Glossar

Datenschutz

Datenschutz
Unter dem Begriff Datenschutz versteht man den Schutz persönlicher Daten vor einem Missbrauch. Dies wird in Zeiten des Internets und des elektronischen Datenaustausches immer wichtiger. Dieser Begriff wird verwendet für den Schutz technischer und wissenschaftlicher Daten gegen Verlust oder Veränderung sowie den Schutz gegen einen Diebstahl dieser Daten. In der heutigen Zeit bezieht sich der Begriff jedoch zumeist auf den Schutz personenbezogener Daten. Ein Inkassounternehmen muss sich daher sorgfältig mit den Datenschutz befassen, da es mit vielen personenbezogene Daten arbeitet.

Ursprung des Datenschutzes

Ausgangspunkt der weltweiten Debatte um den Datenschutz sind die Pläne der US-Regierung unter John F. Kennedy Anfang der 1960er Jahre, ein nationales Datenzentrum zur Verbesserung des staatlichen Informationswesens einzurichten. Dort sollten Daten aller US-Bürger registriert werden. Vor dem Hintergrund, dass es in den USA kein flächendeckendes Melderegister oder Meldewesen gibt und auch keine bundesweit geltenden Ausweise, wurde diese Planung in den nachfolgenden Debatten als Eingriff in das verfassungsrechtlich postulierte „Right to be alone“ betrachtet. Eine große Rolle spielte dabei auch das bereits 1890 von Samuel D. Warren und dem späteren Bundesrichter Louis D. Brandeis entwickelte „Right to Privacy“,[4] nach dem jedem Individuum das Recht zustehe, selbst zu bestimmen, inwieweit seine „Gedanken, Meinungen und Gefühle“, mithin personenbezogene Informationen, anderen mitgeteilt werden sollten. Das Vorhaben scheiterte im Kongress mit der Folge, dass Forderungen nach gesetzlichen Grundlagen für die Verarbeitung personenbezogener Daten laut wurden. Ergebnis war die Verabschiedung des Privacy Act – allerdings erst 1974 –, der Regeln für die Bundesbehörden einführte, die bereits die wesentlichen Prinzipien des Datenschutzes enthielten: Erforderlichkeit, Sicherheit, Transparenz. Überlegungen, das Gesetz allgemein auch auf den privaten Bereich auszudehnen, führten auf Grund eines Sachverständigengutachtens, das zum fatalen Ergebnis kam, der Wettbewerb würde dies regeln, nicht zum Erfolg.

Unter welchen Voraussetzungen ist die Verarbeitung personenbezogener Daten weiterhin erlaubt?
Nach der DSGVO gelten für Unternehmen in der Europäischen Union folgende Grundsätze:

Sie dürfen personenbezogene Daten nur dann erheben, verarbeiten und speichern, wenn ausdrücklich eine Einwilligung erteilt ist. Dazu muss die betroffene Person eine Einwilligung erteilen, oder die Erlaubnis muss durch ein Gesetz gegeben sein – etwa das Telemediengesetz (TMG). Sie dürfen nur Daten speichern und verarbeiten, die sie tatsächlich brauchen. Daten, die nicht unmittelbar gebraucht werden, dürfen nur unter strengen Voraussetzungen erhoben werden. Welche genau das sind, legt die DSGVO fest. Die Daten dürfen nur für den Zweck genutzt werden, zudem sie erhoben wurden. Recht auf Vergessen: Die Person, über die Daten gespeichert sind, muss auf ihre Daten zugreifen können, wenn sie dies wünscht. Sie hat auch ein Recht darauf, dass ihre Daten auf ihren Wunsch hin umgehend gelöscht werden. Webseitenbetreiber und Unternehmen müssen personenbezogene Daten sicher aufbewahren und löschen, wenn sie sie nicht mehr benötigen.

