Datenschutz und Datensicherheit
Wie gehe ich mit persönlichen Daten um und wie schütze ich sie?
Datenschutz, Datensicherheit, Datensicherung – diese Begriffe klingen alle sehr ähnlich und werden oft falsch verwendet. In diesem Kapitel helfen wir dir, die Begriffe richtig zu verstehen.
Beim Thema Datenschutz geht es darum, die Privatsphäre eines Menschen zu schützen.
Eng mit dem Datenschutz verknüpft ist der vom Bundesverfassungsgericht geprägte Begriff der „informationellen Selbstbestimmung“. Dieser Begriff beschreibt das Grundrecht, selbst zu entscheiden, welche Informationen man von sich an wen und in welchem Umfang weitergibt.
Demgegenüber steht die Tatsache, dass der Staat gesetzlichen Anspruch auf einige Daten der Bürger hat und dass man viele Leistungen von Unternehmen nur in Anspruch nehmen kann, wenn man Informationen über sich verrät. Wie mit diesen personenbezogenen Daten zu verfahren ist, die die Bürger dem Staat melden müssen oder die sie freiwillig an Dienstleister oder auch Verbände wie der Sucht-Selbsthilfe geben, regelt das Bundesdatenschutzgesetz (BDSG).
Was sind personenbezogene Daten?
Als personenbezogene Daten gelten sämtliche Informationen, die etwas über eine Person aussagen können. Neben Name, Anschrift und Geburtsdatum gehören dazu zum Beispiel auch Familienstand, Zahl der Kinder, Beruf, Telefonnummer, E-Mail-Adresse, Anschrift, Eigentums- oder Besitzverhältnisse, persönliche Interessen, Mitgliedschaft in Organisationen, Datum des Vereinsbeitritts, sportliche Leistungen, Platzierung bei einem Wettbewerb und dergleichen.
Diese Grundsätze des Datenschutzes sind zu beachten:
- Verbot mit Erlaubnisvorbehalt (§4 DSG)
Personenbezogene Daten dürfen nur gewonnen und verarbeitet werden, wenn die betroffene Person oder ein Gesetz dies erlauben. - Erforderlichkeitsprinzip
Erhoben, gespeichert, eingesehen und verarbeitet werden dürfen nur Daten, die unbedingt erforderlich sind, um die jeweilige Aufgabe erfüllen zu können. Jeder Einzelfall muss geprüft werden! - Zweckbindung
Daten dürfen nur für einen konkreten Zweck erhoben und verarbeitet werden. Ein neuer Zweck erfordert eine neue Erlaubnis der betroffenen Person. - Datenvermeidung
Es dürfen nicht wahllos Daten gesammelt werden, weil man sie vielleicht später mal brauchen könnte, sondern immer nur „im erforderlichen Umfang“. - Datensicherheit
Die datensammelnde Institution hat dafür zu sorgen, dass die Daten nur Befugten zugänglich sind und dafür geeignete präventive Maßnahmen zu treffen. Die Vertraulichkeit ist zu wahren. - Transparenz & Vertrauen
Zu welchem Zweck Daten erhoben werden, muss zu Beginn einer Erhebung deutlich gemacht werden, zum Beispiel in einer Datenschutzvereinbarung. Die betroffenen Bürger haben das Recht auf Auskunft. - Richtigkeit
Jeder hat das Recht, falsche Daten berichtigen zu lassen.
Aus dem Bundesdatenschutzgesetz folgt, dass mit den Daten anderer Personen sehr vorsichtig umgegangen werden muss. Denn jeder, der personenbezogene Daten erhebt, verarbeitet oder nutzt oder dies durch andere in ihrem Auftrag vornehmen lässt, ist verantwortlich im Sinne des § 3 Abs. 7 Bundesdatenschutzgesetz.
Für den Umgang mit Mitgliederdaten gilt, ...
- ... dass jeder Funktionsträger nur die für die Erfüllung seiner Aufgaben erforderlichen Mitgliederdaten kennen und nutzen darf. Wer ein Funktionsträger ist und welche Aufgaben er oder sie jeweils hat, legt die Satzung oder die Geschäftsordnung fest
- ... dass die Daten von Mitgliedern nicht ohne ihr Einverständnis veröffentlicht werden dürfen. Das heißt, man darf nicht einfach Mitgliederlisten für jedermann lesbar auf die Webseite stellen oder Fotos vom letzten Grillfest. Es dürfen auch keine persönlichen Angaben von Mitgliedern an die Presse gegeben werden, zum Beispiel in Pressemitteilungen oder bei Pressegesprächen. Die Personen müssen jeweils um Erlaubnis gefragt werden.
