TOM erklärt! Die Weitergabekontrolle


Bei der Übertragung von personenbezogenen Daten zwischen zwei oder mehreren Benutzern oder Systemen ist TOM dafür verantwortlich, dass diese Daten auch sicher ihr Ziel erreichen. Doch was sind eigentlich die konkreten Risiken hierbei und welche Maßnahmen kann TOM ergreifen?

Wie werden Daten eigentlich weitergegeben?

Eine allgemein bekannte Form der Weitergabe von Daten ist der Austausch von Dokumenten. Hierbei spielt es keine Rolle, ob die Dokumente digital oder analog vorliegen. In beiden Fällen muss TOM dafür sorgen, dass Unbefugte die personenbezogenen Daten nicht zu Augen bekommen. Doch das ist längst nicht alles. Mit Hilfe von E-Mails, Telefonaten, Cloud-Speichern, mobilen Datenträgern und sogar durch die reine Nutzung von Webseiten werden tagtäglich personenbezogene Daten übertragen.

Ein wesentlicher Bestandteil zum Etablieren von Schutzmaßnahmen ist es, seine Empfänger zu kennen und die Übertragungsart, welche für die Weitergabe genutzt wird. So ist es möglich, passgenaue technisch organisatorische Maßnahmen anhand des jeweiligen Einzelfalles zu treffen.

Nur wer versteht, welche Daten von wo nach wo fließen, kann sich vor ungewolltem Datenabfluss und versehentlichen Datenpannen schützen. Stellen Sie sich vor, Ihr Nachbar öffnet versehentlich ihre private Post und erhält somit Kenntnis darüber, dass Sie unheilbar erkrankt sind. Schlimm, nicht wahr? Bei einem Tippfehler in der E-Mail-Adresse des Empfängers haben wir in der Regel dasselbe Problem, nur ist hier das Bewusstsein noch nicht so geschärft.

Sichere Übertragung – aber wie?

Beginnen wir zuerst bei der grundsätzlichen Verbindung zwischen Endgerät und Server. Durch die Nutzung von VPN- oder anderen verschlüsselten Verbindungen, sind die Daten bis zu meinem Zugangspunkt verschlüsselt. Verlasse ich nun aber diesen Kommunikationskanal wieder, z. B. zum Aufrufen einer Webseite oder zum Versenden von E-Mails, benötige ich zusätzliche Sicherungsmechanismen. Achten Sie bei der Nutzung von Webseiten also immer auf eine verschlüsselte Übertragung.

Bei der Weitergabe von E-Mails sieht das nochmal anders aus. Die Übertragung zwischen dem E-Mail-Server des Absenders und dem E-Mail-Server des Empfängers ist häufig verschlüsselt. Bei der Weitergabe an den jeweiligen E-Mail-Client ist die Übertragung jedoch meistens unverschlüsselt, so dass hier potentiell das Risiko besteht, dass Daten unbefugt eingesehen oder verändert werden können. Hiergegen hilft also nur die sogenannte Ende-zu-Ende Verschlüsselung oder eine zusätzliche Verschlüsselung des Inhalts der E-Mail.

Auch die physische Weitergabe, zum Beispiel der Transport von Datenträgern, birgt einige Risiken. Schnell ist ein USB-Stick oder eine DVD mit wichtigen Daten verloren. Bei fehlender Verschlüsselung erhält der Finder somit vollständigen Zugriff auf sämtliche Daten. Je nach Art der personenbezogenen Daten ist diese Situation nicht nur unangenehm, sondern hat auch eine Gefährdung von Personen zur Folge, was sich wiederum haftungsrechtlich auf Ihr Unternehmen auswirkt. Nutzen Sie also auch hier entweder verschlüsselte Archive, wie zum Beispiel ZIP-Dateien, oder sichere, abschließbare Behältnisse, um die Daten selbst bei Verlust vor unbefugter Einsichtnahme zu schützen.

Anonymisierung und Pseudonymisierung

In unserem Beitrag TOM erklärt – anonym oder pseudonym haben wir erklärt, was die Begriffe Anonymisierung und Pseudonymisierung bedeuten, und wie man diese umsetzt. Wenn sich für bestimmte Weitergaben keine geeigneten technischen und organisatorischen Maßnahmen wie z. B. die Verschlüsselung treffen lassen, hilft es, die Daten zu anonymisieren. Hierdurch ist es dann nicht möglich, trotz unbefugter Einsichtnahme, Rückschlüsse auf natürliche Personen vorzunehmen.

Bei pseudonymisierten Daten ist es wichtig, die Referenzdaten bzw. Übersetzungstabellen gesondert zu übertragen. Somit ist es ebenfalls nicht möglich, die Daten einer natürlichen Person zuzuordnen, solange ich nicht beide Bestandteile besitze.

Nachdem TOM sich nun mit der sicheren Weitergabe von personenbezogenen Daten und der Nutzung von verschiedenen Verschlüsselungsmethoden vertraut gemacht hat, widmet er sich beim nächsten Mal der Eingabekontrolle von personenbezogenen Daten bzw. dem Thema Protokollierung.

23.06.2020

zurück zu den News