diesen und vielen weiteren Fragen gibt das vorliegende Skript. Es führt in die wichtigsten Aspekte des Datenschutzes und der IT-Sicherheit ein, wobei praktische Mechanismen und konkrete Lösungen den Schwerpunkt bilden. Hinzu kommt eine einfüh- rende Behandlung rechtlicher Aspekte im nationalen und internationalen Kontext. Abgerundet wird die Themenbehandlung durch die Erläuterung empfohlener Handlungs- weisen zur Prävention, Erkennung und Korrektur von Datenschutz- und IT-Sicherheitspan- nen. Mit den genannten Lernzielen vor Augen liegt der Fokus zunächst – soweit für das Ver- ständnis des Folgenden erforderlich – auf dem Begriff „Informationstechnik“ und den wesentlichen technischen und organisatorischen Komponenten der Informationstechnik. Anschließend folgt eine kurze Diskussion der Begriffe Sicherheit und Schutz, die es dann gestattet, sowohl Datenschutz als auch IT-Sicherheit begrifflich und relativ zueinander ein- zuordnen. 1.1 Informationstechnik (IT) für die Unterstützung von privaten Aktivitäten und geschäftlichen Prozessen Informationstechnik (IT) bezeichnet einen konkreten Einsatz von elektronischen Geräten für die Erhebung und Verwendung von Daten durch Menschen oder Maschinen. IT hat also stets einen bestimmten Anwendungsbereich in einer realen ökonomischen und/oder sozi- alen Umgebung. Dieser Anwendungsbereich kann eine Einzelperson, eine gesamte Firma oder auch nur ein einzelner Teil einer Firma (Beispiel: Abteilung) sein. Zudem benötigt IT stets (elektronische) Geräte und ist – in den meisten Fällen – in eine Arbeitsorganisation fest eingebunden. Diese Arbeitsorganisation orientiert sich dabei oft an Geschäftsprozes- sen. Im privaten Bereich dient die Informationstechnik persönlichen Aktivitäten wie E-Mail und Chat. Daten sind in der Informationstechnik formalisierte Darstellungen von Sachverhalten, Konzepten, Vorstellungen und Anweisungen, die für die Übertragung, Speicherung und die Verarbeitung durch Menschen oder Maschinen geeignet sind. Eine Information ist dann die Bedeutung, die diesen aufgrund der den Daten zugrundeliegenden Vereinbarungen (Konventionen) beigelegt werden kann. Folglich ist die Bezeichnung Informationstechnik eigentlich etwas irreführend: Sie befasst sich gar nicht mit Informationen, sondern mit for- malisierten Darstellungen von Informationen. In diesem Zusammenhang ist auch noch der Begriff Signal wichtig. Signale sind Darstel- lungen von Daten durch charakteristische, räumliche und/oder zeitliche Veränderungen der Werte physikalischer Größen. Die folgende Grafik zeigt das Zusammenspiel von Informationen, Daten und Signalen bei menschlichen Kommunikationsprozessen: 13 Abbildung 1: Informationen, Daten und Signale Quelle: erstellt im Auftrag der IU, 2017. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt eine konkrete Aus- prägung der Informationstechnik einen „IT-Verbund“. Dieser umfasst also alle technischen und alle organisatorischen Komponenten des konkreten Anwendungsbereiches, wobei für die technischen Komponenten auch der Begriff „IT-Infrastruktur“ gebräuchlich ist. Wesentliche Bestandteile einer IT-Infrastruktur sind dabei Hardware, Software und bauli- che Einrichtungen. Zur Hardware – den eigentlichen (elektronischen) Geräten – gehören die Rechengeräte (z. B. Computer, Tablets, Smartphones, Phablets [ein Kurzwort aus Phone und Tablet]), die Netzwerkgeräte (z. B. Switches, Router), Peripheriegeräte (z. B. Tastatur, Bildschirm, Drucker, Scanner, Kameras) sowie Geräte zum Betrieb der Hardware (z. B. unterbrechungsfreie Stromversorgungen). Zur Software gehört neben den anwen- dungsspezifischen Teilen (heute Applikationen oder kurz Apps genannt) vor allem die Sys- temsoftware (z. B. Firmware, Betriebssystem). Außerdem umfasst die technische IT-Infra- struktur die speziell für die Informationstechnik ausgestatteten Räumlichkeiten (z. B. Gebäude mit Zugangskontrolle, Räume mit spezieller Klimatechnik) und ihre Standorte. 14 Abbildung 2: Technische Komponenten eines IT-Verbundes Quelle: erstellt im Auftrag der IU, 2017. Hardware und Software der Rechengeräte entsprechen bis zum heutigen Tag dem bewährten Von-Neumann-Konzept für Rechnerarchitekturen: 15 Abbildung 3: Von-Neumann-Rechnerarchitektur Quelle: erstellt im Auftrag der IU, 2017. Dieses Konzept beschreibt die Architektur eines Universalrechners, der erst durch Soft- ware Funktionalität erlangt und in dem Programme und Daten binär, also allein mit den Zeichen 0 und 1, dargestellt und verwendet werden. Hardware und Software kooperieren bei den heutigen Rechengeräten mit Windows-, Linux-, OS X-, iOS- und Android-Betriebssystemen prinzipiell wie folgt: Nach dem Einschal- ten ist für den sogenannten Boot-Vorgang die Firmware zuständig. Diese übernimmt die Grundfunktionen der Initialisierung bis zum Start des Betriebssystems. Die Firmware ist heutzutage eine UEFI-kompatible Firmware. Das Unified-Extensible-Firmware-Interface Unified-Extensible- (UEFI) ermöglicht eine modulare Erweiterung der Firmware durch verschiedene Firm- Firmware-Interface ware-Module. Hierzu können zum Beispiel ein eingebettetes Netzwerkmodul für die Fern- Das Unified-Extensible- Firmware-Interface (UEFI) wartung, Module für Digital Rights Management (DRM), die BIOS-Emulation oder auch der bildet die Schnittstelle Bootloader eines Betriebssystems gehören. UEFI beinhaltet zudem die Möglichkeit zur zwischen Firmware und Nutzung eines Secure-Boot-Mechanismus, der den Start von Betriebssystemen auf aus- Betriebssystem und ersetzt das Basic Input/ drücklich erlaubte Dateien beschränkt. Output System (BIOS). Netzwerkgeräte unterstützen entweder lokale Netzwerke einer einheitlichen Technologie (Beispiele: LAN, WLAN, Bluetooth) oder Netzwerke von Netzwerken, die heute überwie- gend auf der Protokollfamilie TCP/IP beruhen. 16 Ein LAN verwendet typisch die Ethernet-Technik nach IEEE 802.3, eine kabelgebundene Technik zur Übertragung von Daten. Sender und Empfänger werden hier durch eine soge- nannte MAC-Adresse eindeutig identifiziert, die aus 48 Bit besteht und – typisch – hexade- zimal angegeben wird: 00–80–41-ae-fd-7e. Die Adresse ff-ff-ff-ff-ff-ff ist hierbei für Übertra- gungen an alle Teilnehmer reserviert und wird Broadcast-Adresse genannt. Die zu übertragenden Daten werden in einen Rahmen (Frame) eingebettet, der auch die Sender- und die Empfänger-MAC-Adresse enthält, und an alle Teilnehmer übermittelt, wobei aber nur der explizit benannte Empfänger den Rahmen tatsächlich verwenden sollte. Die Über- mittlung erfolgt nach dem First-Come-First-Served (FCFS)-Prinzip: Ein sendewilliger Teil- nehmer prüft, ob das gemeinsame Übertragungsmedium frei ist, und sendet – gegebenen- falls nach einer zufälligen Verzögerung und erneuten Prüfung – seinen Rahmen. Während der Übermittlung achtet er darauf, ob andere Teilnehmer ebenfalls senden, und bricht gegebenenfalls seine Übertragung ab. Für die physikalische Übertragung der Rahmen an die Teilnehmer werden ein Hub oder ein Switch verwendet. Hubs stellen dabei mit einer sternförmigen Verkabelung mit Kabeln des CAT-Standards und RJ-45-Steckern bzw. -Buch- sen lediglich die physikalisch einwandfreie Übertragung an alle angeschlossenen Geräte sicher. Switches leisten zusätzlich eine intelligente Auswertung der Sender- und Empfän- geradressen, die dazu führt, dass nicht unbedingt alle Teilnehmer jeweils alle Rahmen empfangen. Eine Randbemerkung: Die Abkürzung MAC wird im Bereich der IT-Sicherheit in mehreren verschiedenen Bedeutungen verwendet, die nicht verwechselt werden dürfen. Neben der hier beschriebenen MAC-Adresse, bei der MAC für „Media Access Control“ steht, gibt es auch noch die bei den Grundlagen der IT-Sicherheit beschriebene Zuweisung von Zugriffs- rechten über „Mandatory Access Control“ sowie die sogenannten „Message Authentica- tion Codes“, also schlüsselgesteuerte Hashfunktionen. Eine Hash-Funktion ist formal gesehen eine (mathematische) Funktion, die einen Eingabe- wert beliebiger Länge auf einen Ausgabewert (Hashwert) fester, im Vergleich meist relativ kurzer, Länge abbildet, und u.a. als Prüfsumme verwendet wird. Einfaches Beispiel: Wenn man von einer beliebig langen natürlichen Zahl wiederholt die Quersumme bildet, erhält man schließlich eine einstellige Zahl. Diesen Hashwert kann man dann als Prüfsumme ver- wenden, ob die ursprüngliche Zahl korrekt übermittelt wurde, und zumindest falsche Übertragungen einer einzelnen Ziffer auf diesem Weg erkennen. Neben diesen einfachen Hashfunktionen gibt es auch kryptografische Hashfunktionen, die einige Zusatzbedingun- gen erfüllen, hier aber nicht weiter betrachtet werden sollen. Ein WLAN entspricht funktional im einfachsten Fall einem LAN auf Ethernet-Basis, das aber kabellos mit Funkverbindungen operiert. Potenzielle Teilnehmer eines WLANs senden regelmäßig sogenannte Beacons, um ihre Präsenz anzuzeigen. Die Verbindung und der Datenaustausch erfolgen dann unmittelbar in einem Ad-Hoc-Netzwerk oder über einen Access Point (AP) in einem Infrastruktur-Netzwerk. IEEE 802.11 spezifiziert dazu nicht nur unterschiedliche Frequenzbereiche und Geschwindigkeiten, sondern auch Protokolle für die Auswahl des nächsten sendewilligen Teilnehmers und die Weitergabe von Teilneh- mern an andere APs (Stichwort: Roaming). 