Vorbeugen ist besser

Am Gesetz zum Datenschutz wird seit seiner Annahme 2006 immer weiter herumgefeilt. Trotz vieler Unzulänglichkeiten müssen die Anforderungen des Gesetzes umgesetzt werden. / Olga Gorchkowa, Info Watch

Das Gesetz 152-F3 „Über Personaldaten“ ist zwar nicht neu, aber mit der fortschreitenden Digitalisierung des Dokumentenverkehrs und der Datenspeicherung erfährt es ständig Redaktionen. Dennoch sind selbstverständlich alle, die personenbezogene Daten verwalten verpflichtet das Gesetz umzusetzen. Sich durch dieses Dickicht zu schlagen ist nicht ganz einfach. Aber Unwissenheit schützt vor Strafe nicht – deshalb lud das Personalkomitee der AHK Ende Mai zum Informationsupdate ein.

Juristische Aspekte bei der Bearbeitung von Personaldaten in Russland

Was also sollte man also unbedingt über die juristische Seite wissen? Personenbezogene Daten dürfen nach dem Gesetz 152-F3 nur mit Einwilligung des betreffenden Subjekts (Inhaber) bearbeitet werden, ebenso kann der Inhaber die Daten zurückrufen, in diesem Fall muss das Unternehmen die Daten vernichten, bzw. unkenntlich machen, so dass sich der Inhaber der Daten nicht mehr identifizieren lässt.

Über die Verwendung und Nutzung von beliebigen persönlichen Daten muss die zuständige Behörde informiert werden, in Russland ist das die Medienaussichtsbehörde Roskomnadsor. Außerdem muss das Unternehmen oder der von ihm mit der Bearbeitung der Daten beauftragte Dienstleister die notwendigen organisatorischen und technischen Bedingungen, die einen ordnungsgemäßen Schutz garantieren, schaffen.

Für Gesetzesverstöße können Strafen in Höhe von 5.000 bis 20.000 Rubel erhoben werden, das betrifft die Datensammlung, -aufbewahrung, –nutzung und –verbreitung ebenso wie die Verwendung von nicht zertifizierten IT-Systemen und Schutzprogrammen sowie die Tätigkeit im Bereich Datenschutz ohne Lizenz.

Aufgrund der laufenden Praxis in Russland, empfehlen Juristen Unternehmen, die in Russland ihre Tätigkeit aufnehmen, deutlich darzustellen, welche Daten und unter welchen Umständen bearbeitet werden. Im Anschluss daran sollten eine rechtlich Beratung und ein Geschäftsaudit durchgeführt werden, auf dessen Basis dann organisatorische und technische Maßnahmen ergriffen werden, die Verstößen vorbeugen sollen.

Organisatorische Maßnahmen

Verstöße gegen den Datenschutz, egal von wem verschuldet, ziehen neben finanziellen Verlusten auch immer einen starken Imageverlust nach sich.

Zu den finanziellen Risiken gehören z.B. Schadensersatzleistungen, die an Privatpersonen im Falle einer Schädigung geleistet werden müssen. Dies ist meistens bei Verstößen gegen das Bankgeheimnis, Arztgeheimnis oder Versicherungsdaten). Schwerwiegend können auch die Folgen von Datenverlust im Betrugsfall ausfallen sein (Verfälschung und Fälschung von Daten). Finanziell könne auch die für die Ermittlung und Gerichtskosten erheblich zu Buche schlagen.

Zu den Folgen der Imagerisiken gehört der Vertrauensverlust der Kunden / Klienten und Geschäftspartnern, Entzug der Lizenzen, Verbot der Tätigkeit bei Anzeigenerstattung seitens Kunden oder Partnern.

Diese Geschäftsrisiken sollten vom Risikomanagement realistisch eingeschätzt werden, wichtig hierbei ist vor allem die richtige Analyse der möglichen Gefahrenquellen und ihrer Beseitigung. Hier zu ist die Klassifikation von Daten unentbehrlich. Für ein normales, sicheres Funktionieren eines Unternehmens muss bei allen Mitarbeitern das Verständnis dafür geweckt werden, welche Informationen vertraulich sind und wie man mit diesen Informationen richtig umgeht. Dieses Verständnis kann nur durch eine Reihe von organisatorischen Maßnahmen geschaffen werden, dazu gehören auch die richtigen juristischen Dokumente, entsprechende Paragrafen in den Arbeitsverträgen und vor allen Dingen entsprechende Fortbildungen.

