WEITERGABEKONTROLLE UND DATENTRANSPORT

Die Weitergabekontrolle ist ein weiterer Bestandteil der technischen und organisatorischen Maßnahmen (TOM). Bei der Weitergabekontrolle handelt es sich um das vierte der zehn Gebote der IT-Sicherheit.

Mit Regelungen zur Weitergabe vermeiden Sie, dass personenbezogene Daten während des Transports von Unbefugten gelesen, kopiert, verändert oder entfernt werden können. Genau das ist auch Ihr Ziel: sie möchten nicht, dass Informationen in irgendwo landen. Vielmehr steuern und legen Sie fest, was passieren soll.

Zum Transport zählt neben dem physischen Transport auch die elektronische Übertragung. Anschließend natürlich auch die Speicherung auf einem Datenträger oder Speichermedium.
Sie müssen überprüfen und feststellen können, wo (an welcher Stelle) eine Datenübertragung stattfinden soll, bzw. eine Übertragung geplant ist.

Der Begriff Weitergabekontrolle ist etwas missverständlich. Es ist tatsächlich nicht die Kontrolle oder Protokollierung der Datenweitergabe. Es geht vielmehr darum die Weitergabe von Daten vorhersehbar, und damit kontrollierbarer zu machen.

Durch die Regelungen zur Weitergabe (Weitergabekontrolle) bestimmen Sie die zulässigen Empfänger und die Übertragungswege vorab. Sie legen also vorher Regeln fest.

Nancy Degenhardt, externe Datenschutzbeauftragte und Wirtschaftsjuristin über die Gefahren von Innentätern und wie Sie Ihr Unternehmen u.a. mit Maßnahmen der Weitergabekontrolle schützen können.

Vimeo

Mit dem Laden des Videos akzeptieren Sie die Datenverarbeitung durch Vimeo.
Datenschutzhinweise von Vimeo ansehen

Video laden

BSI - Regelung des Informationsaustausches

Im BSI-Grundschutz gibt es für die Weitergabe einen eigenen Baustein. Darin geht es um Informations- und Datenträgeraustausch. Im verlinkten Grundschutz Baustein finden Sie Details und weitere Hintergrundinformationen zur technischen und organisatorischen Gestaltung.

ZULÄSSIGE EMPFÄNGER BESTIMMEN

Zentrale Frage ist, wer (welche Stelle) an wen (welche Stelle) im Rahmen der Weitergabekontrolle unter Beachtung des Datenschutzes überhaupt welche Daten übermitteln darf. Je eindeutiger Sie diese Frage beantworten können, desto besser.

Klären Sie vor der Weitergabe von personenbezogenen Daten immer die rechtlichen Grundlagen ab.

Besonders wichtig ist, dass Sie den Empänger der personenbezogenen Daten kennen, bzw. sich seiner Identität sicher sind. Authentizität oder Berechtigung spielt hierbei eine große Rolle.

ZULÄSSIGE ÜBERTRAGUNGSWEGE

Die Art der Übertragung personenbezogener Daten hängt hauptsächlich vom jeweiligen Schutzbedarf ab. Daraus ergeben sich die Anforderungen an die Art der Übertragung.

Vermeiden Sie einen fehlerhaften Versand. Das ist beispielsweise der Fall, wenn Sie an einen falschen Empfänger versenden. Sie brauchen Vorgaben und Maßnahmen, die sicherstellen, dass Sie dieses Risiko vermeiden. Je eindeutiger Sie die Vorgaben und Verfahren für die Beteiligten beschreiben, desto besser ist das vermutlich. Verwechslungen und Irrtümer kommen so weniger vor als mit umformulierten „das weiß eigentlich jeder“ Annahmen.

Das beschriebene Beispiel mit Vorschlag zum Vorgehen bezieht sich nicht nur auf die digitale Übertragung wie eine E-Mail. Auch eine physische Übertragung wie den Postversand müssen Sie bei der Weitergabekontrolle beachten.

Regeln Sie die Weitergabe von personenbezogenen Daten in einem Konzept so eindeutig wie möglich. Lassen Sie dabei möglichst wenig Interpretations- oder Entscheidungspielraum zu. Das hilft den Beschäftigten die Vorgaben richtig umzusetzen.

Sicherung bei elektronischer Übertragung

Die Vorgaben der Weitergabe bei der elektronischen Übertragung von personenbezogenen Daten erfüllen Sie am besten mit/durch:
  • Verschlüsselung
  • VPN
  • Firewall
  • Fax-Protokoll

Sicherung beim Transport

Der physische Transport personenbezogener Daten stellt ähnliche Anforderungen an Ihren Prozess:
  • verschlossener Behälter
  • sorgfältige Auswahl des Boten/ Kuriers

Vorgaben umsetzen und sicherstellen

Am besten überprüfen Sie Ihre getroffenen Regelungen zur Datenübertragung regelmäßig. Stellen Sie Mängel fest, können Sie direkt Verbesserungen vornehmen.
Wenn Sie einen Datenschutzbeauftragten haben, überprüft er das regelmäßig im Rahmen seiner Aufgaben.
Alternativ können Sie auch einen externen Auditor beauftragen. Je nach Auftrag sieht der Auditor sich auch Ihre Regelungen zur Weitergaben an.
Sie erhalten einen Auditbericht mit einer Einschätzung der Situation und Verbesserungsvorschlägen.

Senden Sie uns Ihre Nachricht