17 Bluetooth war ursprünglich eine kabellose Übertragungstechnik für Sprache und Daten im Nahbereich (sogenannte Piconets). Mittlerweile bieten die aktuellen Versionen 4.x Leistun- gen und Reichweiten, die in Konkurrenz zu WLANs stehen. TCP/IP ist eine Netzwerktechnik, die mithilfe einer übergeordneten Adressierungssystema- tik die Datenübertragung über die Grenzen von Netzwerken mit einheitlicher Übertra- gungstechnik, wie etwa Ethernet, gestattet. Die verschiedenen Protokolle dieser Technik, also die Vereinbarungen, die das Kommunikationsverhalten der Teilnehmer syntaktisch und semantisch festlegen, unterstützen dabei einander, um diese Leistung zu erbringen: Abbildung 4: TCP/IP-Protokollfamilie (Ausschnitt) Quelle: erstellt im Auftrag der IU, 2017. Jeder Teilnehmer erhält in TCP/IP-Netzwerken eine eindeutige und strukturierte Adresse, die IP-Adresse. Eine IP-Adresse ist – jedenfalls in der hier nur betrachteten Version 4 – eine 32 Bit-Zahl, die meist – für eine bessere Lesbarkeit – durch vier durch Punkte getrennte Zahlen zwischen 0 und 255 geschrieben wird, z. B. 195.247.86.5. Da sich Menschen norma- lerweise Zahlen schlecht merken, können IP-Adressen durch einen Namen repräsentiert werden. So steht der Name www.iu.de beispielsweise für die IP-Adresse 78.137.97.49. Die erforderliche Umsetzung übernimmt das Domain Name System (DNS). Die Zuordnungsta- belle wird dabei in sogenannten DNS-Servern gespeichert und zum Abruf bereitgehalten. 18 Bei jedem Verbindungswunsch mit einem nur namentlich bekannten Teilnehmer leistet zunächst der DNS die Umwandlung des Namens in die zugehörige IP-Adresse, mit der dann die Datenübermittlung über die Wegewahleinheiten (Router) erfolgt. Diese Router sind die fundamentalen Bausteine der TCP/IP-Netzwerktechnik. Sie realisie- ren das Internet Protocol (IP), indem sie Dateneinheiten (Datagramme) auf Basis der Netz- adressen von einem Sender zu einem Empfänger durch ein oder mehrere Zwischennetze hindurchbewegen. Dies geschieht verbindungslos: Router versuchen Datagramme in Rich- tung Empfänger zu bewegen, geben aber auf, wenn der Weg zum Empfänger sich als zu komplex erweist. In diesem Fall wird das Datagramm einfach vernichtet, ohne dass der Empfänger davon erfährt. Es wird lediglich ein – eher halbherziger – Versuch unternom- men, den Sender hierüber zu informieren. Router erwarten bei ihrer Arbeit von den beteiligten Netzen lediglich, dass sie ein Daten- paket innerhalb des jeweiligen Netzes übertragen können. Dies leisten beispielsweise alle Netze auf Ethernet Basis. Das Transmission Control Protocol (TCP) dient innerhalb dieser Protokollfamilie der Transmission Control zuverlässigen und verbindungsorientierten Datenübertragung mit Routern. TCP verwen- Protocol (TCP) Das Transmission Control det dazu sender- und empfangsseitig sogenannte Ports, über die Sender und Empfänger Protocol (TCP) ist ein für eine konkrete Datenübertragung fest gekoppelt werden. Vor der eigentlichen Daten- zuverlässiges, verbin- übertragung wird bei TCP zwischen Sender und Empfänger vereinbart, über welche Ports dungsorientiertes Trans- portprotokoll für den Ein- die Übertragung stattfinden soll, und während der Datenübertragung wird dafür gesorgt, satz in paketvermittelten dass gegebenenfalls verloren gegangene Datagramme erneut auf den Weg gebracht wer- Netzwerken. den. Da Router bei jedem Datagramm Zugriff auf die IP-Adressen und die gegebenenfalls ver- wendeten Ports haben, können sie zusätzliche Leistungen erbringen. Häufig fungieren sie beispielsweise auch als Firewall, d. h., sie unterbinden die Weiterleitung von Datagram- men auf Basis von Regeln, die Ports und/oder IP-Adressen als unzulässig spezifizieren. Der Begriff Firewall bezeichnet im Übrigen ursprünglich eine Trennwand, die ein Übergreifen von Feuer etwa im Auto verhindern soll. Neben TCP gibt es auch noch das User Datagram Protocol (UDP) in der TCP/IP-Protokollfa- milie, welches ähnlich wie TCP funktioniert, aber verbindungslos bleibt und somit ohne die Sicherstellung der Vollständigkeit einer Datenübertragung agiert. Es wird z. B. für Bild- und Tonübertragungen verwendet, da hier eine gewisse Anzahl von Fehlern wenig störend ist. Insbesondere die Internettelefonie, die oft Voice over IP (VoIP) genannt wird, nutzt die- ses Protokoll. Dabei muss man aber zwischen den Datagrammen für den Verbindungsauf- bau und -abbau und den Datagrammen mit den Sprachpaketen unterscheiden: Die Ver- bindungsdaten müssen natürlich fehlerfrei übertragen werden. Ohne eine definierte Verbindung ist ja schließlich keine Kommunikation möglich. Dagegen müssen die Sprach- pakete möglichst schnell und verzögerungsfrei unterwegs sein. Daher nimmt man – bis zu einem gewissen Grade – eine unvollständige Übertragung in Kauf. Wenn mal ein Sprach- paket verloren geht, dann ist das nicht weiter schlimm. All diese Techniken und Protokolle unterstützen die Übertragung von Daten auf der Anwendungsebene. Wichtige Protokolle und Dienste auf Anwendungsebene sind: 19 File Transfer Protocol (FTP) zur Übertragung von Dateien zwischen Geräten, beispiels- weise um eine Datei auf einen Server zu laden. Hypertext Transfer Protocol (HTTP) zur Übertragung von HTML-Seiten (Webseiten). Simple Mail Transfer Protocol (SMTP) dient der Übertragung von E-Mails an Server. Domain Name Service (DNS) liefert, auf Basis eines entsprechenden Verzeichnisses, zu Domänennamen (z.B. iu.org) die zugehörige IP-Adresse (z.B. 18.158.73.242) Voice over IP (VoIP) dient der Übertragung von Audio-Daten über digitale Netze und wird insbesondere für die Telefonie verwendet. Da die meisten solchen Anwendungsdienste ursprünglich ohne Berücksichtigung von Sicherheitsfragen entwickelt wurden, gibt es oft auch eine (oder sogar mehrere) beson- ders gesicherte Variante, beispielsweise FTPS und SFTP, HTTPS, DNSSEC und DNS over HTTPS. Die organisatorischen Komponenten eines IT-Verbundes erweitern die IT-Infrastruktur um institutionelle und personelle Aspekte. Institutionelle Aspekte sind sowohl Gesetze und Standards als auch organisatorische Strukturen, die Einfluss auf den konkreten IT-Verbund haben (Datenschutzbeauftragter, Betriebsrat, …). Personelle Aspekte umfassen die Anzahl und die Qualifikationen der Mitarbeiter, die für die Planung, Wartung und den Betrieb des IT-Verbundes unerlässlich sind. Abbildung 5: Organisatorische Komponenten eines IT-Verbundes Quelle: erstellt im Auftrag der IU, 2017. Zum besseren Verständnis dieser Terminologien soll zum Abschluss dieses Abschnitts der (ursprüngliche) IT-Verbund der Arztpraxis Dr. med. Heilemacher exemplarisch vorgestellt werden. Hier und auch später stützt sich die Darstellung auf fachliche Terminologien und Konzepte aus Kassenärztliche Bundesvereinigung (KBV 2016). 20 Kernstück der Informationstechnik dieser Arztpraxis ist das Praxisverwaltungssystem (PVS). Es bildet den gesamten Ablauf dieser Arztpraxis ab. Dies beginnt mit der Erhebung von Personalien und Versicherungsbedingungen und umfasst im Weiteren u. a.: Patientenakten, also Übersichten über Lebensdaten, Diagnosen und Behandlungen der Patienten, Dokumentationen von Messwerten und Therapieplänen sowie freie Notizen des Arztes; Zeit- und Aufgabenplanung des Arztes mit Agenda, Wartezimmer-Info, Aufgabenliste; Abholung von Laborresultaten über Internetverbindung und Meldung über eingetrof- fene neue Laborwerte; Erstellen und Übermitteln von Berichten, Bescheinigungen und Rezepten; Fakturierung und Abrechnungswesen nach deutscher Gesetzgebung; Statistiken über erbrachte Leistungen; Lagerverwaltung der Apotheke. Der Arzt Dr. med. Heilemacher ist der Praxisinhaber (PI). Angestellt sind mehrere Sprech- stundenhilfen und Assistenzärzte. Dieses Praxispersonal (PP) hat Zugriff auf das Praxisver- waltungssystem (PVS) und somit Zugriff auf Patientendaten. Es werden täglich automa- tisch Backups auf einem Archivrechner gespeichert. Manuell werden davon wöchentlich Kopien auf externen Datenträgern angelegt und außer Haus gebracht. Das Praxispersonal hat keinen Zugriff auf den Archivrechner oder die Sicherungskopien. 