Die technischen und organisatorischen Maßnahmen nach § 9 BDSG bzw. der Anlage zu § 9 BDSG sind hinreichend bekannt. Mit insgesamt acht Maßnahmen hat der Gesetzgeber versucht, eine Art Mindeststandard für den Schutz von personenbezogenen Daten zu schaffen. Die Liste ist nicht als Empfehlung zu sehen, sondern verpflichtender Bestandteil der gesetzlichen Regelungen. Dabei sind immer alle Maßnahmen umzusetzen.
Folgende Maßnahmen sind im Anhang zu § 9 BDSG zu finden:
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Weitergabekontrolle
- Eingabekontrolle
- Auftragskontrolle
- Verfügbarkeitskontrolle
- Trennungskontrolle
Die meisten dieser Maßnahmen werden im Tagesgeschäft der Unternehmen mehr oder weniger automatisch umgesetzt. So werden wohl alle Unternehmen versuchen, den Zugang zu oder den Zugriff auf schützenswerte Daten einzuschränken oder zu verhindern.
Die Eingabekontrolle fristet allerdings oft eine Art Schattendasein. Bei unseren Audits stellen wir regelmäßig fest, dass die Vorgaben kaum bis gar nicht umgesetzt sind. Aber auch, dass die Notwendigkeit dieser Maßnahme in vielen Unternehmen nicht erkannt wird.
Was genau ist das Ziel der Eingabekontrolle?
Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Anlage (zu § 9 Satz 1) BDSG
Dem Wortlaut der Regelung ist zu entnehmen, dass es sich um eine nachgelagerte Kontrolle handelt. Ziel ist demnach nicht, einen Zugriff zu verhindern, sondern im Nachgang kontrollieren zu können, ob der Zugriff rechtmäßig war. Protokolliert werden müssen alle Eingaben, Veränderungen oder Löschungen von Daten, die einen Personenbezug aufweisen.
Es muss eindeutig nachgewiesen werden können, welche Person die Verarbeitung durchgeführt hat. Eine Eingrenzung auf eine Gruppe ist nicht ausreichend. Aus dieser Vorgabe ergibt sich indirekt, dass Mitarbeiter jeweils einen eigenen, personalisierten Zugang zum IT-System erhalten sollten. Ist dies nicht gegeben, so ist mit weiteren organisatorischen Regelungen zu gewährleisten, dass eine Person eindeutig identifiziert werden kann. Dies kann beispielswiese mit manuellen Protokollen geschehen. Allerdings ist der Aufwand oftmals so hoch, dass besser personalisierte Benutzeraccounts eingerichtet werden sollten.
Auch muss das “Entfernen” von personenbezogenen Daten dokumentiert werden. Dabei ist das Wort “entfernen” im BDSG nicht definiert. Es kann aber wohl mit dem Löschen von Daten gleichgesetzt werden. Wichtig in diesem Zusammenhang ist allerdings, dass zwar der Löschvorgang selbst protokolliert werden muss, nicht aber, was gelöscht wurde. Ansonsten würden erneut personenbezogen Daten im Protokoll auftauchen, die aber eigentlich nicht mehr vorhanden sein dürften.
Weiterhin muss eine Auswertung der Protokolle möglich sein. Das heißt, dass irgendjemand die Protokolle, zumindest theoretisch, auswerten kann. Demnach ist festzulegen, wie eine Auswertung erfolgen soll und wer auf die Daten zugreifen darf. Viele Systeme verfügen über automatisierte Auswertungsmöglichkeiten. Ganz aktuelle Anwendungen bieten sogar eine automatische Plausibilitätskontrolle.
Auf den ersten Blick erscheint diese Regelung nachvollziehbar. Auf den zweiten Blick erkennt man allerdings, dass der Gesetzgeber wichtige Details “vergessen” hat. Der Gesetzgeber spart einen wichtigen Verarbeitungsschritt aus, nämlich das Abrufen und somit den Zugriff auf die Daten. Das Abrufen der Daten ist für die weiteren Schritte, zumindest für das Verändern oder Löschen, notwendig. Je nach Sensibilität der Daten ist eine Protokollierung der Zugriffe dringend anzuraten. So sollte eine Zugriffsprotokollierung z.B. bei allen Krankenhaus- oder Praxisinformationssystemen zum Standard gehören.
Weiterhin schreibt der Gesetzestext nicht vor, dass der Zeitpunkt der Eingabe zu dokumentieren ist. Gefordert ist lediglich nachzuweisen, wer welche Daten verarbeitet hat. Aus den technischen Rahmenbedingungen und dem Schutzzweck der Maßnahme ergibt sich abgeleitet, dass eine Protokollierung ohne Zeitpunkt wenig sinnvoll ist. Eine Nachvollziehbarkeit, geschweige denn eine Prüfbarkeit der Protokolle, ist ohne Zeitstempel nicht gegeben.
Viele Unternehmen scheuen den technischen Aufwand einer konformen Protokollierung. Je nach Anzahl der Mitarbeiter und Art der Datenverarbeitung können die Protokolldateien schnell einen stattlichen Umfang erreichen. Zusätzlich müssen Regelungen geschaffen werden, wie lange diese Protokolldateien aufbewahrt werden sollen. Auch die Zugriffskontrolle für Protokolle muss geregelt werden. Es soll schließlich nicht jeder Mitarbeiter ohne Einschränkung auf die Protokolle Zugriff haben.
So entstehen technische wie auch organisatorische Aufwände, die einzuplanen sind. Aber warum ist die Eingabekontrolle auch aus Sicht der Unternehmen wichtig und sinnvoll?
Ganz einfach: aus Eigenschutz! Mit einer wirksamen Eingabekontrolle hat ein Unternehmen nicht nur die Möglichkeit Missbrauch aufzudecken, sondern auch Mitarbeiter in die Verantwortung zu nehmen. Anhand von zwei einfachen Beispielen soll abschließend die Notwendigkeit der Eingabekontrolle dargestellt werden.
Stellen Sie sich eine Arztpraxis oder ein Krankenhaus vor. In beiden Einrichtungen werden sehr viele Daten erhoben und erfasst. Nehmen wir nun an, dass sich die Mitarbeiter mit sogenannten Gruppenzugängen an den Systemen anmelden. Es ist also nicht eine einzelne Person identifizierbar, sondern lediglich eine Gruppe, wie z.B. die Sprechstundenhilfen oder Pflegekräfte insgesamt. Werden nun falsche Daten eingegeben, so ist es nicht möglich, eine verantwortliche Person zu identifizieren. Gerade bei der Eingabe von Medikationen ist schnell erkennbar, welche Gefahren entstehen.
Ein weiteres Beispiel haben wir bei unseren Audits leider mehr als einmal angetroffen. Gehen wir mal davon aus, dass die Protokollierung der Verarbeitung in der Buchhaltungssoftware nicht aktiviert wurde. Sei es auf Grund der Datenmenge oder aus Unwissenheit. Wenn nun falsche Daten eingegeben werden, so hat dies sicherlich nicht die gleichen Auswirkungen wie in einer medizinischen Einrichtung. Aber sobald wir z.B. an den Zahlungsverkehr denken, so wird klar, wie hoch die Missbrauchsmöglichkeiten sind. Wenn Zahlungen eingestellt und freigegeben werden, so sollte das Unternehmen aus Eigeninteresse diese Verarbeitung lückenlos nachvollziehen können. Im Fall eines Missbrauchs verliert das Unternehmen ansonsten fast alle Handlungsoptionen. Angefangen vom Schadensersatz bis hin zu arbeitsrechtlichen Konsequenzen.