Heißes Eisen nicht nur aus Datenschutz-Sicht: Die Absicherung mobiler Datenträger

Jeder kennt sie, jeder benutzt sie: mobile Datenträger („mobile devices“). Sie sind aus der digital-globalen Kommunikation nicht mehr wegzudenken und überdies ungemein nützlich und vielfach handlich. Doch je handlicher, desto größer ist die Gefahr, so ein niedliches Teil irgendwo zu vergessen, zu verlieren oder zu verlegen.

Peinlich im Privatleben, geschäftsschädigend im Berufsalltag – und darüber hinaus sind alle Stellen, die personenbezogene Daten nicht zu rein privaten Zwecken verarbeiten, verpflichtet, diese mobilen Geräte entsprechend den Maßgaben der geltenden Datenschutzgesetzeslage abzusichern!

Anmerkung in eigener Sache: Dieser Artikel gibt keinen vollständigen Überblick über alle Einzelaspekte, die in der Praxis relevant sein können, sondern greift aufgrund der komplexen Thematik häufige Alltagsfragen auf. Die Inhalte werden zudem nicht juristisch behandelt, sondern ganzheitlich-interdisziplinär betrachtet und dargestellt.

Die Welt der mobilen Datenträger
Unter mobile Datenträger zählen wir grundsätzlich alle Geräte und Arbeitsmittel, die unter eine der folgenden Gruppen einsortiert werden können:

• c) mobile Datenspeicher (sämtliche USB-Speichermedien, DVD-ROMs, Bänder,
      Kassetten etc.)
 
• d) Sonderfälle mobiler Datenträger (z.B. digitale Kameras, Chipkarten)

Unter die Sonderfälle fallen zum einen mobile Datenträger, auf denen zugleich Daten verarbeitet werden können, die also keine reinen Speichermedien sind. Zum anderen zählen hierzu Datenträger, die in anderen Geräten verborgen sind, zum Beispiel Festplatten für die Zwischenspeicherung zu bearbeitender Daten in Hochleistungskopierern, Faxgeräten und Druckern, Kartenlesegeräte mit Speichereinheiten, digitale Diktiergeräte, Autotelefone (besonders in Leihwägen und Firmenfahrzeugen) und vieles mehr, womit man außerhalb einer festen Installation im Büro und Homeoffice Daten und Informationen bearbeiten kann.
Solche Speichermöglichkeiten werden in der Praxis gern vergessen, weil sie kleine stille Helfer sind, über die man sich für gewöhnlich keine weiteren Gedanken macht.