21 Abbildung 6: Praxisnetz Dr. med. Heilemacher Quelle: erstellt im Auftrag der IU, 2017. Die Abbildung veranschaulicht die (vereinfachte) IT-Infrastruktur der Praxis, mit zugehöri- gen IP-Adressen aus dem „privaten“ Nummernbereich 192.168.0.0/16. Verschiedene Gerä- tetypen werden über den Switch (ITS-2) mithilfe der Ethernet-Technik (RJ-45, CAT-5E) ver- bunden. Die Kartenlesegeräte (ITS-1) werden als eigenständige Geräte direkt an das Netz angeschlossen, nicht an einen Computer. Der PVS-Server (S-1) baut über das DSL-Modem & Router (N-1) eine Verbindung zur TI auf (TI = Telematik-Infrastruktur für die elektroni- sche Gesundheitskarte [eGK]). Der IT-Dienstleister (DL) schaltet sich für Fernwartungsauf- gaben über das Internet auf S-1 auf. Die nachfolgenden, tabellarischen Informationen detaillieren den IT-Verbund dieser Arzt- praxis weiter: 22 Tabelle 1: Geräte der Arztpraxis Nr. Beschreibung Plattform Anzahl IP-Adresse Räume C-1 Arbeitsplatzrechner Windows 7 9 192.168.0.140–148/16 R1–R9 C-2 Laptop Windows 7 1 192.168.0.149/16 R10, R50 ITS-1 Kartenterminal 2 192.168.0.130–131/16 R1, R9 ITS-2 Switch 1 R1 ITS-3 Drucker 1 192.168.0.132/16 R9 N-1 DSL-Modem & Rou- 1 192.168.0.100/16 R1 ter S-1 Server für Praxis- Windows Ser- 1 192.168.0.150/16 R1 verwaltungssystem ver 2008 S-2 Server für Archivie- Windows Ser- 1 192.168.0.151/16 R1 rungssystem ver 2008 TK-1 Telefone Internet- 4 192.168.0.120–123/16 R2, R4, Telefonie R5, R9 (VoIP) TK-2 Faxgerät Faxgerät 1 192.168.0.110/16 R1 Quelle: erstellt im Auftrag der IU, 2017. Tabelle 2: Räume der Arztpraxis Nr. Art Gebäude IT-Systeme/Datenträger R1 Serverraum Praxis S-1, S-2, C-1, N-1, ITS-1, ITS-2,TK-2 R2 Büro Arzt Praxis C-1 , TK-1 R3–8 Behandlungsraum Praxis C-1, TK-1 (in R4 und R5) R9 Rezeption Praxis C-1, ITS-1, ITS-3, TK-1 R10 Teeküche Praxis C-2 R50 Heimischer Büroraum Praxisinhaber C-2, externe Archiv-Datenträger R99 Büroraum IT-Dienstleister Fernwartung von S-1 Quelle: erstellt im Auftrag der IU, 2017. Institutionell sind für diese Arztpraxis vor allem zu nennen: die geltende Berufsordnung, die zuständige Ärztekammer, die Krankenversicherungen und die Kassenärztlichen Verein- igungen. Insbesondere muss das Praxispersonal über das, was ihm anvertraut oder bekannt geworden ist – auch über den Tod der Patientin bzw. des Patienten hinaus –, 23 schweigen: Schriftliche Mitteilungen der Patientin bzw. des Patienten, ärztliche Aufzeich- nungen, Röntgenaufnahmen und sonstige Untersuchungsbefunde dürfen Unbefugten nie- mals zugänglich sein. 1.2 Sicherheit und Schutz als Grundbedürfnisse Der Mensch zeichnet sich gegenüber vielen anderen Lebewesen auch dadurch aus, dass er zunächst überhaupt ein bewusstes Konzept der Zukunft hat und dann noch versucht, zukünftige Umstände zu wissen und zu bestimmen. Nun sind aber viele zukünftige Umstände – jedenfalls nach dem heutigen Stand der Wissenschaft – nicht bestimmt und nicht gewiss. Jeder hat die Diskrepanz zwischen Erwartung und Realität bereits – manch- mal schmerzlich – kennengelernt. Man bezeichnet das Ausmaß der Bestimmtheit und Gewissheit von zukünftigen Umstän- den als Sicherheit. Sicherheit ist dementsprechend eine Erwartungssicherheit. Sie ist auf die Zukunft ausgerichtet und ist in ihrem Ausmaß an den jeweiligen Beobachter gebun- den. Sie muss als relative Eindeutigkeit im Hinblick auf die Zukunft verstanden werden und misst die mehr oder weniger eindeutige Kenntnis zukünftiger Ereignisse. Daher ist eine große Sicherheit schon seit Urzeiten ein grundlegendes Bedürfnis der Men- schen. Sie waren und sind nämlich zahllosen Unsicherheiten ausgesetzt, mit denen sie sich auseinandersetzen müssen. Diese Auseinandersetzung ist für jeden Menschen notge- drungen eine Kombination aus Intuition und Wahrscheinlichkeitsrechnung. Zu dieser Aus- einandersetzung gehört also auch, dass man gelegentlich ein Risiko eingehen muss. Sicherheit ist folglich ein (relativer) Zustand der zukünftigen Störungs- und Gefahrenfrei- heit, der stets nur für einen bestimmten zeitlichen Horizont, eine bestimmte Umgebung und unter bestimmten Bedingungen gegeben ist. Im Extremfall können sämtliche Vorkeh- rungen zur Erhöhung der Sicherheit zu Fall gebracht werden durch Ereignisse, die sich nicht beeinflussen oder voraussehen lassen (beispielsweise ein Blitzeinschlag). Sicherheit bedeutet daher nicht, dass Störungen und Gefahren vollständig ausgeschlossen sind, son- dern nur, dass sie hinreichend (beispielsweise im Vergleich zur Wahrscheinlichkeit eines Lottogewinns) unwahrscheinlich sind. Bei Sicherheit kann es also nicht um die Herstellung von absoluter Sicherheit gehen, son- dern immer nur um den Umgang mit den verbleibenden, zukünftigen Störungen und Gefahren. Anders als im englischen Sprachraum wird im Deutschen normalerweise nicht zwischen den beiden Sicherheitsaspekten Security (Sicherheit gegen Einwirkungen [„Immunität“]) und Safety (Sicherheit der Auswirkungen [„Isolation“]) unterschieden, beide Begriffe wer- den stattdessen allgemein unter Sicherheit zusammengefasst. Paradoxerweise ist dem- nach im Deutschen Sicherheit nicht gleich Sicherheit (Security != Safety). Es ist aber 24 unmittelbar einsichtig, dass in vielen praktisch relevanten Fällen Security Voraussetzung für Safety ist und damit einen gewissen Vorrang genießt. Daher geht es bei Sicherheits- überlegungen – und auch hier – meist eher um Aspekte der Security. Alles was ausdrücklich der Erhöhung der Sicherheit dient, wird als Schutz bezeichnet. Schutz fördert demnach gezielt die Bestimmtheit und Gewissheit zukünftiger Umstände. Ein Schutz bietet also Sicherheit und fördert das Sichersein. Die entsprechenden Maßnah- men sind definitionsgemäß präventiv, also in die Zukunft gerichtet: Störungen und Gefah- ren der Sicherheit sollen durch gewisse Vorkehrungen verhindert werden. Präventive Schutzmaßnahmen sind dabei psychologisch, technisch oder organisatorisch. Nicht sel- ten versagt aber die Prävention. Dann ist es zwingend angezeigt, die Detektion mit einer anschließenden Reaktion zu forcieren. Die Aufgabe der Detektion ist es schnell zu erken- nen, wenn Angriffe stattfinden, um darauf reagieren und die Angriffe abwehren zu können. Anschließend erfolgt die Reaktion, also neben der Korrektur auch die Sanktionierung von Fehlentwicklungen. Sanktionierungen sind oft im Straf- oder Zivilrecht begründet. Abbildung 7: Sicherheitszyklus Quelle: erstellt im Auftrag der IU, 2017. Zur Verbesserung des Schutzes haben sich Menschen schon seit Langem zu sozialen und politischen Gemeinschaften zusammengeschlossen. Sie erwarten für sich einen umfas- senden, garantierten Schutz durch diese Gemeinschaften und dabei insbesondere den Schutz der Person. Hierbei wird bezüglich des Schutzanspruches oft hinsichtlich unter- schiedlicher persönlicher Schutzbereiche differenziert: 25 Abbildung 8: Individualsphäre, Privatsphäre und Intimsphäre Quelle: erstellt im Auftrag der IU, 2017. Die Intimsphäre soll möglichst absolut durch die Gemeinschaft geschützt werden. Zu die- sem intimen Lebensbereich einer Person gehört u. a. die Sexualität, Krankheiten, Gefühle und die Gedankenwelt. Die Privatsphäre ist etwas weiter gefasst und betrifft im Wesentlichen den gesamten häuslichen Bereich sowie die Lebensbereiche, die nur nahestehenden Personen zugäng- lich sein sollen. Hierzu zählen aber auch die Interaktion mit Beziehungspartnern und Lebensgefährten in öffentlichen Bereichen. Große Sicherheit mit nur sehr restriktiven Aus- nahmen soll hier die Gemeinschaft leisten. Am weitesten gefasst ist die Individualsphäre. Dies ist der Bereich des persönlichen Lebens, der frei beobachtbar stattfindet und so ohnehin für jeden zugänglich ist. Aber auch dies soll kein sicherheitsfreier Raum sein. Zumindest soll hier Sicherheit der Bezie- hungen zur Umwelt, einschließlich des öffentlichen und beruflichen Wirkens einer Person, durch die Gemeinschaft hergestellt werden. Das allgemeine Persönlichkeitsrecht, das im Grundgesetz verankert ist, ist der grundle- gende Rechtsanspruch für die Sicherheit in diesen drei Sphären. Es ist das absolute und umfassende Recht auf Achtung und Entfaltung der Persönlichkeit. 26 1.3 Datenschutz als Persönlichkeitsrecht Nach den bisherigen Ausführungen müsste der Begriff Datenschutz eigentlich all das bezeichnen, was dem Sichersein von formalisierten Informationsdarstellungen dient. Dies ist (leider) nicht so. Wir verstehen in Deutschland unter Datenschutz das, was treffender mit „Verdatungsschutz“ bezeichnet werden kann. Wie ist es dazu gekommen? Verdatungsschutz Der Begriff „Datenschutz“ hat sich zwar durchge- Ab Beginn der 1960er-Jahre wuchs das Bewusstsein, dass die unbefugte Weitergabe von setzt, ist aber unglücklich, persönlichen Daten zu einer konkreten Beeinträchtigung der betroffenen Person führen da es nicht um den kann. So heißt es im sogenannten Mikrozensus-Beschluss des Bundesverfassungsgerichts Schutz der Daten, son- dern um den Schutz des (BVerfG) vom 16.07.1969: „Der Staat darf durch keine Maßnahmen, auch nicht durch ein Menschen geht, weshalb Gesetz, die Würde des Menschen verletzen oder sonst über die in Art. 2 Abs. 1 GG gezoge- „Verdatungsschutz“ rich- tiger wäre. nen Schranken hinaus die Freiheit der Person in ihrem Wesensgehalt antasten. Mit der Menschenwürde wäre nicht zu vereinbaren, wenn der Staat das Recht für sich in Anspruch nehmen könnte, den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrie- ren und zu katalogisieren, sei es auch nur in der Anonymität einer statistischen Erhebung, und ihn damit wie eine Sache zu behandeln, die einer Bestandsaufnahme in jeder Bezie- hung zugänglich ist.“ In den 1980er-Jahren wurde dann in der Bundesrepublik Deutschland eine Volkszählung geplant, die umfangreiche Daten über die Bevölkerung erfassen sollte. Dies löste bei man- chen Unbehagen aus und führte in der Folge zu mehreren Verfassungsbeschwerden. Das BVerfG stellte zu diesen Verfassungsbeschwerden in seinem Urteil vom 15.12.1983 u. a. Folgendes fest: Jeder Bürger hat ein Recht, „grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“. Dieses Recht ergibt sich aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG und wird vom BVerfG als „Recht auf informationelle Selbstbestim- mung“ bezeichnet. Es gibt „unter den Bedingungen der automatisierten Datenverarbeitung kein ‚belanglo- ses‘ Datum“: Alle persönlichen Daten stehen unter dem Schutz des Grundgesetzes, los- gelöst davon, ob sie eine sensible Information repräsentieren oder nicht. Die Bürger müssen wissen, „wer was wann und bei welcher Gelegenheit über sie weiß“. Es bestehen insofern weitgehende Aufklärungspflichten der Stelle, die persönliche Daten erhebt oder verwendet. Gleichzeitig gilt das Prinzip des Vorrangs der Selbstaus- kunft (Grundsatz der Direkterhebung): Wenn möglich, soll der Bürger selbst um Mittei- lung seiner Daten gebeten werden, bevor von Dritten Auskünfte über eine Person einge- holt werden. Einschränkungen des Rechts auf informationelle Selbstbestimmung bedürfen einer ausdrücklichen gesetzlichen Grundlage. Diese Grundlage muss die wesentlichen Bedin- gungen für die Zulässigkeit der Datenerhebung und -verwendung so konkret wie mög- lich definieren. Ferner muss sie Aufklärungs-, Auskunfts- und Löschungspflichten vorse- hen. Die Erhebung und Verwendung persönlicher Daten unterliegen einer strengen Zweck- bindung: Sie dürfen nur für diesen konkreten, bestimmten Zweck erhoben und verwen- det werden; jede Sammlung persönlicher Daten „auf Vorrat zu unbestimmten Zwecken“ ist unzulässig. 