Technische Mittel

Es gibt mittlerweile mehrere Anbieter entsprechender Software zur Verhinderung von beabsichtigten und unbeabsichtigten Datenabfluss.

Häufig urteilen Mitarbeiter leichtsinnig und nicht fachgerecht darüber, welche Informationen vertraulich behandelt werden müssen oder nicht. Der Versand von Dokumenten ist nicht selten unüberlegt, bzw. es wird geurteilt: „Wem kann das schon schaden, wenn ich das weitergebe?“ Die Mitarbeiter merken nicht, dass sie für ihre Unternehmen zur ständigen Gefahrenenquelle werden.

Wie aber kann man sich vor solchen Fahrlässigkeiten schützen? Es ist unmöglich jedem einen Spezialsten an die Seite zu stellen, der eingreift, wenn ein Risiko entsteht. Solche Probleme können mit spezialisierten DLP – Systemen gelöst werden (Data Leakage Prevention), die für die Kontrolle von Daten und Dokumenten mit eingeschränktem Nutzerkreis entwickelt wurden.

Im Folgenden sollen einige Stufen der Implementierung eines DLP-Systems dargestellt werden. In der Vorstufe muss eine Bewertung der vorhandenen Bedrohungen für vertrauliche Informationen vorgenommen werden, welche Wege gehen solche Informationen, müssen diese Routen umgearbeitet werden oder sind sie richtig gewählt.

Im Anschluss daran kann die entsprechend angepasste Software zur installiert werden. Wichtig ist das Monitoring der gesendeten Objekte, dadurch kann das nicht sanktionierte Verschicken von Daten sofort festgestellt werden, außerdem verfügt das Programm über einen Speicher, in dem Vorfälle verfolgt und analysiert werden können – was passiert in einem Unternehmen mit vertraulichen Daten, welche Risiken bestehen für sie, wie hoch ist der Nutzen einer technischen Sicherung und wie wird das zukünftige Verhalten der Nutzer prognostiziert.

Das Monitoring basiert nicht alleine auf einer linguistischen Analyse der Wörter und Wortformen, auch der Kontext wird einbezogen. In der Umgebung eines Wortes sind Wörter oder Satzattribute enthalten, die auf Vertraulichkeit hinweisen. Zum Beispiel wird der Satz „Passnummer von Peter Müller: … “ vom System als Versuch von Versand persönlicher Daten über die Grenzen des Unternehmens hinaus klassifiziert, während ein Satz wie „Mein Pass wird bald ungültig, ich muss ihn verlängern lassen“ keinerlei vertrauliche Daten einhält und als solcher auch nicht von System eingestuft wird. Die Kontextanalyse ist also notwendig um Fehlalarm auszuschließen.

Sehr viele Informationen über ein Unternehmen sind beispielsweise in Musterverträgen, Antragsformularen und anderen Formblättern enthalten, die oft gedankenlos verschickt werden. Solche häufig verschickten Dokumente können durch ein Analyseprogramm geschickt werden, das deren Versand automatisch verfolgt und registriert.

Ein wichtiger Bestandteil des Systems ist ein spezieller Speicher, der eine unbegrenzte Datenspeicherung sichert. Egal wie gut die Statistiken über Verkäufe oder Geschäftstätigkeiten geführt werden, trotz allem ist es häufig notwendig zu alten Unterlagen zurückzukehren und Daten dort abzurufen: was war im letzten Jahr, wie war die Stimmung an den Märkten und vieles andere. Dafür ist es wichtig alte Informationen in einer gut zugänglichen Form aufzubewahren, versehen mit einer schnellen Suchfunktion und einer Analyse vergangener Ereignisse. Das System kann auch Berichte in verschiedenen Richtungen ausbauen und jegliche Art der Textsuche realisieren. Bei technischen Hilfsmitteln handelt es sich also nicht allein um Software oder Hardware, sondern um auch um die Sammlung und Strukturierung von jahrelangen Erfahrungen und Wissen – Dinge, die ein Unternehmen für seine erfolgreiche Entwicklung bringend braucht.