Datenschutz für mobile Datenträger
Das BDSG stellt einige Datenschutz-Grundprinzipien auf, die der verarbeitenden Stelle dabei helfen sollen, personenbezogene Daten angemessen und wirksam zu erfassen und zu schützen. Diese nachfolgend grob dargestellten Prinzipien gelten auch für die Entwicklung eines geeigneten Schutzniveaus für mobile Datenträger.
Grundsätzlich dreht sich alles bei der automatisierten Verarbeitung personenbezogener Daten um die Zulässigkeit der Datenverarbeitung und Nutzung. Die Einwilligung jedes Betroffenen bzw. seine Benachrichtigung, sofern seine Einwilligung nicht vorliegt bzw. nicht eingeholt werden kann, sollte der normale Weg sein. Gekoppelt damit ist die Datenvermeidung und Datensparsamkeit, nicht zuletzt dabei die Erhebung und Verarbeitung von Informationen ausschließlich zum Geschäftszweck, für den die Daten verarbeitet werden sollen, sofern keine staatlichen bzw. gesetzlichen Interessen vorliegen, die eine solche Verarbeitung sogar erfordern. Das bedeutet, personenbezogene Daten dürfen nicht grundlos und wahllos beschafft und genutzt werden, sondern dies muss zweckgebunden geschehen.
Ein weiteres Grundprinzip – in Verbindung mit Datensparsamkeit ist die geregelte Löschung oder Vernichtung nicht mehr benötigter Daten. Für einige Informationen und Unterlagen (auch digitale Versionen) gelten gesetzliche Aufbewahrungsfristen. So sind beispielsweise E-Mails, die relevante Geschäftskorrespondenz enthalten, nach Handelsgesetzbuch (HGB) aufzubewahren. Hierfür sind zusätzlich Formvorschriften zu beachten, zugleich muss die Wahrung der Privatsphäre der Mitarbeiter sichergestellt sein, wenn die Nutzung des personalisierten geschäftlichen E-Mail-Accounts nicht geregelt oder grundsätzlich erlaubt ist. Ebenso gibt es in vielen Unternehmen einen wahren Wildwuchs von exportierten Datenbeständen, zum Beispiel im vertrieblichen Bereich Exporte aus der Kundendatenbank bzw. dem Customer Relationship Management System (CMS) für die lokale Nutzung außer Haus. Vielfach werden überholte Exportdateien nie gelöscht, sondern einfach neue Dateien hinzugefügt, so dass auch die Rechnersysteme unnötig belastet werden (Speicherbedarf, Indexierung etc.). Die geregelte Löschung, beispielsweise in einem bestimmten Turnus oder eine Vereinbarung, wie lokale Daten von Außendienstmitarbeitern in das zentrale Datensystem einzupflegen und danach die lokalen Daten zu entfernen sind, nützen der Sicherstellung aller Datenschutzziele: der Verfügbarkeit, der Integrität und der Vertraulichkeit der Informationen.
Technische und organisatorische Maßnahmen zum Schutz der Daten auf den Datenträger nach § 9 BDSG sind obligatorisch. Hier sind angemessene Maßnahmen zur Kontrolle des Zutritts, Zugangs und Zugriffs ebenso zu treffen wie zur Weitergabe-, Eingabe-, Verfügbarkeits- und Auftragskontrolle. Das Trennungsgebot soll schließlich die Verarbeitung der personenbezogenen Daten gemäß dem Zweck ihrer Erhebung sicherstellen, zum Beispiel die Trennung der Kundendaten von den Personaldaten.
Die Bereitstellung oder Übermittlung von Daten aus dem oder in das Ausland sowie an über- und zwischenstaatliche Stellen ist ebenfalls datenschutzkonform zu gestalten. Dies spielt für mobile Datenträger unter anderem bei Auslandsreisen eine Rolle, wenn sich die Behörden des Ziellandes vorbehalten, beispielsweise die Laptops bei der Einreise zu überprüfen. Unter Umständen müssen dann sogar verschlüsselte Daten lesbar gemacht werden. Über den Schutz personenbezogener – und gegebenenfalls unternehmenssensibler – Daten muss man sich vor der Einreise Gedanken gemacht haben. Einige Stellen geben ihren Außendienstmitarbeitern inzwischen sogar reine Reiselaptops mit, die jeweils nur mit den Informationen und Datenbeständen ausgerüstet sind, die für diese Reise erforderlich sind. Über geschützte Datenräume werden dann vor Ort weitere Daten nachgeladen oder online verfügbar gemacht. Aber auch bei dieser Methode ist Datenschutz Pflicht: die sorgfältige Auswahl des Anbieters oder auch die Kommunikationsstruktur der Datenübertragungswege müssen geprüft und entsprechend abgesichert sein, um die zu schützenden Daten tatsächlich datenschutzkonform mobil zu behandeln. Auch die Handhabung im Rahmen einer Auftragsdatenverarbeitung muss nach klaren gesetzlichen Regelungen erfolgen.
Insbesondere bei Datenträgern, die nicht nur als reine Speichermedien sondern zur direkten Bearbeitung der Daten dienen, ist § 6c BDSG zu berücksichtigen. Hierunter zählen etwa RFID-Kommunikation, Unternehmensausweise und Chipkarten.

Der Gesetzestext sagt Folgendes:
(1) Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium ausgibt oder ein Verfahren zur automatisierten Verarbeitung personenbezogener Daten, das ganz oder teilweise auf einem solchen Medium abläuft, auf das Medium aufbringt, ändert oder hierzu bereithält, muss den Betroffenen

(2) Die nach Absatz 1 verpflichtete Stelle hat dafür Sorge zu tragen, dass die zur Wahrnehmung des Auskunftsrechts erforderlichen Geräte oder Einrichtungen in   angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung stehen.

! Praxistipp:
Notieren Sie sich ganz bewusst einen Monat lang alle personenbezogenen Daten, die Sie verwenden und notieren Sie sich auch, was Sie mit diesen Daten machen (speichern, löschen, verändern, weitergeben, archivieren etc.). Auf diese Weise können sie sich schnell einen realistischen Überblick ................