27 Diese Entscheidung wird allgemein als die eigentliche Geburtsstunde des Datenschutzes in Deutschland verstanden, obgleich beispielsweise das Bundesland Hessen und auch der Bund schon in den 1970er-Jahren in dieser Sache aktiv wurden. Allerdings mussten die früheren Ansätze für eine rechtliche Regelung des Datenschutzes nicht ein Grundrecht mit Verfassungsrang, nämlich das Recht auf informationelle Selbstbestimmung, berücksichti- gen. Datenschutz wurde in Deutschland seinerzeit formal definiert als der Schutz natürlicher Personen bei der Erhebung und Verwendung von Daten, die sie betreffen. Und diese Defi- nition ist auch heute noch gültig. In der Schweiz ist Datenschutz beispielsweise nicht auf natürliche Personen, also lebende Menschen als Rechtssubjekte, beschränkt, sondern bezieht auch juristische Personen in den Schutz mit ein. Das galt in der Vergangenheit auch in Österreich und Dänemark, gilt aber seit der Einführung der europäischen Datenschutz-Grundverordnung (DSGVO) nur noch mit Einschränkungen. Daten, die eine natürliche Person betreffen, werden als personenbezogene Daten bezeich- net. Dies sind alle Daten, die eindeutig einer bestimmten natürlichen Person zugeordnet sind oder für die diese Zuordnung zumindest mittelbar erfolgen kann. Beispiele sind Namen, Kennnummern, Standortdaten, Online-Kennungen und Merkmale, die die physi- schen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozi- alen Aspekte einer natürlichen Person betreffen. Die durch personenbezogene Daten bestimmte oder bestimmbare Person wird als Betrof- fener bezeichnet. Die Institution, die personenbezogene Daten erhebt oder verwendet, heißt Verantwortlicher. In seinem Urteil vom 27.02.2008 hat das BVerfG übrigens eine weitere, wichtige Entschei- dung zum Persönlichkeitsrecht mit Auswirkungen auf die Informationstechnik veröffent- licht, die sich unmittelbar auf den Schutz von Daten im eigentlichen Sinne und nur mittel- bar auf den Datenschutz auswirkt: „Das allgemeine Persönlichkeitsrecht umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.“ Dies bedeutet u. a., dass jeder heimliche Zugriff auf ein informationstechnisches System, das „einen Einblick in wesentliche Teile der Lebensgestaltung einer Person“ gestattet, nur in ganz wenigen Ausnahmefällen statthaft ist. Zu diesen informationstechnischen Syste- men zählen – laut BVerfG – ausdrücklich nicht nur Smartphones, sondern auch PCs, Rech- nernetze und – nicht überraschend – das gesamte Internet. Daten sind nach dieser Ent- scheidung immer dann ausdrücklich durch die Verfassung geschützt, wenn sie nicht nur einen punktuellen Bezug zu einem bestimmten Lebensbereich eines Betroffenen haben. Damit ist man aber bereits beim Begriff der IT-Sicherheit angelangt. 28 1.4 IT-Sicherheit als Qualitätsmerkmal von IT-Verbünden Bei einem IT-Verbund bezeichnet Sicherheit – entsprechend den früheren Ausführungen – das (zukünftige) Ausmaß des voraussichtlich störungsfreien und gefahrenfreien Betriebs. Dieser störungsfreie Betrieb wird zunächst bestimmt durch die Qualität der eingesetzten Hardware: Bauteile bzw. Bestandteile dürfen nicht durch Überbelastung oder Materialver- sagen ihre Funktionsfähigkeit verlieren. Bei IT-Geräten erlangt aber auch die Software zunehmende Bedeutung für den störungsfreien Betrieb. Um Software für sicherheitskriti- sche IT-Verbünde zu entwickeln, muss oft ein hoher Aufwand für die Sicherstellung der (relativen) Fehlerfreiheit betrieben werden. Im Allgemeinen müssen dazu strenge Maß- stäbe an den Softwareentwicklungsprozess gelegt werden. Für verschiedene Industrien, wie z. B. die Luftfahrtindustrie, sind daher die Anforderungen an sicherheitsorientierte Softwareentwicklungsprozesse in Normen festgelegt. Diese Normen betreffen vor allem den Safety-Aspekt der Sicherheit. Das Ausmaß des störungsfreien Betriebs eines IT-Verbundes wird Verfügbarkeit genannt. Tritt bei einer möglichen Störung keine Gefährdung auf, so spricht man auch einfach nur von Zuverlässigkeit. Sicherheit eines IT-Verbundes ist aber auch das Ausmaß des gefahrenfreien Betriebs. Eine Gefahr ist in der Informationstechnik jeder Sachverhalt, der negative materielle oder immaterielle Auswirkungen hat. Es hat sich herausgestellt, dass wesentliche Anteile des Ausmaßes des gefahrenfreien Betriebs in der Informationstechnik gut durch die Begriffe Vertraulichkeit, Verfügbarkeit und Integrität (Unverfälschtheit) erfasst werden. In der Literatur werden in diesem Zusam- menhang auch Begriffe wie die Authentizität von Nutzern oder Systemen (es handelt sich tatsächlich um den behaupteten Nutzer bzw. das behauptete System) und die Nicht- Abstreitbarkeit von Inhalten (engl. "non-repudiation"; es ist nachweisbar, dass ein bestimmter Nutzer eine Aktion durchgeführt hat, und dieser kann das nicht im Nachhinein abstreiten) herangezogen. Meist werden diese aber als Spezialfälle der Integrität angese- hen und daher hier nicht gesondert betrachtet. Mit diesen Vorbereitungen kann man IT-Sicherheit nun pragmatisch wie folgt definieren: IT-Sicherheit eines konkreten IT-Verbundes ist das Vorhandensein von Vertraulichkeit, Integrität und Verfügbarkeit in einem geplanten Ausmaß. Dabei bedeuten diese sogenannten Schutzziele konkret: Schutzziele Das sind Aussagen über Sicherheitsniveaus, wel- Vertraulichkeit: „Daten werden nur Befugten bekannt; Funktionen werden nur von che erreicht werden sol- Befugten genutzt.“ len. Integrität: „Daten sind richtig, vollständig und aktuell oder aber dies ist erkennbar nicht der Fall; Funktionen sind verlässlich und vertrauenswürdig oder aber es ist erkennbar, wenn dies nicht der Fall ist.“ 29 Verfügbarkeit: „Daten und Funktionen sind dort und dann zugänglich, wo und wann sie von Befugten gebraucht werden.“ Das erforderliche Ausmaß der Vertraulichkeit wird in der IT-Sicherheit ermittelt durch Fra- gen wie „Kann durch das Bekanntwerden von Daten dem Unternehmen oder Dritten ein Schaden entstehen?“. Für die Bestimmung des erforderlichen Ausmaßes der Integrität müssen Fragen wie „Kann in einem Geschäftsprozess durch manipulierte Daten ein Schaden entstehen? Können durch verfälschte Daten Vertrauensverluste in das Unternehmen entstehen? Können ver- fälschte Daten Fehlentscheidungen hervorrufen?“ beantwortet werden. Verfügbarkeitsbetrachtungen erfordern die Beantwortung von Fragen wie „Kann ein Geschäftsprozess nicht durchgeführt werden, da notwendige Daten nicht vorhanden sind? Schreiben Gesetze die Verfügbarkeit von Daten vor? Können Personen beeinträchtigt wer- den, wenn Daten nicht zur Verfügung stehen?“. Es ist zu beachten, dass die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit nicht unabhängig voneinander sind. So kann beispielsweise eine Verbesserung der Vertraulich- keit durch technische Maßnahmen sehr wohl die Verfügbarkeit beeinträchtigen. Unter IT-Sicherheitsmanagement wird der Prozess zur Gewährleistung der IT-Sicherheit eines IT-Verbundes innerhalb einer Unternehmung oder Organisation verstanden. Typisch werden in diesem Prozess laufend die Ist-Werte den Soll-Werten gegenübergestellt und es werden – darauf basierend – Maßnahmen identifiziert und implementiert, die eine Annä- herung an den Soll-Zustand wahrscheinlich machen. Die nachfolgende Grafik illustriert dies: 30 Abbildung 9: IT-Sicherheitsmanagement Quelle: erstellt im Auftrag der IU, 2017. 