- ... dass keine Daten von Mitgliedern ohne deren Einverständnis an andere Mitglieder weitergegeben werden dürfen. Zum Beispiel, indem Mitgliederlisten in einem E-Mail-Verteiler herumgemailt oder die Personalien von Mitgliedern im Vereinsheim ausgehängt oder ins Intranet gestellt werden. Jedes einzelne Mitglied muss der Übermittlung von Daten an andere Mitglieder zustimmen.
Im Unterschied zum Datenschutz geht es bei der Datensicherheit um die Frage, wie Daten vor Manipulationen, Verlust oder unberechtigter Kenntnisnahme geschützt werden können. Das können digital vorhandene Daten im Computer sein oder analoge, also noch auf Papier gedruckte. Es geht hier auch nicht nur um personenbezogene Daten von Mitgliedern, sondern um alle Daten, die relevant für deinen Verein oder Verband seien können, wie Kalkulationen, Geschäftsberichte oder Protokolle.
„Gemäß § 9 Bundesdatenschutzgesetz (BDSG) sind alle Stellen, welche personenbezogene Daten verarbeiten, erheben oder nutzen verpflichtet, technische und/oder organisatorische Maßnahmen (kurz: TOM) zu treffen, um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen des BDSG erfüllt sind.“ (Datenschutz-Wiki)
Datensicherheit ist übrigens nicht gleich Datensicherung. Datensicherung ist eine technische Maßnahme für die Datensicherheit. Siehe die nachfolgenden Tipps.
Damit Daten auf deinem Computer auch wirklich sicher sind, beachte folgende Tipps:
Mach dir immer bewusst, wie sensibel Daten sind!
Für den Umgang mit vertraulichen Informationen solltest du keinen öffentlichen Computer verwenden, da du nicht wissen kannst, ob dieser ausreichend gegen Viren, Würmer, Trojaner und äußere Angriffe geschützt ist. Schütze deinen Computer vor den Blicken anderer. Achte darauf, wer auf deinen Bildschirm sehen kann, wenn du sensible Daten wie Benutzernamen und Kennwörter eingibst.
Halte dein System immer auf dem aktuellen Stand.
Software-Anbieter entwickeln ihre Produkte ständig weiter und schließen damit aufkommende Sicherheitslücken. Halte daher die Software und besonders das Virenschutz-Programm deines Computers auf dem aktuellsten Stand, um dich vor Angriffen zu schützen. Mache es dir zur Regel, Hinweise auf Updates zu beachten und nicht wegzuklicken!
Achte auf hohe Sicherheitseinstellungen.
Um deine Daten zu schützen, installiere ein Virenschutz-Programm und eine Anti Spy-Software. Wichtig ist auch, dass du auf deinem Computer eine Firewall einrichtest. Nutze auch die Anti-Viren-Software deines E-Mail-Anbieters, um einen möglichst hohen Sicherheitsstandard zu bekommen.
Sichere deinen Computermit einem Kennwort.
Damit du deinen Computer und damit deine Daten vor dem Zugriff Dritter schützt, solltest du ihn immer durch ein Passwort sperren. Achte darauf, ein sehr sicheres Passwort zu nehmen.
Denk dir sichere Passwörter aus.
Jeder denkt, dass es ihn schon nicht trifft. Was aber, wenn doch? Wenn auf einmal das Passwort für den großen Internethändler geknackt wurde, das zugleich der Schlüssel zu persönlichen Kontoverbindungen, Online-Shops, zum Facebook- und E-Mail-Account ist? Dann besteht die Gefahr, dass sich Dritte damit einloggen und unter deinem Namen im Internet einkaufen, Verträge abschließen, Nachrichten verschicken und im Extremfall deine Identität im Internet annehmen.
Deshalb muss ein gutes Passwort her!
Ein Passwort …
- … sollte mindestens aus acht unterschiedlichen Zeichen und Ziffern bestehen.
- … sollte Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (wie: § & ? * ! ?) enthalten.
- … sollte nicht Namen, Geburtsdatum, Telefonnummer oder Ähnliches enthalten.
- … sollte keine Zahlenfolge (12345 ...) oder alphabethische Buchstabenfolge (ABCDE ...) sein.
Je sensibler ein Zugang ist (wie zum Beispiel beim Online-Banking), umso mehr Sorgfalt sollte auf die Verschlüsselung gelegt werden.
