Heute setzt sich unsere Serie „TOM und der Datenschutz“ fort. Über die Zutrittskontrolle, die Zugangskontrolle und die Zugriffskontrolle konnten Sie bereits in unseren ersten drei Teilen lesen. Heute wird das Augenmerk auf die Weitergabekontrolle gelegt.
Was ist das Ziel der Weitergabekontrolle?
Die Weitergabekontrolle dient, wie der Name bereits vermuten lässt, der Datensicherheit, wenn personenbezogene Daten weitergegeben werden. Durch eine effektive Weitergabekontrolle sollen die Integrität und die Vertraulichkeit während der Weitergabe gewährleistet sein. Vor allem dürfen während der Datenübermittlung oder des Transportes die Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. Des Weiteren soll der Empfänger der Daten ausreichend geprüft und festgestellt werden. Dabei umfasst die Weitergabekontrolle jede Art von Übermittlung, auch eine Datenverarbeitung innerhalb der verantwortlichen Stelle. Ebenso berührt die Weitergabekontrolle in der Regel auch immer die Auftragsdatenverarbeitungsverhältnisse nach § 11 BDSG zwischen Auftragnehmer und Auftraggeber. Kurz gesagt: Die Weitergabekontrolle bestimmt zulässige Empfänger der Daten und Übertragungswege.
Welche Maßnahmen können für eine datenschutzkonforme Weitergabekontrolle getroffen werden?
Um eine missbräuchliche Nutzung von Daten zu verhindern, hat eine Übertragungskontrolle, eine Transportkontrolle und eine Übermittlungskontrolle stattzufinden.
Die Übertragungskontrolle soll die Vertraulichkeit der Datenübertragung sichern. Die Sicherungsmaßnahmen sollen dabei in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen. Hier können folgende Maßnahmen getroffen werden:
- Verschlüsselung der Daten
- Passwortschutz einzelner Dokumente mit getrennter Kennwortübermittlung
- VPN-Tunnel
- Adresscheck
- Firewall, Virenschutz
- Content-Filter, SSL-Scanner
Im Rahmen der Weitergabekontrolle geht es zum einen um die technische Absicherung der Übertragung und zum anderen aber auch um die Absicherung beim physischen Transport der Daten. Oft liegen Geschäftsdaten und Betriebsgeheimnisse auf mobilen Datenträgern wie Laptops, Festplatten und USB-Sticks. Hier können die folgenden Maßnahmen für eine sichere Weitergabe getroffen werden:
- Sichere (versiegelte) Transportbehälter
- Verschlüsselung der Datenträger
- Zuverlässigkeit des Transporteurs
Neben den technischen Maßnahmen fordert das Gesetz im Rahmen der Übermittlungskontrolle auch organisatorische Kontrollmaßnahmen die beispielsweise wie folgt umzusetzen sind:
- Erstellen eines Verfahrensverzeichnisses
- Protokollieren, wer Daten an dritte Stellen übermittelt und zu welchem Zweck
- Nachweis über Versand, Kennzeichnung und Inventarisierung von Datenträgern
Eine wirksame Weitergabekontrolle macht die Übermittlungen von Daten planbar und nachvollziehbar.
Die Reihe „Tom und der Datenschutz“ wird in Kürze mit einem Artikel über die Eingabekontrolle fortgeführt.