1.5 Abgrenzung Datenschutz und IT- Sicherheit Es ist nun auch klar, wie die Begriffe Datenschutz und IT-Sicherheit gegeneinander abzu- grenzen sind: Beim Datenschutz geht es vorrangig um den Schutz der (natürlichen) Perso- nen. Datenschutz soll ja das Grundrecht auf informationelle Selbstbestimmung garantie- ren und so jede (natürliche) Person vor dem Missbrauch der sie betreffenden Daten schützen. Dies beginnt schon mit der Frage, ob die entsprechenden Daten überhaupt erhoben oder verwendet werden dürfen. Dabei ist ein möglicher Einsatz von IT nur nach- rangig von Bedeutung. IT-Sicherheit befasst sich dagegen mit dem Schutz aller Daten eines konkreten IT-Verbun- des, unabhängig davon, ob diese Daten eine (natürliche) Person betreffen oder nicht. IT- Sicherheit soll alle Daten eines IT-Verbundes vor unberechtigter Änderung und unbefugter Kenntnisnahme schützen. Bei IT-Sicherheit geht es also nicht um die Frage, ob irgendwel- che Daten überhaupt erhoben oder verwendet werden dürfen, sondern es geht um die Frage, was getan werden muss, um die Erhebung und Verwendung aller Daten eines kon- kreten IT-Verbundes möglichst sicher zu gestalten. Dies bedeutet notwendigerweise, dass ein Hauptaugenmerk auf die Zuverlässigkeit des konkreten IT-Verbundes zu legen ist. In der Praxis gibt es jedoch oft Überschneidungen von Datenschutz und IT-Sicherheit. Der Schutz der Patientendaten in der Arztpraxis zum Beispiel ist Anliegen des Datenschutzes und der IT-Sicherheit. Die persönlichen Daten von Patienten unterliegen den gesetzlichen 31 Regelungen des Datenschutzes. Natürlich hat der Praxisinhaber aber auch schon aufgrund seiner Berufsordnung ein starkes Eigeninteresse daran, dass die Patientendaten nicht öffentlich werden. Und so können oft mit denselben Maßnahmen sowohl Anforderungen des Datenschutzes als auch der IT-Sicherheit erfüllt werden. Neben den Überschneidungen der beiden Bereiche gibt es aber auch Situationen, in denen IT-Sicherheit und Datenschutz gegensätzliche Ziele verfolgen. Das Speichern von Nutzungsdaten, z. B. welcher Praxismitarbeiter sich wann an welchem Rechnersystem angemeldet hat, ist solch eine Situation. Aus Sicht der IT-Sicherheit sollte man diese Daten immer erheben und für die Analyse zukünftiger Sicherheitsvorfälle beinahe unbegrenzt aufbewahren. Zweifelsohne handelt es sich dabei aber auch um Daten, die die Praxismit- arbeiter ganz persönlich betreffen. Schon ihre Erhebung ist daher grundsätzlich erst ein- mal nicht statthaft. ZUSAMMENFASSUNG Informationstechnik (IT) bezeichnet jeden konkreten Einsatz von elekt- ronischen Geräten in einer realen ökonomischen und/oder sozialen Umgebung. Ein IT-Verbund ist die konkrete Ausprägung der Informationstechnik und umfasst – vor allem – die technischen und die organisatorischen Kom- ponenten dieses konkreten Anwendungsbereiches. Für die technischen Komponenten verwendet man auch den Begriff IT-Infrastruktur. Sicherheit bezeichnet das Ausmaß der Bestimmtheit und Gewissheit von zukünftigen Umständen. Schutz ist jede Maßnahme zur Erhöhung der Sicherheit. Das Allgemeine Persönlichkeitsrecht ist im Artikel 2 des Grundgesetzes geregelt. Es räumt jedem Einzelnen das Recht auf eine unbeeinträchtigte Individualsphäre (Selbstbestimmungsrecht, z. B. das Recht auf informa- tionelle Selbstbestimmung), Privatsphäre (Leben im häuslichen Bereich, Privatleben) und Intimsphäre ein. Die informationelle Selbstbestimmung ist das Recht des Einzelnen, grundsätzlich selbst über jede Erhebung und jegliche Verwendung sei- ner ihn betreffenden Daten zu bestimmen. Datenschutz bezeichnet den Schutz natürlicher Personen bei der Erhe- bung und Verwendung von Daten, die sie persönlich betreffen. 32 IT-Sicherheit ist formal der störungsfreie und gefahrenfreie Betrieb eines IT-Verbundes und pragmatisch das geplante Ausmaß der Vertraulichkeit, der Integrität und der Verfügbarkeit eines IT-Verbundes. 33 LEKTION 2 GRUNDLAGEN DES DATENSCHUTZES LERNZIELE Nach der Bearbeitung dieser Lektion werden Sie wissen, … – welche Prinzipien im Datenschutz Anwendung finden. – welche rechtlichen Vorgaben zum Datenschutz in Deutschland zu beachten sind. – was die wichtigsten gesetzlichen Grundlagen des Datenschutzes sind. – wie man die eigenen Daten im Alltag besser schützen kann. 2. GRUNDLAGEN DES DATENSCHUTZES Einführung Eine Frau wehrt sich gegen die Absage einer Sicherheitsfirma wegen fehlender charakterli- cher Eignung, die mit Verweis auf anonym zugespielte Bilder und Texte aus einem Inter- netforum begründet wurde. In dem Internetforum beschrieb die Frau, dass sie sich regelmäßig an Glücksspielen betei- ligt, teilweise auch um große Summen. Die Frau erwähnte in diesem Internetforum unzu- treffender Weise auch, dass sie bereits Mitarbeiterin der Sicherheitsfirma sei. Wurde der Frau zu Unrecht abgesagt? Ein Unternehmen speichert den gesamten E-Mail-Verkehr mit seinen Kunden im Rahmen der Bearbeitung der Bestellungen. Er wird später von einem Kunden wegen fehlerhafter Lieferung verklagt. Das Unternehmen legt den E-Mail-Verkehr mit diesem Kunden im Pro- zess zu seiner Verteidigung vor. Darf es das? 2.1 Prinzipien Datenschutz ist in Deutschland und der EU ein Grundrecht, nämlich das Recht auf infor- mationelle Selbstbestimmung. Dies ist das Recht des Einzelnen, selbst über die Erhebung und die Verwendung der ihn persönlich betreffenden Daten zu bestimmen. So bleibt es beispielsweise jedem selbst überlassen, ob er Informationen über sich im Internet veröf- fentlicht oder nicht. Werden gegen seinen Willen solche Veröffentlichungen gemacht, kann er dagegen vorgehen, da sein Recht auf informationelle Selbstbestimmung verletzt wurde. Hauptziel des Datenschutzes ist demnach, das Recht des Einzelnen auf informationelle Selbstbestimmung zu garantieren. Auch wenn das Recht auf informationelle Selbstbestimmung des Einzelnen beachtet wer- den muss, kann das naturgemäß nicht dazu führen, dass etwa jegliche Weitergabe von Daten über Personen verboten wird. Dann wäre jede Kommunikation unterbunden. Es muss vielmehr definiert werden, ab welcher Schwelle der Kommunikation der Daten- schutz einsetzen soll. Die Gesetzgeber sehen die Gefährdung des Rechts auf informationelle Selbstbestimmung nicht in der Bedeutung der einzelnen Daten. (Zur Erinnerung: Laut BVerfG gibt es keine belanglosen Daten.) Die Gefährdung, die mit dem Datenschutzrecht geregelt werden soll, ist vielmehr diejenige, bei der Muster gebildet werden können. Die Bildung von Mustern 36 ermöglicht nämlich oft das Gewinnen zusätzlicher Informationen über eine Person, die man aus den einzelnen Daten nicht hätte ziehen können. Geregelt wird folglich nur die Erhebung und Verwendung von Sammlungen personenbezogener Daten, die strukturiert aufgebaut sind und nach bestimmten Merkmalen gezielt ausgewertet werden können. Datenschutz hat also konkret das Ziel, strukturierte, merkmalsbezogene Erhebungen von personenbezogenen Daten und die Verwendung solcher Datensammlungen zu regulieren. Diese Regulierungen orientieren sich an den folgenden allgemeinen Prinzipien: Datengeheimnis: Es ist untersagt, personenbezogene Daten unbefugt zu erheben oder zu verwenden. Datenvermeidung: Die Gestaltung und Auswahl von Verfahren zur Erhebung und Ver- wendung personenbezogener Daten hat sich an dem Ziel auszurichten, so wenig perso- nenbezogene Daten wie möglich zu erheben oder zu verwenden. Erforderlichkeit: Das Erheben und Verwenden personenbezogener Daten hat sich auch am Grundsatz der Erforderlichkeit zu orientieren. Der Begriff der Erforderlichkeit ist dabei eng auszulegen. Erforderlich sind personenbezogene Daten nur dann, wenn die Aufgabe sonst nicht, nicht vollständig oder nicht in rechtmäßiger Weise erfüllt werden kann. Interessenabwägung: Die berechtigten Interessen der erhebenden bzw. verwenden- den Stelle sind immer gegenüber den schutzwürdigen Interessen Betroffener abzuwä- gen. Schutzbedarf: Werden personenbezogene Daten erhoben oder verwendet, sind techni- sche und organisatorische Maßnahmen zu treffen, um die Sicherheit der eingesetzten IT im Interesse des Schutzes des Persönlichkeitsrechtes zu gewährleisten. Selbstauskunft: Die Erhebung personenbezogener Daten muss – soweit möglich – beim Betroffenen erfolgen. Transparenz: Es ist Pflicht, den Betroffenen (dessen Daten gespeichert werden) über die Daten, die Zweckbestimmung der Erhebung und Verwendung und die Identität der verantwortlichen Stelle zu informieren. Verhältnismäßigkeit: Es dürfen nicht mehr personenbezogene Daten erhoben oder verwendet werden als notwendig („Übermaßverbot“). Zweckbindung: Bei jeder Erhebung oder Verwendung personenbezogener Daten ist zwingend ein hinreichend präziser Verwendungszweck festzulegen, von dem nur in wohl definierten Ausnahmefällen abgewichen werden kann. 2.2 Rechtliche Vorgaben Überblick Die Mitgliedsstaaten der Europäischen Union haben alle Gesetze und Regelungen zum Schutz personenbezogener Daten (im Folgenden – wegen der Häufigkeit des Vorkommens – oft mit pbD abgekürzt). 