Gibt es ein Recht auf Datenschutz?
Ja, ein Recht auf den Schutz der eigenen Daten findet sich sogar im Grundgesetz. Zwar gibt es kein eigenes „Grundrecht auf Datenschutz“. Allerdings hat das Bundesverfassungsgericht 1983 in einer Grundsatzentscheidung (BVerfGE 65, 1 – Volkszählung) das sogenannte „Recht auf informationelle Selbstbestimmung“ geschaffen. Als Ausprägung des allgemeinen Persönlichkeitsrechts schützt es die Befugnis jedes einzelnen Menschen über seine personenbezogenen Daten und ihre Verwendung selbst zu bestimmen. Als Grundrecht hat es große Bedeutung für Rechtswissenschaft und Politik und hat so schon mehrere Vorhaben wie die automatisierte Erfassung von Kfz-Kennzeichen oder auch die Vorratsdatenspeicherung verhindert. Neben dem Recht auf informationelle Selbstbestimmung gibt es das ebenfalls verfassungsrechtlich gewährleistete „Fernmeldegeheimnis“. Als Äquivalent zum Brief- und Postgeheimnis schützt es die Vertraulichkeit der unkörperlichen Übermittlung von Informationen im Rahmen der individuellen Kommunikation. Damit ist die Kommunikation per Telefon oder Internet gemeint. Das Fernmeldegeheimnis gewährt somit grundrechtlichen Schutz darauf, dass beispielsweise private E-Mails nicht von Dritten gelesen werden dürfen.

Datensicherheit

In der betrieblichen Datenverarbeitung wird der Begriff Datensicherheit verwendet. Als Synonym wird auch oftmals der Begriff Informationssicherheit genannt. Unter dem Ausdruck Datensicherheit versteht man alle organisatorischen und technischen Maßnahmen und Instrumente zum Schutz der Daten vor Verlust, Verfälschung und unzulässiger Weitergabe.

Maßnahmen für Datensicherheit: Regelungen im Gesetz
Maßnahmen, um für Datensicherheit zu sorgen, können ganz unterschiedlich aussehen. Als Beispiel können die technischen und organisatorischen Maßnahmen (TOM) dienen, die in § 9 Bundesdatenschutzgesetz für datenverarbeitende Stellen vorgesehen sind. Sie geben als Datensicherheitsmaßnahmen verschiedene Arten der Kontrolle an, die durchgeführt oder gegeben sein müssen.

– Welche Maßnahmen zur Erhöhung der Datensicherheit gibt es?
– Zutrittskontrolle
– Weitergabekontrolle
– Eingabekontrolle
– Auftragskontrolle
– Verfügbarkeitskontrolle
– Trennung von Daten unterschiedlicher Zwecke

Bei den Maßnahmen zur Erhöhung der Datensicherheit handelt es sich also um verschiedene Kontrollmechanismen, die einen unbefugten Zugriff und somit auch eine Kenntnisnahme, Manipulation oder Entfernung der Daten verhindern sollen.

Malware, Hacking und Phishing
Unter Schadprogrammen, auch Malware (von malicious = bösartig) genannt, versteht man Software (Computerprogramme), die einem Computersystem bzw. einem Netzwerk oder einem anderen elektronischen System Schaden zufügen will. (http://wirtschaftslexikon.gabler.de/Definition/malware.html)

Einteilung:
Computerviren: Älteste Form von Malware, infizieren einen PC durch Reproduktion in anderen Programmen oder Dateien.

Computerwürmer: Ähnelt einem Virus, verbreitet sich aber über Netzwerke oder das Internet (z. B. über E-Mails) und versucht in PCs einzudringen.

Trojaner: Ein Trojanisches Pferd ist eine Kombination aus einem Nutz- und einem Schadprogramm. (oft Spyware oder eine Backdoor)

Backdoor: Öffnet eine „Hintertür“ des PCs, über die eingedrungen werden kann.

Spyware: Spionagesoftware sammelt Informationen über das Verhalten bzw. die Tätigkeit des Users und leitet diese an Dritte weiter.

Adware: Startet unerwünscht Anwendungen, die der Marktforschung bzw. Werbung dienen

Dialer: Wählen sich heimlich bei Mehrwertnummern ein und verursachen dadurch teilweise sehr hohe Kosten für den User.

Hacking
Als Hacking wird der Einbruch in einen Computer bzw. in Computernetzen bezeichnet. In der Computersicherheit wird die Herausforderung des Hackens darin gesehen, Sicherheitsmechanismen zu umgehen oder Sicherheitslücken zu finden und dadurch in ein Computersystem einzudringen.

