Die Weitergabekontrolle ist ein weiterer Bestandteil der technischen und organisatorischen Maßnahmen (TOM). Bei der Weitergabekontrolle handelt es sich um das vierte der zehn Gebote der IT-Sicherheit.
Mit Regelungen zur Weitergabe vermeiden Sie, dass personenbezogene Daten während des Transports von Unbefugten gelesen, kopiert, verändert oder entfernt werden können. Genau das ist auch Ihr Ziel: sie möchten nicht, dass Informationen in irgendwo landen. Vielmehr steuern und legen Sie fest, was passieren soll.
Zum Transport zählt neben dem physischen Transport auch die elektronische Übertragung. Anschließend natürlich auch die Speicherung auf einem Datenträger oder Speichermedium.
Sie müssen überprüfen und feststellen können, wo (an welcher Stelle) eine Datenübertragung stattfinden soll, bzw. eine Übertragung geplant ist.
Der Begriff Weitergabekontrolle ist etwas missverständlich. Es ist tatsächlich nicht die Kontrolle oder Protokollierung der Datenweitergabe. Es geht vielmehr darum die Weitergabe von Daten vorhersehbar, und damit kontrollierbarer zu machen.
Durch die Regelungen zur Weitergabe (Weitergabekontrolle) bestimmen Sie die zulässigen Empfänger und die Übertragungswege vorab. Sie legen also vorher Regeln fest.
Nancy Degenhardt, externe Datenschutzbeauftragte und Wirtschaftsjuristin über die Gefahren von Innentätern und wie Sie Ihr Unternehmen u.a. mit Maßnahmen der Weitergabekontrolle schützen können.
BSI - Regelung des Informationsaustausches
Im BSI-Grundschutz gibt es für die Weitergabe einen eigenen Baustein. Darin geht es um Informations- und Datenträgeraustausch. Im verlinkten Grundschutz Baustein finden Sie Details und weitere Hintergrundinformationen zur technischen und organisatorischen Gestaltung.
ZULÄSSIGE EMPFÄNGER BESTIMMEN
Zentrale Frage ist, wer (welche Stelle) an wen (welche Stelle) im Rahmen der Weitergabekontrolle unter Beachtung des Datenschutzes überhaupt welche Daten übermitteln darf. Je eindeutiger Sie diese Frage beantworten können, desto besser.
Klären Sie vor der Weitergabe von personenbezogenen Daten immer die rechtlichen Grundlagen ab.
Besonders wichtig ist, dass Sie den Empänger der personenbezogenen Daten kennen, bzw. sich seiner Identität sicher sind. Authentizität oder Berechtigung spielt hierbei eine große Rolle.
ZULÄSSIGE ÜBERTRAGUNGSWEGE
Die Art der Übertragung personenbezogener Daten hängt hauptsächlich vom jeweiligen Schutzbedarf ab. Daraus ergeben sich die Anforderungen an die Art der Übertragung.
Vermeiden Sie einen fehlerhaften Versand. Das ist beispielsweise der Fall, wenn Sie an einen falschen Empfänger versenden. Sie brauchen Vorgaben und Maßnahmen, die sicherstellen, dass Sie dieses Risiko vermeiden. Je eindeutiger Sie die Vorgaben und Verfahren für die Beteiligten beschreiben, desto besser ist das vermutlich. Verwechslungen und Irrtümer kommen so weniger vor als mit umformulierten „das weiß eigentlich jeder“ Annahmen.
Das beschriebene Beispiel mit Vorschlag zum Vorgehen bezieht sich nicht nur auf die digitale Übertragung wie eine E-Mail. Auch eine physische Übertragung wie den Postversand müssen Sie bei der Weitergabekontrolle beachten.
Regeln Sie die Weitergabe von personenbezogenen Daten in einem Konzept so eindeutig wie möglich. Lassen Sie dabei möglichst wenig Interpretations- oder Entscheidungspielraum zu. Das hilft den Beschäftigten die Vorgaben richtig umzusetzen.
Sicherung bei elektronischer Übertragung
- Verschlüsselung
- VPN
- Firewall
- Fax-Protokoll
Sicherung beim Transport
- verschlossener Behälter
- sorgfältige Auswahl des Boten/ Kuriers