37 Damit das Datenschutzniveau in allen Staaten der EU zukünftig einen einheitlichen Min- deststandard erfüllt, wurde im Mai 2016 die sogenannte „Verordnung zum Schutz natürli- cher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“ beschlossen. Sie wird kurz mit DSGVO (EU- Datenschutz-Grundverordnung) bezeichnet und gilt ab 25.05.2018 EU-weit. In dieser Ver- ordnung wurde ein allgemein verbindlicher Datenschutzstandard für alle EU-Staaten fest- gelegt. Die DSGVO wird in den EU-Mitgliedsstaaten jeweils noch durch weitere Datenschutzge- setze konkretisiert und ergänzt, in Deutschland in erster Linie durch das Bundesdaten- schutzgesetz (BDSG). Darüber hinaus gibt es weitere Gesetze, die Vorgaben machen, wie mit pbD umgegangen werden darf. Beispielsweise wird auch durch Regelungen im Tele- kommunikations- und Telemedien-Datenschutzgesetz (TTDSG) oder in den Sozialge- setzbüchern (SGB) der Datenschutz gewährleistet. Die DSGVO mit ihren 99 Artikeln und 173 Erwägungsgründen ist deutlich umfangreicher als das BDSG. Zudem richtet die DSGVO an den nationalen Gesetzgeber die Aufgabe, auf nationaler Ebene zusätzlich bestimmte Bereiche noch auszugestalten, bzw. gibt ihm die Möglichkeit zur Gestaltung bestimmter Bereiche an die Hand. In Deutschland ist dies eben durch das BDSG n.F. geschehen, andere EU-Staaten haben vergleichbare Regelungen. Aufgrund der föderalen Struktur der Bundesrepublik gibt es außerdem Landesdaten- schutzgesetze (LDSG) in den einzelnen Bundesländern, die aber im Wesentlichen nur Landes- und kommunale Behörden betreffen, für Unternehmen (in der Terminologie der Datenschutzgesetzgebung: nicht-öffentliche Stellen) haben diese LDSG nur geringe Bedeutung. Auch die Kirchen haben sich eigene Regelungen zum Umgang mit pbD gege- ben. Zudem kann beispielsweise in Dienst- und Betriebsvereinbarungen geregelt sein, was im Unternehmen hinsichtlich des Umgangs mit pbD der Beschäftigten zu beachten ist. Geltungsbereiche Das Erheben und Verwenden von pbD für persönliche oder familiäre Zwecke fällt grund- sätzlich nicht unter die Vorgaben des Datenschutzrechts (Art. 2 Abs. 2 DSGVO). Daten- schutzrecht wirkt also vor allem in der beruflichen oder geschäftlichen Sphäre. Ob und inwieweit ein Unternehmen welche Datenschutzgesetze beachten muss, hängt davon ab, wie das Unternehmen organisiert ist. Für ein privatrechtliches Unternehmen gilt grundsätzlich das BDSG. Für den Kindergarten einer Kirchengemeinde gilt hingegen das kirchliche Datenschutzrecht. Dagegen unterliegt beispielsweise die Datenverarbeitung einer Stadtverwaltung den datenschutzrechtlichen Regelungen des Bundeslandes, in dem sie ihren Sitz hat. Allen Regelungen ist gemeinsam, dass sie lediglich Daten betreffen, die sich auf eine iden- tifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Abs. 1 DSGVO). Derartige Daten heißen personenbezogene Daten (pbD). Typische pbD sind Name, Adresse, Telefon- nummer, Bankverbindung. Von einem Personenbezug kann man immer dann ausgehen, wenn ohne besondere Schwierigkeiten von einem Datum auf die dazugehörige natürliche Person geschlossen werden kann. Können Daten nicht auf eine natürliche Person bezogen 38 werden, weil sie beispielsweise anonymisiert wurden, dann fallen die Erhebung und Ver- wendung solcher Daten nicht unter das Datenschutzrecht. Das ist allerdings nicht zu ver- wechseln mit der Pseudonymisierung von Daten, bei der der Personenbezug nur mit Hilfe gesondert gespeicherter Daten wie einer Zuordnungstabelle möglich ist. Eine solche Pseu- donymisierung kann helfen, personenbezogene Daten vor Missbrauch zu schützen, aber sie ändert nichts daran, dass es sich um personenbezogene Daten handelt, die dem Datenschutz unterliegen. Daten über juristische Personen, also z. B. Daten über eine AG, eine GmbH oder eine GmbH & Co. KG, werden vom Datenschutzrecht nach DSGVO nicht erfasst. (In einigen Län- der, insbesondere Österreich und die Schweiz, gelten eine Reihe von Datenschutzregeln aber auch für juristische Personen.) Eine Ausnahme liegt aber beispielsweise vor, wenn es sich bei einem Unternehmen um eine Personengesellschaft handelt, da dahinter unmittel- bar natürliche Personen stehen. Auch die pbD von Kunden, Lieferanten und Sachbearbei- tern unterliegen in allen Unternehmen den Bestimmungen des Datenschutzes. Die Verfasser des Datenschutzrechts wollen pbD gerade dann schützen, wenn Informati- onstechnik eingesetzt wird. Die dabei zum Einsatz kommenden IT-Anwendungen erzeugen vielfache Risiken für die pbD. So können elektronisch geführte Daten oft in einer Weise verknüpft oder ausgewertet werden, die erst einmal nicht gestattet ist. Weil dies ohne Informationstechnik nicht so einfach geht, werden Verarbeitungen von pbD ohne den Ein- satz von Informationstechnik grundsätzlich nicht vom Datenschutzrecht erfasst. Aller- dings gibt es zwei wichtige Ausnahmen von dieser Regel: 1. Eine sogenannte nicht automatisierte Datei ist eine (zielstrebig zusammengetragene) Sammlung von Daten, die durch ihren gleichartigen Aufbau nach bestimmten Merk- malen zugänglich ist und ausgewertet werden kann (Beispiel: Patientenkarteikarten in einer Arztpraxis). Auch solche Datensammlungen unterliegen den Bestimmungen des Datenschutzrechts. 2. pbD von Beschäftigten dürfen nur dann erhoben und verwendet werden, wenn sie für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sind. Dies gilt unabhängig vom Einsatz der Informationstechnik, sodass gegebenenfalls auch Papierakten zu Beschäftigten datenschutzkonform geführt wer- den müssen. Beispiel: Dr. Heilemacher kommt morgens in die Praxis und fragt seine Sprechstunden- hilfe: „Na, wie geht es denn heute?“. Wenn sie darauf antwortet, ist es bereits das Erheben personenbezogener Daten. Dies ist nur deshalb erlaubt, weil der Doktor die Information nicht in einen Computer oder in eine strukturierte Sammlung eingibt, die ausgewertet werden kann. Wie bereits erwähnt, sind pbD niemals belanglos. Es gibt aber einige pbD, für die das Datenschutzrecht einen besonderen Schutz verlangt. Diese dürfen nur unter ganz bestimmten Voraussetzungen erhoben oder verwendet werden, insbesondere ist gegebe- nenfalls eine besondere Einwilligung nach Art. 9 DSGVO erforderlich. Welche Daten zu die- sen besonders schutzbedürftigenpbD zählen, legt ebenfalls Art. 9 DSGVO fest: Danach gehören zu den sogenannten besonderen Kategorien personenbezogener Daten solche, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche 39 Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Da- ten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Ge- sundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natür- lichen Person. Begriffe Im Datenschutzrecht werden drei Gruppen von Beteiligten unterschieden: Betroffene: ◦ Dies sind die natürlichen Personen, deren Daten verarbeitet werden. Verantwortlicher: ◦ Dies ist die Person oder sonstige Einheit, die über die Verarbeitung entscheidet und daher die Verantwortung dafür trägt. Der Verantwortliche kann die Verarbeitung selbst durchführen oder durch andere, beispielsweise einen Auftragsverarbeiter, durchführen lassen. Auftragsverarbeiter: ◦ Dies ist die Person oder sonstige Einheit, die die Verarbeitung im Auftrag des Verant- wortlichen durchführt. Er muss diese Verarbeitung gemäß den Vorgaben des Verant- wortlichen und auf Basis eines schriftlichen Vertrages durchführen, trägt dafür aber normalerweise nicht die Verantwortung für die Rechtmäßigkeit der Verarbeitung. Unter Verarbeitung ist laut DSGVO jeder „mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personen- bezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Spei- cherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstel- lung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Ver- nichtung“ zu verstehen (Art. 4 Abs. 2 DSGVO). Verbot mit Erlaubnisvorbehalt Das Datenschutzrecht basiert auf dem sogenannten „Verbotsprinzip mit Erlaubnisvorbe- halt“. Dieses Prinzip besagt, dass das Erheben oder Verwenden von pbD prinzipiell verbo- ten ist. Ausnahmen von diesem prinzipiellen Verbot erfordern eine einschlägige Rechts- grundlage. Diese kann sich aus dem Datenschutzrecht (in erster Linie DSGVO), aus einer vorrangigen Rechtsvorschrift oder aus der (wirksamen) Einwilligung des Betroffenen erge- ben. Das BDSG a.F. galt als Auffanggesetz, d.h. andere, spezifischere gesetzliche Regelungen zum Datenschutz hatten im Zweifel Vorrang. Das gilt mit der DSGVO nur noch sehr einge- schränkt, denn hier hat im Zweifel die DSGVO als EU-Verordnung Vorrang vor nationalen Gesetzen. Das hat beispielsweise zur Folge, dass für eine bisher vorrangige Rechtsvorschrift wie das Gesetz über das Urheberrecht an Werken der bildenden Künste und der Photographie (KunstUrhG), die rechtliche Gültigkeit umstritten ist, auch wenn man meist weiterhin von dieser Gültigkeit ausgeht. Dort ist in § 22 das sogenannte Recht am eigenen Bild geregelt. 40 Danach kann der Abgebildete selbst darüber bestimmen, ob und wie ein Bildnis (= Foto, Video, Zeichnung, …) an Dritte weitergegeben wird, also z. B. ob es in einer Broschüre oder im Internet veröffentlicht wird. Das Gesetz sieht ausdrücklich vor, dass der Abgebil- dete in jede Verbreitung seines Bildnisses wirksam einwilligen muss. Allerdings sieht das KunstUrhG im § 23 (1) auch Ausnahmen von dieser Einwilligungspflicht vor: 1. Bildnisse mit zeitgeschichtlichem Bezug: Eine Einwilligung ist beispielsweise bei Politikern, Schauspielern und Musikern nicht erforderlich, weil es sich bei diesen um sogenannte Personen der Zeitgeschichte handelt. Trotzdem ist auch bei diesen Perso- nen die Intimsphäre immer tabu! 2. Personen als Beiwerk: Steht im Mittelpunkt eines Bildes eine Landschaft oder eine Örtlichkeit und ist eine abgebildete Person quasi eine „Randerscheinung“, dann ist auch hier keine Einwilligung der abgebildeten Person erforderlich. Juristisch gesehen ist sie nämlich nur „Beiwerk“. 