Vertraulichkeit und Datenschutz

Im Datenschutz stolpern Sie bestimmt auch ständig über die technischen und organisatorischen Maßnahmen. Vielleicht sind Sie sich wie viele andere nicht sicher was dahinter steht. Sie sind damit nicht allein. Viele Leute fragen sich, was der Begriff technische und organisatorische Maßnahmen eigentlich bedeutet. Dieser Artikel hilft Ihnen hoffentlich dabei, dass Sie sich mehr unter technischen und organisatorischen Maßnahmen vorstellen können.
Zunächst einmal können Sie technische und organisatorische Maßnahmen auch TOM abkürzen. Auch wenn es nicht ganz richtig ist, wird auch TOMs verwendet. – das rollt ganz gut über die Zunge und macht das ganze etwas einfacher.
Im Datenschutz stellen Sie sich unter den TOMs einfach Handlungen vor, die Sie umsetzen müssen, damit personenbezogene Daten sicher sind. Um genau zu sein: Sie stellen sicher, dass kein Unberechtigter Kenntnis der personenbezogenen Daten erhält. Dabei ist jeder den bestimmten personenbezogenen Daten nichts angehen, ein Unberechtigter.

Schutzziele im Datenschutz

Weil Daten einen Wert und auch ein Missbrauchsrisiko haben, ist Ihr Interesse ein entsprechender Schutz. Den erreichen Sie, indem Sie Schutzziele vorgeben und erfüllen. Sie können Schutzziele selbst festlegen, müssen aber beachten, dass es im Datenschutz für personenbezogene Daten gesetzlich vorgegebene Schutzziele gibt. So wie in Art. 32 Abs. 1 lit. b) der DSGVO. Darin werden die Ziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit konkret genannt.
Vielleicht haben Sie von diesen Schutzzielen auch schon einmal etwas gehört, wissen aber nicht genau, was sich dahinter verbirgt.
Als erstes sehen wir uns die Vertraulichkeit genauer an.

Schutzziel Vertraulichkeit

Schlägt man im Duden nach, findet man unter Vertraulichkeit die Diskretion. Gehen wir nun weiter und suchen Diskretion, kommen wir in die richtige Richtung. Unter Diskretion finden wir dann Begriffe wie: Verschwiegenheit, Geheimhaltung, Rücksichtnahme, Unaufdringlichkeit und Zurückhaltung. All diese Schlagwörter beschreiben die Vertraulichkeit in Bezug auf die DSGVO schon recht gut. Im Datenschutz ist Vertraulichkeit ein sehr wichtiger Grundsatz. (Art. 5 Abs. 1 lit. f) DSGVO)
Es hat zwar mit Datenschutz nicht direkt etwas zu tun, aber denken Sie sich einmal in einen Beichtstuhl. Der Beichtende Sünder, möchte nicht, dass Details seiner Sünde außerhalb des Beichtstuhls gelangen. Er kann sicher sein, dass seine Geheimnisse gewahrt bleiben. Dafür sorgen vertrauensvolle Personen, bauliche Maßnahmen, Regeln und Zusicherungen.
Das Schutzziel Vertraulichkeit stellt sicher, dass personenbezogene Daten nur von Personen eingesehen, verändert oder gar gelöscht werden können, die dazu berechtigt sind. Sie müssen also dafür sorgen nur Befugten die Möglichkeit dafür zu geben. Andersherum bedeutet es aber auch, dass Unbefugte das nicht dürfen.
Jedes Unternehmen muss die Vertraulichkeit von personenbezogenen Daten gewährleisten können. Egal ob so klein wie der Immobilienmakler, oder so groß wie ein Automobilhersteller.

Vertraulichkeit umsetzen

Damit Sie die Vertraulichkeit umsetzen, also die Vertraulichkeit von personenbezogenen Daten wahren können, müssen Sie wissen, welche Personen welche Daten sehen und bearbeiten dürfen. Stellen Sie sich bitte auch die Frage, welche Personen innerhalb und außerhalb des Unternehmens überhaupt Kenntnis von personenbezogenen Daten erlangen dürfen.
Indem Sie genau das sicherstellen, setzen Sie Maßnahmen der Vertraulichkeit um.
Einerseits erlauben Sie die Verarbeitung den Berechtigten, andererseits verhindern Sie die Kenntnisnahme durch Unberechtigte.

Ein mögliches Vorgehen

Notieren Sie welche Mitarbeiter welche personenbezogenen Daten zur Erfüllung ihrer Aufgaben benötigen.
Beispielsweise kann der Mitarbeiter der Personalabteilung auf Personaldaten in Personalakten zugreifen. Die benötigt er zur Ausübung seiner Tätigkeit in der Personalabteilung. Der Fertigungsmitarbeiter hat diese Zugriffsrechte nicht. Er benötigt diese Daten nicht, um seine Arbeit zu erledigen.
Vertraulichkeit ist, wenn Sie dafür sorgen, dass nur Berechtigte personenbezogene Daten nutzen können. An den Aktenschränken im Personalbüro bringen Sie Schlösser an. Hier hat dann nur der Personaler einen Schlüssel. Der Fertigungsmitarbeiter nicht – ihn gehen die Personalakten der anderen Beschäftigten nichts an.
Gleiches gilt für den Raum in dem die Personalakten lagern. Der Personaler hat den Schlüssel dazu und benutzt ihn. Der Fertigungsmitarbeiter nicht…
Zum Gebäude in dem sich der Raum mit dem Personalaktenschrank befindet haben nur Mitarbeiter den Schlüssel. Leute von anderen Unternehmen nicht – die gehen die Personalakten der Beschäftigten nämlich nichts an.
Dieses Beispiel verdeutlicht hoffentlich, wie Sie Vertraulichkeit wahren, indem Sie Maßnahmen umsetzen.
Vertraulichkeit ist keine analoge Angelegenheit. Übertragen Sie das Beispiel der Personalakten.
Eine digitale Personalakte befindet sich in einem Ordner auf einem Server. Dieser befindet sich in einem Netzwerk. Öffnen können diese Datei nur Beschäftigte mit ausreichenden Berechtigungen und den richtigen Passwörtern. Alle anderen bleiben außen vor.

Vertraulichkeit zusammengefasst

Vertraulichkeit ist ein wesentliches Grundprinzip der DSGVO. Alle personenbezogenen Daten müssen vor Unbefugten geschützt werden. Jemanden, den personenbezogene Daten nichts angehen, darf auch keine Möglichkeit haben, von diesen Kenntnis zu nehmen.