Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

24.11.1978 - 

Datenschutz in Klein- und Mittelbetrieben:

Für die Datensicherung sind nur Großrechner eingerichtet

KÖLN (ee) - Die Interdependenz zwischen Organisationsgrad und Maßnahmen zur Datensicherung machte Thomas H. Barthel (Forschungsstelle für juristische Informatik und Automation, Uni, Bonn) deutlich, als er sich anläßlich der DAFTA in Köln mit dem Dilemma der Datensicherung in Klein- und Mittelbetrieben auseinandersetzte. Auch bei dieser Unternehmensgröße will Barthel - trotz verbaler Kraftmeierei zum Datenschutz und der Einsichtigkeit, warum er sein muß - den Trend festgestellt haben, "die konkrete Durchführung des Datenschutzes immer nur beim anderen für notwendig zu erachten." Klage führte Barthel (siehe Auszug aus seinem Vortrag) über das betrüblich unzureichende Angebot an Datensicherungs-Soft- und Hardware. Wörtlich:

"Zum gegenwärtigen Zeitpunkt werden leider bewährte und technisch längst ausgereifte Verfahren (wie Verschlüsselung, Identifikation und Authentifikation, Zugriffskontrolle, Protokollierung) von den Software- und Hardwareherstellern nicht oder nur in trivialster Form auf dem Markt angeboten. Dies erschwert im Augenblick so manchem deutschen DV-Anwender die Aufgabe der Datensicherung."

Andere Probleme der technischen Datensicherung (insbesondere: Zugriffskontrolle in Datenbanksystemen, Gewährleistung der Zugriffskontrolle bei der Prozeßkommunikation, Sicherung auf der Ebene von Programmiersprachen) sind heute noch nicht oder noch nicht befriedigend gelöst. Hier kann frühestens Ende der achtziger Jahre mit marktreifen Lösungen gerechnet werden.

Kleine und mittlere Betriebe beziehungsweise Organisationen zeichnen sich insbesondere dadurch aus, daß ihr Organisationsgrad (die Zahl der von Organisationsangehörigen gemeinschaftlich ausgeführten Tätigkeiten in der Organisation) niedriger ist und die Verhaltenserwartungen an die Mitarbeiter weniger formalisiert sind als in großen organisatorischen Einheiten. Dadurch sind alle sachbezogenen und personellen aufbau-organisatorischen Regelungen (wie zum Beispiel Organisationsabläufe, Richtlinien, Funktionstrennungen, Kompetenzfestlegungen sowie Zugangsbeschränkungen und deren Kontrolle) grundsätzlich mit zusätzlicher Bürokratisierung versehen und damit schwer durchsetzbar. Kompensatorische Maßnahmen (wie zum Beispiel strengere Einstellungskriterien) helfen hier (zum Beispiel wegen zu geringer Fluktuation) nur wenig weiter. Raumbezogene aufbauorganisatorische Maßnahmen zur Gewährleistung des Datenschutzes gibt es kaum. Die Archive für Erfassungsbelege und Datenträger erfüllen in der Regel noch eine Reihe weiterer Funktionen.

Im Rahmen der Ablauforganisation läßt sich in Bezug auf die sachbezogenen Maßnahmen eine Unterscheidung zwischen den verschiedenen Phasen der Datenverarbeitung machen. Kennzeichnend für kleinere und mittlere Organisationen ist, daß eine Reihe von Funktionen von ein und derselben Person ausgeführt werden. So liegen häufig beispielsweise Programmierung Arbeitsvorbereitungen und Operating bei derselben Person. Diese "Personalunion" hat häufig zur Folge, daß in der Vergangenheit auf eine Reihe von (eigentlich sehr notwendigen) Tätigkeiten schlichtweg verzichtet wurde, die jedoch im Rahmen der Datensicherung sowie der Kontrollaufgaben des Datenschutzbeauftragten eine wesentliche Rolle spielen. Zu denken ist hier insbesondere an die Programmdokumentation, die Protokollierung einzelner Prozeßaktivitäten sowie deren Auswertung. In Bezug auf personenbezogene Regelungen ist auf Grund des kleinen Benutzerkreises in der Regel auf Benutzererkennung und ähnlicher Maßnahmen wenig Wert gelegt worden.

Da jedoch die jetzt eingetretene rechtliche Situation für die Zukunft verlangt, daß ein Großteil dieser Maßnahmen unabdingbar durchzuführen ist, sind gerade im organisatorischen Bereich von Klein- und Mittelbetrieben grundlegende Umstellungen erforderlich. Die damit im Zusammenhang stehenden erheblichen Änderungen im Bereich des Rechenzentrums belasten die Betriebe sehr, weil diese verhältnismäßig schlecht vorbereitet sind.

Technische Probleme der Datensicherung

Gerade hier könnten im Prinzip eine Reihe von trivialen technischen Sicherungsmaßnahmen Linderung bedeuten. Zu denken ist hier insbesondere an eine automatisierte Identifikation und Authentifikation der Maschinenbenutzer im Bereich der präventiven Sicherungsmaßnahmen und eine genaue Protokollierung und deren Auswertung im Bereich der überwachenden Sicherung. Da jedoch kleine und mittlere Organisationen in der Regel auch Anwender von Kleinrechnern, MDT-Anlagen und Minirechnern sind (mit Ausnahme von Service-Rechenzentren) taugt häufig das Problem auf, daß sowohl Software- und Hardwarehersteller des benutzten Rechners diese Funktionen nicht systemseitig vorsehen. Damit diese Funktionen aber ihren Sinn erfüllen, können sie nicht als normale Benutzerprogramme hinzu programmiert werden. Der Anwender steht hiermit wieder einmal vor dem bekannten und allseits gefürchteten Zielkonflikt: Fügt er die oben genannten Routinen eigenhändig in das Betriebssystem ein, entzieht ihm der Rechner oder Software-Lieferant jegliche weitere Garantie für Fehlerfälle. Unterläßt der Anwender den Eingriff in das System, werden sämtliche Sicherungsmaßnahmen ad absurdum geführt. Er ist gezwungen durch organisatorische Maßnahmen die fehlende technische Maßnahme zu kompensieren.

Diese und ähnliche Probleme mit der technischen Datensicherung sind mit den Mitteln eines einzelnen Anwenders nicht mehr lösbar. Alleine durch Zusammenschlüsse der jeweils betroffenen Organisationen lassen sich die Hersteller zur Lieferung der geforderten Funktionen bewegen.

Wirtschaftliche Probleme

Aus den obengenannten Gründen ist für kleine und mittlere Organisationen deshalb in der Regel die Implementation des Datenschutzes mit verhältnismäßig höheren Kosten verbunden, als für den Anwender von Großrechensystemen, obgleich die Komplexität der Datenverarbeitung weitaus geringer ist (in der Regel gibt es kein Multiprogramming und sonstige parallele Prozesse). Langfristig gesehen liegt es jedoch auch an dem Bewußtsein dieser Anwender, sich bei zukünftigen Beschaffungsentscheidungen datenschutz- und datensicherungsbewußt zu verhalten und damit kostensparend zu handeln.