3. Bilder von Versammlungen: Werden Bilder von öffentlichen Versammlungen oder ähnlichen Veranstaltungen (z. B. Demo, Betriebsfest, Weihnachtsfeier) gemacht, dann ist eine Einwilligung der abgebildeten Personen nicht erforderlich, wenn erkennbar die Ansammlung von Menschen im Vordergrund steht und nicht bestimmte Personen. Nach allgemeiner Rechtsprechung implizieren die Vorschriften des KunstUrhG auch, dass schon das Erstellen eines Bildnisses nur dann gestattet ist, wenn es an Dritte weitergege- ben werden darf. Falls keine der genannten Ausnahmen greift, darf also der Abgebildete sogar darüber bestimmen, ob überhaupt ein Bildnis seiner Person erstellt werden darf. Einwilligungen Mit einer expliziten Einwilligung möchte ein Betroffener die Erhebung oder Verwendung einiger seiner pbD für einen bestimmten Zweck ermöglichen. Betroffene können jedoch nur in solche Erhebungen oder Verwendungen von pbD sinnvoll einwilligen, deren Konse- quenzen sie hinreichend klar einschätzen können. Für eine Einwilligung fordert die DSGVO in Art. 4, Abs. 11, explizit, dass diese „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich“ erfolgen muss: Es ist bei der Einwilligung auf die Bedeutung der Einwilligung, den Zweck der Erhebung oder Verwendung sowie auf das Recht und die Folgen der Verweigerung und des Widerrufs der Einwilligung hinzuweisen. Das äußere Erscheinungsbild der Einwilligung ist hervorzuhe- ben. Beispiel für eine Einwilligungserklärung: Ich bin mit der Zusendung von Informationen über Ihre neuen Produkte und Dienstleistungen einverstanden. Diese Einwilligung kann ich jederzeit schriftlich per Brief oder per E-Mail an mit Wirkung für die Zukunft widerrufen. Für die Zusendung der Informationen nutzen Sie bitte folgende Kontaktdaten: E-Mail-Adresse oder Post- adresse. Die DSGVO sieht ein Mindestalter von 16 Jahren für die wirksame Erteilung einer Einwilli- gung in die Erhebung oder Verwendung von pbD vor. 41 Anders als in der Vergangenheit muss eine Einwilligung gemäß DSGVO nicht schriftlich erfolgen, auch wenn dies aus Nachweisgründen oft empfehlenswert ist. Möglich ist beispielsweise auch eine elektronische Einwilligung per Web-Formular, E-Mail oder Telefax. Hierbei muss aber sichergestellt sein, dass die elektronische Einwilligung eindeutig und bewusst abgegeben wird. Typisch muss bei Web-Formularen ein Kästchen mit einem Häkchen vorgesehen sein, welches der Kunde anklicken muss, und erst dann ist Opt-In-Verfahren seine Einwilligung erteilt(„Opt-In-Verfahren„). Zudem müssen elektronische Einwilli- Das ist ein Bestätigungs- gungserklärungen systemseitig protokolliert werden. D. h., es muss jederzeit die Möglich- konzept für Transaktio- nen, das eine ausdrückli- keit bestehen, den Einwilligungstext einzusehen und die Einwilligungserklärung zu wider- che Zustimmung des rufen. Betroffenen erfordert. Rechtsgrundlagen für Verarbeitung personenbezogener Daten Für relativ häufig vorkommende Situationen hat die DSGVO eine Rechtsgrundlage geschaffen, nach der Organisationen pbD auch ohne explizite Einwilligung erheben oder verwenden dürfen. Nach Art. 6 Abs. 1 DSGVO ist demnach die Verwendung von pbD zulässig, wenn eine der folgenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden perso- nenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Ver- antwortliche unterliegt; d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen über- tragen wurde; f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Die in der Praxis wichtigsten Rechtsgrundlagen sind die Einwilligung (Bedingung a), die Vertragserfüllung (Bedingung b) sowie das berechtigte Interesse (Bedingung f). Ein typisches Beispiel zu Bedingung b) sind Lieferadressen, denn ohne diese könnte die Lieferung und damit die Erfüllung eines Kaufvertrags nicht erfolgen. Dies gilt aber aus- drücklich nur für die Verarbeitung, die für die Vertragsabwicklung erforderlich ist. Wenn später die gleichen Daten für die Versendung von Werbung verwendet werden sollen, dann ist Bedingung b) als Rechtsgrundlage nicht mehr ausreichend, sondern hierfür wird eine separate Einwilligung notwendig. 42 Hier ist zu beachten, dass bei Bedingung f) eine Interessenabwägung zwischen den berechtigten Interessen des Verantwortlichen und den Interessen etc. der betroffenen Per- son gefordert ist. Folglich wurde im Übrigen in dem zu Anfang dieser Lektion geschilderten Fall der Frau ent- sprechend Bedingung f) zu Recht abgesagt. Zum einen hat nämlich die Sicherheitsfirma ein überwiegendes Interesse daran, die charakterliche Eignung von Bewerbern genau zu kennen. Zum anderen hat die Frau die verwendeten Informationen selbst preisgegeben. Dass sie dabei auch noch unwahre Angaben gemacht hat, unterstreicht nur ihre man- gelnde charakterliche Eignung. Auch das Unternehmen darf – um die ebenfalls zu Anfang dieser Lektion gestellte Frage zu beantworten – gemäß Bedingung f) den E-Mail-Verkehr zu seiner Entlastung im Prozess vorlegen, da es sich nur so gegen den Vorwurf der falschen Lieferung wehren kann. Keine explizite Einwilligung erfordert die Verarbeitung von besonderen pbD durch Ärzte (und durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterlie- gen), soweit sie zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiens- ten erforderlich ist (§22 (1) b) BDSG n.F.). Beteiligte Instanzen Die Kontrolle des Datenschutzes hat der Gesetzgeber sogenannten Aufsichtsbehörden übertragen. Meist sind dies im privatwirtschaftlichen Bereich die Landesbeauftragten für den Datenschutz Landesbeauftragte für den Datenschutz Sie sind die Beauftragten So können sie jederzeit Informationen über die Erhebung oder Verwendung von pbD von eines deutschen Bundes- den privatwirtschaftlichen Unternehmen anfordern, für die sie zuständig sind. Sogar Kon- landes, die den privat- trollen vor Ort können durchgeführt werden. Und dafür ist noch nicht einmal eine Anmel- wirtschaftlichen Bereich ebenso wie die öffentli- dung erforderlich. Aufsichtsbehörden kümmern sich regelmäßig auch um Beschwerden chen Stellen des jeweili- von Betroffenen, die in ihrem Zuständigkeitsbereich residieren. gen Landes in Fragen des Datenschutzes überwa- chen und beraten. Werden von einer Aufsichtsbehörde Verstöße gegen den Datenschutz festgestellt, kann sie die Beseitigung der Mängel verlangen und gegebenenfalls auch ein Bußgeld verhängen. Den mit der Erhebung oder Verwendung von pbD befassten Mitarbeitern eines Verant- wortlichen ist es untersagt, dies unbefugt zu tun (Datengeheimnis). Eine Verpflichtung auf das Datengeheimnis nicht explizit gefordert, ergibt sich aber implizit aus der Forderung von Art. 24 nach Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Datenschutz. Zwar ist die Schriftform für diese Verpflichtung nicht vorgeschrieben, aus Beweisgründen sollte sie aber schriftlich erfolgen. Das Datengeheimnis gilt übrigens auch nach dem Ende der Tätigkeit für die verantwortliche Stelle weiter. Fast immer ist die Geschäftsleitung des Verantwortlichen dazu verpflichtet, die Einhaltung aller datenschutzrechtlichen Vorschriften zu kontrollieren und sicherzustellen. Eine zusätzliche Kontrollfunktion kann bzw. muss oft ein Datenschutzbeauftragter wahrneh- 43 men (Art. 37-39 DSGVO; § 38 BDSG n.F.). Er wirkt darauf hin, dass die datenschutzrechtli- chen Vorschriften in der verantwortlichen Stelle eingehalten und umgesetzt werden. Inso- fern unterstützt er die Geschäftsleitung, welche aber alle diesbezüglich erforderlichen Entscheidungen eigenverantwortlich treffen muss. Rechte der Betroffenen Die DSGVO legt auch fest, welche Rechte ein Betroffener im Umfeld der Erhebung oder Verwendung seiner pbD hat. Dabei kann niemand – etwa durch Vertragsklauseln – daran gehindert werden, diese Rechte auszuüben. Zu den Rechten eines Betroffenen zählen das Recht auf Auskunft und das Recht auf Berichtigung, Löschung oder Sperrung von pbD. Jedermann kann grundsätzlich von allen Institutionen ohne Angabe von Gründen Aus- kunft darüber verlangen, ob und gegebenenfalls welche pbD zu seiner Person gespeichert sind (Art. 15 DSGVO). Die Institution muss bei positivem Bescheid in seiner Auskunft auch mitteilen, zu welchem Zweck die Speicherung der pbD erfolgt ist und an welche Empfän- ger diese gegebenenfalls weitergegeben wurden. Nichtzutreffende pbD müssen korrigiert werden (Art. 16 DSGVO). Berichtigungen müssen durch die verantwortliche Stelle auch an die Stellen weitergegeben werden, an die diese nichtzutreffenden Daten bereits übermittelt wurden. Personenbezogene Daten unterliegen auch einer Löschpflicht (Art. 17 DSGVO). Diese ist insbesondere immer dann gegeben, wenn die Speicherung dieser pbD gar nicht zulässig war (Beispiel: unwirksame Einwilligung) oder nicht mehr erforderlich ist (Beispiel: Daten aus einem Gewinnspiel, wenn das Gewinn- spiel abgeschlossen ist). Hierbei spricht man auch vom Recht, vergessen zu werden (vgl. Art. 17 DSGVO). Einge- schlossen ist dabei, dass Verknüpfungen zu oder Kopien von veröffentlichten und allge- mein zugänglichen Daten entfernt werden müssen. Dies dürfte für manch ein soziales Netzwerk eine fast unlösbare Aufgabe sein. Auch wenn pbD gelöscht werden könnten, müssen diese unter Umständen weiterhin gespeichert bleiben. Dies gilt insbesondere dann, wenn sogenannte Aufbewahrungs- pflichten bestehen. So müssen beispielsweise steuerrechtlich relevante Belege zehn Jahre lang im Unternehmen aufbewahrt werden. Unter bestimmten definierten Bedingungen haben Betroffene auch das Recht, eine Ein- schränkung der Verarbeitung zu verlangen (Art. 18 DSGVO; auch als "Sperrung" bekannt). Dies gilt beispielsweise, solange die Richtigkeit der Daten unklar ist und geprüft wird. Gesperrte Daten dürfen nur sehr eingeschränkt und für ausgewählte Zwecke verarbeitet werden. 