Klebe Passwörter nicht an den PC
Passwörter sollten niemals unverschlüsselt auf dem Computer abgelegt werden oder auf dem berühmten Notizzettel am Bildschirm kleben. Wer sich Passwörter notieren will, sollte diese stattdessen auf Papier unter Verschluss halten oder auf dem Computer in einer verschlüsselten Datei ablegen.
Prüfe Downloads und E-Mail-Anhänge.
Viren werden gerne über Datei-Anhänge verbreitet. Öffne daher nur vertrauenswürdige Anhänge von Personen, die du tatsächlich kennst. Bei Software-Downloads verhält es sich ähnlich: Wenn dir der Anbieter oder die Seite nicht vertrauensvoll erscheinen, solltest du das Programm nicht herunterladen.
Schalte die Funkschnittstellen aus.
Um deinen Computer vor Angriffen von außen zu schützen, schalte alle nicht aktuell benötigten Funkschnittstellen ab. Wenn du aus dem Haus gehst, schließt du ja auch die Haustür ab. Also warum nicht den WLAN-Sender am Router ausschalten, wenn du nicht im Internet bist? Die meisten Modelle haben heute einen Knopf auf der Rückseite. Das Gleiche gilt für das Handy. Schalte Bluetooth aus, wenn du es nicht brauchst, um Unbefugten nicht den Zugang zu deinen persönlichen Daten zu ermöglichen.
Sichere regelmäßig deine Daten.
Von wichtigen Daten/Dokumenten solltest du regelmäßig eine Sicherheitskopie machen, zum Beispiel auf CD-ROM / DVD, einem USB-Stick oder einer externen Festplatte. Moderne Betriebssysteme erledigen das Kopieren nach
einmaliger Einrichtung selbstständig im Hintergrund.
Verschlüssele Daten auf externen Speichergeräten.
Externe Speichergeräte wie USB-Sticks und externe Festplatten sind sehr nützlich, um Daten außerhalb des Computers zu sichern. Doch die über den USB-Anschluss am Computer anzuschließenden Geräte bergen auch ein erhebliches Sicherheitsrisiko. Sie können Späh-Programme und Viren enthalten, auch neue Geräte. Eine gute Antiviren-Software hilft, diese Feinde zu erkennen. Um die Daten zu sichern, die du auf externen Speichermedien ablegst, solltest du die Daten verschlüsseln. Besonders bei den kleinen USB-Sticks ist das zu empfehlen, weil sie schnell verloren gehen können.
Vergiss die mobilen Geräte nicht zu sichern.
Mobile Geräte wie Smartphones und Tablets sind gegen die gleichen Gefahren zu schützen wie der Computer zuhause. Bei diesen Geräten kommt noch die Gefahr hinzu, dass sie gestohlen oder irgendwo vergessen werden können. Umso wichtiger ist es, die Daten darin vor unberechtigten Zugriffen zu schützen.
Speicher keine personenbezogenen Daten von Mitgliedern in der Cloud.
Das Speichern personenbezogener Daten in einer Cloud empfiehlt sich aus datenschutzrechtlicher Sicht nicht. Das Bundesdatenschutzgesetz behandelt das Unternehmen, das die Cloud anbietet, wie eine ausgelagerte Abteilung des Auftraggebers, der sich davon überzeugen muss, dass das Cloud-Unternehmen im Sinne des deutschen Datenschutzes alles richtig macht. Außereuropäische Unternehmen (wie zum Beispiel Dropbox) kommen deshalb sowieso nicht in Betracht, aber auch bei der Wahl eines deutschen Anbieters, der deutschem Recht unterliegt, bleibt die Verantwortung überwiegend beim Auftraggeber.
Für die gemeinschaftliche Selbsthilfe im Internet ergeben sich besonders hohe Anforderungen an die Wahrung der Privatsphäre. Die Beteiligten müssen sich darauf verlassen können, Internetauftritte der Selbsthilfe anonym besuchen zu können und auch in Selbsthilfeforen offen über ihre Situation zu berichten, ohne dass ihnen daraus Nachteile entstehen - weder aktuell, noch zukünftig.
Die NAKOS und die Selbsthilfe Kontakt- und Informationsstelle (SEKIS) Berlin haben deshalb einen Prozess für mehr Datenschutz und Datensparsamkeit bei internetbasierten Formen der Selbsthilfe angestoßen. In der „Berliner Erklärung“ sind verschiedene Leitprinzipien zum verantwortungsvollen Umgang mit personenbezogenen Daten von Nutzern benannt, auf die Anbieter von internetbasierten Selbsthilfeforen achten sollten.
Berliner Erklärung im Wortlaut findest du hier: NAKOS-Berliner-Erklaerung-Datenschutz
