Der Begriff Datensicherheit
Ganz allgemein gesagt, wird Datensicherheit in allen Belangen an Wichtigkeit und Beachtung gewinnen.1 Private Benutzer von PCs sehen sich in zunehmendem Masse von Angriffen bedroht, bei denen ihre Computer z.B. als Teil eines sog. Botnetzes missbraucht werden.2 Auf Ebene der Unternehmen spielt Datensicherheit bspw. bei der Verhinderung von wirtschaftlichem Nachrichtendienst oder bei der Sicherheit von Kundendaten eine Rolle.3 Auch auf nationaler Stufe hat sich Datensicherheit bemerkbar gemacht, als Estland beinahe vollständig durch DDoS-Attacken vom Internet getrennt wurde und international ist an den Stuxnet-Wurm zu denken.4
Datensicherheit ist keinesfalls einzig auf den Bereich der Informationstechnologien beschränkt. Sie spielt eine genauso wichtige Rolle in der sog. analogen Welt, man erinnere sich z.B. an die Krienser Krankenakten-Affäre der CSS.5 Es ergeben sich zudem Überschneidungen zwischen digitaler und analoger Datensicherheit: Was wäre ein bestens gegen Onlineattacken geschützter Computer mit Finanzdaten über Kunden wert, wenn er ungesichert und für jedermann physisch zugänglich im Foyer einer Bank als Help-Point-Computer steht?
Annäherung
Sicherheit als Grundbegriff
Das DSG selbst liefert keine Legaldefinition des Grundbegriffs Sicherheit, sondern setzt diesen voraus. Sicherheit stellt den Zustand dar, welcher herrscht, wenn sich eine Gefahr nicht verwirklichen kann.6 Anders formuliert ist Sicherheit jene Situation, die frei von Gefährdung ist. Mit dieser prinzipiellen und erschöpfenden Umschreibung von Sicherheit wird von vollkommener Unverletzbarkeit eines Gutes ausgegangen. Etwas, das sicher ist, kann nicht verletzt werden.
Die Zukunft und damit die möglichen Gefahren können nicht absolut gewiss sein. Deshalb kann im äussersten Fall „bloss“ ein Höchstmass, nicht aber vollkommene Sicherheit gefordert werden.7 Nach Kaufmann: Sich vor Gefahren schützen zu wollen – also das Streben nach Sicherheit – stellt den Versuch dar, die Zukunft zu stabilisieren.8
Diese Stabilität kann zu einem gewissen Grad durch Risikomanagement generiert werden.9 Sorgfältiges Risikomanagement heisst im Idealfall, dass nur noch die zulässigen Gefährdungen (Restrisiken) vorhanden sind.10 Sicherheit im Rechtssinne liegt vor, wenn das Risiko einer Verletzung klein ist und das Wissen darum, dass dieses Risiko klein ist, hinreichend gross und zuverlässig ist.11
Datensicherheit
Datensicherheit ist nun jene Sicherheit, die Daten als Schutzobjekt zum Gegenstand hat. Sie darf nicht als reines Hilfsmittel zur Verwirklichung des Datenschutzes gesehen werden. Datensicherheit für sich genommen kann auch ohne Datenschutz verwirklicht werden. Hingegen ist Datenschutz ohne Datensicherheit nicht möglich.12 Datensicherheit steht in direkter Wechselwirkung mit Datenschutz und stellt vielmehr einen elementaren Teil des Datenschutzes dar, denn blosses Mittel zum Zweck.13
Dass die Datensicherheit als blosses Hilfsmittel gesehen wird, ist aber ein Stück weit verständlich: Der Datenschutz dient unmittelbar dem Schutz der Persönlichkeit vor Verletzung, während sich die Datensicherheit mit dem Schutz der Daten an und für sich befasst und damit „nur“ mittelbar dem Persönlichkeitsschutz dient. Ausserdem erhält die Datensicherheit erst durch das Datenschutzgesetz umfassende Bedeutung, mit dem sie für jedes Bearbeiten von Daten mit Personenbezug vorgeschrieben wird (DSG 7 I und II).
Datensicherheit nach Datenschutzgesetz
Ausgehend vom Begriff Datenschutz kann Datenschutz im engeren Sinne (Schutz der Persönlichkeit) und Datenschutz im weiteren Sinne (Schutz der Persönlichkeit und Datensicherheit) unterscheiden werden.14 Unter Schutz der Persönlichkeit wird im Datenschutzrecht der Schutz der informationellen Selbstbestimmung verstanden.15
Die Hauptstossrichtung der Datensicherheit (als Teilbereich des Datenschutzes i.w.S) stellt die Gewährleistung von Sicherheit vor unbefugtem Bearbeiten dar.16 Diese Pflicht des Datenbearbeiters wird ausdrücklich in DSG 7 I genannt.17
Da vollkommene Sicherheit nicht garantiert werden kann (siehe Sicherheit als Grundbegriff), verzichtet das DSG auf konkrete Vorschriften und benutzt in DSG 7 I eine Ermessensregel und nennt die Mittel der technischen und organisatorischen Massnahmen. Das DSG trägt damit dem relativen Inhalt von Datensicherheit Rechnung, der sich je nach Risiko und Art der Daten unterschiedlich darstellt.18
Abbildung 1: Struktur des Begriffs Datenschutz
Zur Konkretisierung der technischen und organisatorischen Massnahmen liefert die zum DSG gehörige Verordnung diverse Elemente: Die Datensicherheit von Personendaten wird in VDSG 8 I durch die drei klassischen, stark von der Informatikwissenschaft geprägten Teilbereiche Vertraulichkeit, Verfügbarkeit und Integrität umschrieben.19 Sie werden hier Datensicherheit im weiteren Sinne genannt, wohingegen Datensicherheit im engeren Sinne sich einzig auf den Schutz der Vertraulichkeit bezieht.20 Die Vertraulichkeit wird bereits auf Gesetzesstufe durch das Gebot zur Vorkehrung von angemessenen Massnahmen gegen unbefugtes Bearbeiten geschützt (vgl. oben).