44 Verarbeitung im Auftrag Das Datenschutzrecht gestattet es ausdrücklich, dass ein Verantwortlicher einen Dienst- leister mit der Verarbeitung ihrer pbD beauftragen kann. Geregelt ist diese sogenannte Auftragsverarbeitung im Art. 28, 29 DSGVO. Unabdingbare Voraussetzung für diese Auftragsverarbeitung ist ein schriftlicher Vertrag, der den strengen (!) Vorgaben des Art. 28 Abs. 3 DSGVO entspricht und dabei genau fest- legt, auf welche Art und Weise der Dienstleister handeln muss. Für den Schutz, der dann im Auftrag verarbeiteten pbD bleibt aber stets der Auftraggeber voll verantwortlich. Dies impliziert, dass er die entsprechenden Tätigkeiten des Dienstleisters engmaschig kontrol- lieren muss. Beim Auftragsverarbeiter bleibt die Verantwortung, für die Sicherheit der Daten in seiner eigenen Arbeitsumgebung zu sorgen und alle vereinbarten Schutzmaß- nahmen umzusetzen. Auch darf ein Auftragsverarbeiter die Daten nicht für eigene Zwecke verarbeiten, sondern nur für die vom Verantwortlichen festgelegten Zwecke. Auch bei Wartungsdienstleistungen gelten unter Umständen diese Vorgaben, beispiels- weise, wenn dabei der Zugriff auf pbD nicht ausgeschlossen werden kann. Beispiel: Die Dienstleistung für die Fernwartung des PVS in der Arztpraxis Dr. med. Heilemacher muss vertraglich gemäß Art. 28 DSGVO geregelt werden. Sanktionen Ein Datenschutzverstoß, also das unzulässige Erheben oder Verwenden von pbD, kann erhebliche Folgen für die Täter und /oder für den Verantwortlichen selbst haben. Mit der DSGVO wurden die möglichen Bußgelder massiv erhöht, in besonderen Fällen können Bußgelder in Höhe von bis zu vier Prozent des Jahresumsatzes des Unternehmens ver- hängt werden. Darüber hinaus kann ein Datenschutzverstoß einen nachhaltigen Imageschaden bewir- ken. Es kann mitunter Jahre dauern, bis dieser getilgt ist. Artikel 33 und 34 DSGVO schrei- ben übrigens vor, dass eine verantwortliche Stelle bei schwerwiegenden Datenschutzver- stößen (wie Diebstahl von Kreditkarteninformationen) die zuständige Aufsichtsbehörde und die betroffenen Personen informieren muss. Daher können zumindest schwerwie- gende Datenschutzverstöße auch nicht so leicht verheimlicht werden. Ist einem Arbeitnehmer ein grob fahrlässiger oder gar vorsätzlicher Datenschutzverstoß anzulasten, dann kann dies zu arbeitsrechtlichen Konsequenzen führen. Solch ein Daten- schutzverstoß zieht oft eine arbeitsrechtliche Abmahnung nach sich. Ist dem Arbeitgeber die weitere Beschäftigung des Arbeitnehmers nicht mehr zuzumuten, dann kann er allein aufgrund des Datenschutzverstoßes schon eine Kündigung aussprechen. In besonders schweren Fällen kann dies sogar fristlos erfolgen. Entsteht dem Arbeitgeber durch einen grob fahrlässigen oder gar vorsätzlichen Datenschutzverstoß ein Schaden, dann kann er diesen vom Verursacher ersetzt verlangen. Artikel 82 DSGVO regelt auch Schadensersatzansprüche für einen Betroffenen, wenn diesem ein Schaden durch einen Verstoß gegen die Regelungen des Datenschutzes ent- standen ist. 45 Sondervorschriften Videoüberwachung Das BDSG enthält auch Vorschriften zum Einsatz von Videoüberwachung in Institutionen (§4 BDSG n.F.). Die DSGVO befasst sich hingegen nicht explizit mit der Zulässigkeit derarti- ger Videoüberwachungen. Erwähnung finden diese lediglich in Artikel 35 DSGVO: Dieser regelt die Notwendigkeit einer sogenannten Datenschutz-Folgenabschätzung. Auf jeden Fall sind bei der Videoüberwachung in Institutionen alle Bereiche ausgeschlos- sen, die der Privat- oder der Intimsphäre von Personen zuzuordnen sind. Das Grundrecht des Einzelnen auf Privatsphäre hat hier immer Vorrang. Beispiel: Behandlungszimmer des Arztes. Hinsichtlich der Zulässigkeit der Videoüberwachung ist bei öffentlich zugänglichen Räu- men einer Institution §4 BDSG n.F. zu beachten, der u. a. eine Videoüberwachung zur Kon- trolle des Zutritts gestattet. Ein öffentlich zugänglicher Raum einer Institution ist jeder Bereich, der von jedermann betreten werden kann. Beispiel: Rezeption in der Arztpraxis. Nicht öffentlich zugänglich ist hingegen ein Raum, der nur von ausgewählten Personen betreten werden soll. Beispiel: Teeküche in der Arztpraxis. Der heimliche Einsatz von Videoüberwachung ist fast immer verboten. In wenigen Ausnah- mefällen kann allerdings auch der heimliche Einsatz von Videoüberwachung bei Vorliegen konkreter Verdachtsmomente gestattet sein. Beispiel: Aufklärung von wiederholtem Medi- kamentendiebstahl in der Arztpraxis. Auf den Umstand, dass ein Bereich videoüberwacht wird, muss die verantwortliche Stelle daher fast immer durch entsprechende, gut sichtbare Schilder hinweisen (§ 4 (2) BDSG n.F.). Mitarbeiterdaten Sind auch Beschäftigte einer Institution von einer Videoüberwachung betroffen, muss datenschutzrechtlich zusätzlich auch § 26 BDSG n.F. beachtet werden. Dieser regelt näm- lich das Erheben und Verwenden von pbD im Verhältnis zwischen Arbeitgeber und Arbeit- nehmer. Danach ist das Erheben und Verwenden personenbezogener Daten von (potenziellen) Beschäftigten nur zulässig, wenn dies für die Entscheidung über die Begründung, die Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Dabei kommt es vor allem auch darauf an, ob das Erheben oder Verwenden pbD zur Erreichung eines bestimmten Zwecks tatsächlich erforderlich ist. Ähnlich wie bei der Videoüberwa- chung enthält die DSGVO keinerlei spezifische Regelungen zum Beschäftigtendatenschutz. Stattdessen steht es den einzelnen EU-Mitgliedsländern frei, diesen Themenkomplex zukünftig eigenständig zu regulieren (sogenannte „Öffnungsklausel“). 46 Zu den bekanntesten, unzulässigen Erhebungen personenbezogener Daten bei Bewerbern gehört die Frage nach einer Schwangerschaft. Bewerberinnen müssen darauf nie antwor- ten. Sie dürfen diese Frage aber auch mit einer Lüge beantworten. Erst recht muss die Bewerberin niemals von sich aus offenbaren, dass sie schwanger ist. Gibt es im Unternehmen einen Betriebsrat, darf dieser nach § 87 (1) Nr. 6 Betriebsverfas- sungsgesetz (BetrVG) oft auch beim Erheben und Verwenden personenbezogener Beschäf- tigtendaten mitbestimmen. Dies gilt jedenfalls immer dann, wenn die fragliche Erhebung oder Verwendung der Daten eine Überwachung des Verhaltens oder der Leistung von Arbeitnehmern nicht von vornherein ausschließt. 2.3 Übermittlung personenbezogener Daten ins Ausland Überblick Mit unterschiedlichen Regelungen und Ansprüchen an den Datenschutz in verschiedenen Ländern werden Gesetze wichtig, die den Austausch von pbD zwischen Ländern regeln. Eine solche Übermittlung betrifft beispielsweise große Konzerne, die pbD zwischen ver- schiedenen Konzernbereichen austauschen wollen, oder Unternehmen, die Cloud-Dienste von ausländischen Anbietern nutzen. Grundsätzlich ist ein grenzübergreifender Austausch von pbD in sich aber weder illegal noch unsicher, aber es ist jeweils wichtig, ein ausrei- chendes Datenschutzniveau auch beim Zielland eines solchen Austausches sicherzustel- len. Datenschutz für zentralisierte Dienste und Cloud-Dienste Rechenzentren globaler Unternehmen nutzen routinemäßig gemeinsame Backend-Com- puterdienste und verfügen über interoperable Netzwerke. Unternehmensdienste werden möglicherweise nur von einem einzigen Standort aus angeboten, z. B. zentralisierte Datensicherungen oder die Verwendung teurer ERP-Software. Das hat zur Folge, dass (per- sonenbezogene ebenso wie andere) Daten über Grenzen hinweg an das Rechenzentrum transferiert werden müssen, in dem sie verarbeitet werden sollen. Technologieanbieter suchen ständig nach Möglichkeiten, ihre Dienste effizienter und zent- ralisierter anzubieten. Ein Ergebnis dieses Trends ist die Entwicklung zum Cloud Compu- ting. Darunter versteht man die Abstraktion von Computerressourcen, so dass Nutzer sie genau im benötigten Umfang erwerben können. Cloud-Dienste werden in der Regel über das Internet und nicht über private Netze in Anspruch genommen. Die Anbieter von Cloud- Diensten haben in der Regel ein hohes Maß an Redundanz in ihrer Infrastruktur, was die Zuverlässigkeit der Kundendienste erhöht. Diese Redundanz kann jedoch eine Datenspei- cherung und -verarbeitung in verschiedenen geografischen Gebieten zur Folge haben. 47 Die Cloud-Technologie hat mehrere Vorteile, z. B. die Zuverlässigkeit der Dienste, die schnelle Bereitstellung neuer Angebote, die Skalierbarkeit und den breiten Zugang. Auch Unternehmen in stark regulierten Branchen können sich für die Nutzung von Cloud-Diens- ten entscheiden, aber die verantwortlichen Dateneigentümer und IT-Mitarbeiter müssen die Zusagen des Cloud-Anbieters zum grenzüberschreitenden Datenfluss genau prüfen. Unter Umständen kann das Unternehmen die geografischen Grenzen für die Datenspei- cherung und -verarbeitung einschränken, was jedoch bedeutet kann, dass nicht alle Cloud-Dienste zur Verfügung stehen. Zum Glück für viele Kunden haben die Anbieter von Cloud-Diensten erkannt, dass der Datenverkehr aufgrund von Gesetzen oder Richtlinien eingeschränkt werden muss. Globale Anbieter machen es ihren Kunden leichter, die geo- grafischen Grenzen ihrer Daten durchzusetzen, indem sie einfache Implementierungen der Datenflusskontrolle in ihre vom Kunden verwalteten Konfigurationen einbauen. In Regionen mit strengen Vorschriften für den Datenverkehr haben kleinere Cloud-Anbieter ein erfolgreiches Geschäft mit dem Angebot von Cloud-Umgebungen entwickelt, die nur im jeweiligen Land verfügbar sind. Diese Umgebungen eignen sich für Kunden, die die Vor- teile des Cloud-basierten Computings nutzen möchten, aber nicht riskieren wollen, dass die Daten versehentlich oder böswillig in ein anderes Land verschoben werden. Regelungen der DSGVO zur Übermittlung personenbezogener Daten ins Au