Phishing
Als Pishing (setzt sich aus fishing und password zusammen, also das Angeln nach Passwörtern) wird das Abfangen von Userdaten über gefälschte Websites, E-Mails oder SMS bezeichnet. Häufig sind Online-Banking-Portale von solchen Fälschungen betroffen, die User werden nach der Anmeldung auf der falschen Seite aufgefordert eine TAN (Transaktionsnummer, dient zum Unterzeichnen von Online-Überweisungen) einzugeben. Mit den Anmeldedaten und der TAN verfügen die Kriminellen über alle notwendigen Daten, um eine Überweisung durchzuführen und sich somit auf Kosten des Users zu bereichern.

Sicherheitskonzepte für optimale Datensicherheit
Um größtmögliche Datensicherheit zu gewährleisten, sollte grundsätzlich ein dynamisches Sicherheitskonzept erstellt werden, welches eine Identifikation sämtlicher möglicher Risiken sowie deren Gewichtung nach Schädigungspotenzial und Eintrittswahrscheinlichkeit umfasst. Datensicherheit liegt hierarchisch stets im Aufgabenbereich der Leitung einer Organisation oder eines Unternehmens und sollte nach dem Top-down-Prinzip auf alle Bereiche und Ebenen eines Unternehmens heruntergebrochen werden. Bei der Dimensionierung von Schutzmaßnahmen gilt das Prinzip der Verhältnismäßigkeit, denn ein Übermaß an Sicherheitsmaßnahmen führt zu erhöhten Kosten, betrieblicher Ineffizienz sowie mangelnder Akzeptanz, wogegen eine zu offene Unternehmens- oder Organisationskultur Unbefugten entsprechende Angriffsmöglichkeiten bietet. Auch sollten die Kosten der Sicherheitsmaßnahmen nicht höher sein als der maximale Schaden, der durch die Einwirkung schädigender Ereignisse entstehen kann. In jedem Fall sind die getroffenen Maßnahmen im Rahmen eines dynamischen Sicherheitsmanagementsystems laufend auf ihre Wirksamkeit sowie den Kosten-Nutzen-Effekt zu überprüfen, die erhaltenen Ergebnisse sind lückenlos zu dokumentieren.

Operative Schutzmaßnahmen dienen vor allem der physischen Sicherstellung von Daten, was durch Zugriffs- und Zutrittskontrollen, fehlertolerante Systeme sowie Datensicherungen und geeignete Verschlüsselungstechniken erreicht werden kann. Weiteren Schutz bietet eine laufende Aktualisierung der verwendeten Software durch vom Hersteller angebotene Updates sowie die Verwendung einer wirksamen Antiviren-Software, welche regelmäßig – mindestens einmal täglich – aktualisiert werden sollte. Darüber hinaus bietet der Einsatz eines strategisch aufgebauten Software-Berechtigungssystems gemeinsam mit modernen Firewalls größtmögliche Datensicherheit. Von großer Bedeutung ist auch eine sichere Verschlüsselung bei der Datenübertragung, denn vor allem bei hochsensiblen Daten wie etwa Kreditkartennummern darf der Zugriff nur gegen Nachweis des richtigen Schlüssels möglich sein. Im täglichen Umgang mit Informationen sollte von wichtigen Daten stets eine Sicherheitskopie auf einem separaten Speichermedium angefertigt werden, je bedeutsamer diese Daten sind bzw. je öfter der Datenbestand aktualisiert wird, desto öfter sollten Datenkopien angelegt werden. Protokolle und Logdateien können im Schadensfall ihren Teil zur Aufklärung des Sachverhaltes beitragen. Ein wichtiger Aspekt in der Datensicherheit ist auch die Sensibilisierung sämtlicher Mitarbeiter des Unternehmens gegenüber dem Thema, denn ein verantwortungsvoller Umgang mit Informationen erschwert Angriffe auf die Datensicherheit des Systems.

Felder mit einem * sind Pflichtfelder

Ich/Wir habe/n Interesse an

Pflichtfelder * | Wir verarbeiten ihre personenbezogenen Daten nur zum Zweck der weiteren Kontaktaufnahme mit Ihnen. Weitere Hinweise zum Datenschutz finden Sie unter Datenschutz-Richtlinien.