Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

10.11.1978 - 

Datensicherung, praxisnah für das Versicherungswesen:

Kontrolle heißt die Parole

Nachgerade ist Datensicherung schon zu einer Selbstverständlichkeit geworden, durchorganisiert und geführt - beinahe - bis ins Detail, in dem bekanntlich der liebe Gott oder. . . der Teufel steckt. Wer sieh hier nichts zuschulden kommen lassen will, sollte sich mit den Begriffen des Bundesdatenschutzgesetzes vertraut machen und sie auch inhaltlich realisieren. Über das Verbalisieren hinaus, soll im folgenden für die Versicherungswirtschaft erläutert werden, wie die geforderten Sicherungsmaßnahmen beziehungsweise Kontrollfunktionen jeweils in die Praxis umgesetzt werden müssen.

Datensicherung

Datensicherung wird in der Versicherungswirtschaft schon lange betrieben, einmal aus Eigeninteresse und zum anderen im Hinblick auf die Vorschriften des Strafgesetzbuches. Das BDSG verlangt nun in ° 6 pauschal, alle technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. In der Anlage zu ° 6 wird dazu ein Katalog von Anforderungen aufgestellt, die bei automatisierter Datenverarbeitung erfüllt werden müssen. Wichtig ist dabei, daß die Art der zu treffenden Maßnahmen sich nach dem Schutzwert der zu schützenden Daten auszurichten hat. Dabei sind nur solche Maßnahmen erforderlich, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen. Die Versicherungsgesellschaften haben also einen verhältnismäßig freien Entscheidungsraum, wie diese Datensicherungsanforderungen zu erfüllen sind. Im einzelnen fordert das Gesetz folgendes:

Zugangskontrolle

Danach ist Unbefugten der Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren.

Das sicherste Mittel dafür ist die Einrichtung eines Closed-Shop-Betriebes mit abgestuften Sicherheitszonen, zu der nur ein mit Hilfe von Sicherheitsschlössern. Sprechanlagen, Ausweislesern, Code-Lesegeräten oder Pförtnern kontrollierter Zugang möglich ist. Zu diesen Maßnahmen sind auch Einbruchssicherung und Alarmanlagen zu zählen, die gewaltsames Eindringen verhindern sollen. Zu schützen sind nicht nur die zentralen Rechenanlagen, sondern auch zum Beispiel die "intelligenten" Terminals.

Abgangskontrolle

Danach sind Personen, die bei der Verarbeitung personenbezogener Daten tätig sind, daran zu hindern, Datenträger unbefugt zu entfernen.

Zu diesem Zweck ist der Speicherraum für die Datenträger ebenfalls in die Sicherheitszone mit einzubeziehen und der Zugang zu kontrollieren. Die Ausgabe von Datenträgern sollte registriert werden, ein Lieferschein für jeden Datenträger ausgegeben und durch eine regelmäßige Inventur die Vollzähligkeit der Datenträger überprüft werden.

Speicherkontrolle

Damit ist die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern.

Dies kann insbesondere durch die Ausgabe von wechselnden Paßworten erreicht werden und durch generelles Einschränken der Zugriffsrechte.

Benutzerkontrolle

Dadurch soll die Benutzung von Datenverarbeitungssystemen, aus denen oder in die personenbezogene Daten automatisch übermittelt werden, seitens Unbefugter verhindert werden.

Diese Kontrolle kann ebenfalls mit der Ausgabe von Paßworten und Benutzernummern sowie mit Hilfe von Ausweislesern durchgeführt werden.

Zugriffskontrolle

Es ist zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können.

Auch hier bietet sich die Vergabe von Paßworten an.

Übermittlungskontrolle

Es ist zu gewährleisten, daß überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe selbsttätiger Einrichtungen übermittelt werden können.

Diese Kontrolle wird bereits mit den Maßnahmen zur Benutzer-, Speicher- und Zugriffskontrolle erfüllt, so daß der in Ziffer 6 geforderte Nachweis mit einer Liste der befugten Benutzer erbracht werden kann.

Eingabekontrolle

Es ist zu gewährleisten, daß auch nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in Datenverarbeitungssysteme eingegeben worden sind.

Diese Vorschrift wirft zahlreiche Probleme auf. So ist es noch völlig unklar, welche Anforderungen die Pflicht zur nachträglichen Überprüfung stellt, wie lange also die entsprechenden Unterlagen aufzubewahren sind. Nicht eindeutig geregelt ist auch die Frage, wer im Sinne dieser Vorschrift die Daten in die Datenverarbeitungssysteme eingibt, ob dies der Sachbearbeiter ist, der die Eingabe veranlaßt, oder die Datentypistin, die die Belege ablockt, oder der Operator, der die Lochkarten in den Kartenleser legt. Auch hier sollten wir zunächst davon ausgehen, daß nur diejenige Person gemeint ist, die die Daten direkt eingibt, und daß es im übrigen genügt, wenn der Verarbeitungsweg durch die allgemeine Ablauforganisation feststellbar ist.

Auftragskontrolle

Es ist zu gewährleisten, daß personenbezogene Daten, die im Auftrage verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Diese Forderung richtet sich vor allem an die sogenannten Service-Rechenzentren, die die Datenverarbeitung im Auftrage für einen anderen durchführen.

Organisationskontrolle

Die innerbetriebliche Organisation ist so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird.

In dieser Forderung kommt zum Ausdruck, daß sich der Datenschutz nicht allein auf das EDV-Rechenzentrum beschränkt, sondern auch auf die Fachabteilungen sowie auf alle Phasen der Verarbeitung personenbezogener Daten vor und nach der maschinellen Verarbeitung erstreckt.

Auszugsweise wiedergegeben aus: "Der Versicherungsbetrieb", Nr. 5, Seite 13, 1977

Dr. Axl Biagosch ist Vorstandsmitglied der Colonia Lebensversicherungs AG, Köln