Trennungsgebot – TOM und der Datenschutz Teil 8

Daten, die zu unterschiedlichen Zwecken erhobene wurden, müssen getrennt verarbeitet werden. Dies ist die Zusammenfassung des Trennungsgebotes, mit dem unsere Reihe „TOM und der Datenschutz“ heute endet.

Auch wenn es recht praktisch erscheint, die Daten aus verschiedenen Quellen einfach zusammenzuführen, ist dies nicht zulässig. Vielmehr muss durch geeignete Maßnahmen verhindert werden, dass die Daten einfach gemischt werden können.

Berechtigungskonzept

Oft kommt die Frage, ob es nicht reicht, die Daten über ein Berechtigungskonzept zu trennen.  Mit einem Berechtigungskonzept wird aber keine Trennung der Datenbestände erzielt, da durchaus eine übergreifende Vergabe von Rechten möglich ist und auch die Regel sein wird. So ist das Trennungsgebot nicht erfüllt, wenn ein Mitarbeiter auf den Datenbestand A lesend und auf den Datenbestand B gleichzeitig auch schreibend zugreifen kann. Im Sinne des Trennungsgebotes muss zuerst entschieden werden, ob der Mitarbeiter mit dem Datenbestand A oder B arbeiten soll. Erst dann kann innerhalb des Datenbestandes ein Berechtigungskonzept umgesetzt werden. Bei der täglichen Arbeit erfolgt durch den Mitarbeiter zuerst die Auswahl des Datenbestandes. Wenn er auf Daten eines anderen Bestandes zugreifen muss, wechselt er vollständig zwischen den Datenbeständen.

Welche Schutzmaßnahmen kommen in Frage?

Um das Trennungsgebot umzusetzen, kommen verschiedene Maßnahmen in Betracht. Dies sind mit absteigender Güte der Trennung folgende Maßnahmen:

• unterschiedlicher physischer Systeme (inkl. eigenständigem Betriebssystem mit z. B. eigenständiger Datenbank je Datenbestand)
• unterschiedlicher virtueller Systeme (inkl. eigenständigem Betriebssystem mit z. B. eigenständiger Datenbank je Datenbestand)
• unterschiedlicher Anwendung (z. B. zwei Datenbankensysteme) auf demselben Server.
• unterschiedlicher Datenbanken in einem Datenbanksystem. Dabei darf ein Datenbankanwender nur Rechte auf je einer Datenbank erhalten.
• unterschiedlicher Tabellen in einer Datenbank. Dabei darf ein Datenbankanwender nur Rechte auf dem Tabellensatz eines Datenbestandes haben.
• Die Nutzung von Markierungen (Flags) zu jedem Datensatz. Die Anwendungskomponente stellt dabei sicher, dass zu jeder Zeit nur ein Flag als Selektionskriterium ausgewählt werden kann.

In vielen Fällen kann es sinnvoll sein, einem Mitarbeiter unterschiedliche Nutzerkonten für unterschiedliche Datenbestände zuzuordnen. Besonders bei der Nutzung von Standarddateiservern kann eine Trennung der Datenbestände sonst kaum erfolgen.

Bei der letzten Maßnahme, der Nutzung von Flags, verwischt die Grenze zum Berechtigungskonzept bereits. Daher sollte in der Regel eine der übergeordneten Maßnahmen genutzt werden.

Was tun?

Prüfen Sie für Ihre Anwendungen und insbesondere auch für Dateiserver, ob Sie Daten aus unterschiedlichen Beständen in einer Weise abgespeichert haben, dass kein Mitarbeiter bei seiner täglichen Arbeit gleichzeitig mit Daten unterschiedlicher Bestände arbeiten kann. Trennen Sie Anwendungen und Speicherort in unterschiedliche Instanzen auf, um eine Vermischung zu verhindern.