Kontrolle und revisionssichere Protokollierung des Zugriffs auf personenbezogene Daten

Datenschutz in öffentlichen Einrichtungen durchsetzen

Unter Systemadministratoren erfreut sich schon seit langem ein bestimmtes T-Shirt großer Beliebtheit. Darauf ist kurz und knapp zu lesen: „I read your eMail “. So lustig – oder gruselig – es auf den ersten Blick klingt, so treffend bringt es der Satz auf den Punkt. Systemadministratoren verfügen schon allein aufgrund ihrer Tätigkeit über sogenannte Superuser-Rechte, die ihnen den Zugriff auf die Daten jedes IT-Systems ihrer Organisation gestatten. Theoretisch ist es ihnen somit also möglich, auch auf eMails oder beliebige andere personenbezogene oder vertrauliche Daten zuzugreifen – ohne dass sie dazu große Anstrengungen unternehmen müssten.

Eine Sicherheitsmaßnahme vieler Anwendungen ist es zwar, Zugriffe auf ihre Daten in einer Log-Datei zu protokollieren. Doch mit etwas krimineller Energie und natürlich den Superuser-Rechten ist es auch hier kein Problem, entsprechende Einträge aus einer Log-Datei wieder verschwinden zu lassen. Alternativ gibt es zudem die Möglichkeit, an einer Anwendung vorbei direkt auf die dazugehörige Datenbank zuzugreifen und so an die gewünschten Daten zu gelangen.

Zwischen Realität und BDSG

Natürlich ist es trotz dieses Umstands weder zielführend noch angemessen, Systemadministratoren automatisch unter Generalverdacht zu stellen. Denn ohne die weitreichenden Administrationsrechte könnten sie ihre Arbeit überhaupt nicht erledigen. Doch führt allein das Vorhandensein der theoretischen Möglichkeit eines solchen Missbrauchs die Datenschutzverantwortlichen in Behörden und Organisationen in ein Dilemma. Denn die Anlage zu § 9 des Bundesdatenschutzgesetzes (BDSG) – auch die acht Gebote des Datenschutzes genannt – macht Vorgaben, die im Grundsatz administrativer Allmacht widersprechen.

So verlangt beispielsweise Punkt 3 bei der Erhebung und Nutzung personenbezogener Daten, dass innerbehördliche Maßnahmen zu treffen sind, um „zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle)“.

Punkt 5 hingegen fordert sicherzustellen, dass „nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle)“.

Doch wie soll eine Behörde in der Praxis den Spagat zwischen notwendigen Administrationsrechten und Kontrolle von Zugriff und Eingabe sicherstellen? Die Lösung liegt in den Protokollen, die von Administratoren für den Zugriff auf ihre Systeme genutzt werden.

Nächste Seite: Die Administration sensibler Daten