Um zusätzlichen Gesichtspunkten der Datensicherheit gerecht zu werden, steht seit einiger Zeit die Erweiterung insbesondere um die Schutzziele der Zurechenbarkeit und der Rechtsverbindlichkeit zur Diskussion.21 Da diese neuen Schutzziele das vorliegende Thema von Datensicherheit bei Whistleblowing nicht berühren, wird ihnen hier kein Platz eingeräumt.
Die Datensicherheit wird durch eine nicht abschliessende Aufzählung verschiedener Risiken (VDSG 8 I Satz 2) vor denen es zu schützen gilt, sowie Kriterien (VDSG 8 II) denen Rechnung getragen werden muss, genauer umschrieben. Die Datensicherheitsmassnahmen sind periodisch zu überprüfen (VDSG 8 III). In VDSG 9 I finden sich ausserdem acht einzuhaltende Sicherheitsmassnahmen.22
Durch die gesetzten, sehr umfassenden Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität verpflichten der Gesetzgeber und der BR den Bearbeiter von Personendaten zum Erlassen eines umfassenden und ganzheitlichen Datensicherheitskonzepts.23 Die Verpflichtung zur Datensicherheitsgewährleistung aus DSG 7 I umfasst nur die Sicherheitsaspekte von Daten. Der Meinung, Datensicherheit umfasse auch Verpflichtungen zur Verhinderung von unverhältnismässigem oder zweckwidrigem Bearbeiten, kann nicht gefolgt werden. Diesem Zweck dienen bereits die aufgestellten Grundsätze in DSG 4 II und III.24
1 Die Datensicherheit wurde bspw. auf Radio DRS 1 einer breiteren Öffentlichkeit bewusst gemacht: Gefahren aus dem Cyberspace, in: Treffpunkt, 25.11.2010 09:05–11:00 Uhr, Podcast unter: http://pod.drs.ch/mp3/treffpunkt/treffpunkt_201011251155_10158943.mp3, Stand: 17.08.2011. Unter den Gesprächsteilnehmern findet sich u.a. Pascal Lamia, Leiter der Meldestelle MELANI des Bundes.
2 Ein Bot (einzelner fremdbeherrschter PC) wird vom sog. Botmaster zu einem Botnetz zusammengeschlossen, um dann mit Hilfe dieses Netzes bspw. eine DDoS-Attacke gegen ein Ziel zu starten. Nähere Informationen zu DDoS-Angriffen finden sich bei Stallings, S. 259 ff. und bezüglich Botnetzen Ders., S. 240 ff.
3 So ist die Datensicherheit definitiv ins Problembewusstsein der Unternehmen gedrungen, siehe hierzu folgende KPMG-Studie: e‑Crime-Studie 2010 – Computerkriminalität in der deutschen Wirtschaft, abrufbar im Internet unter: http://www.kpmg.de/docs/20100810_kpmg_e-crime.pdf, Stand: 17.08.2011.
4 Settele Claude, Das Internet als Kampfzone, in: NZZ, 15.08.2008, S. 5; Ammann Beat, Das Stuxnet-Virus soll Amerikas und Israels Werk sein, in: NZZ, 18.01.2011, S. 7.
5 Lehmann Fritz, Patientendaten im Abfallsack, in: NLZ, 17.11.2007, S. 29.
6 Vgl. Grimm Jacob/Grimm Wilhelm, Deutsches Wörterbuch, Nachdruck der Erstausgabe, 1999 München, Sp. 725.
7 Lehmann/Schlegel, S. 79; Seiler, Recht, S. 50 f.; ISO Guide 51, Ziff. 5.1; vgl. Kaufmann, S. 72. Nach Seiler (Sicherheit, S. 141) führt absolute Sicherheit gar zum Verlust sämtlicher individueller Freiheiten.
8 Siehe Kaufmann, S. 11.
9 Je grösser der Unklarheitsfaktor der Gefahr ist, desto ungenauer wird die Risikobeurteilung. Schlimmstenfalls hat sie deshalb gar keine Aussagekraft mehr. Vgl. die kritischen Anmerkungen bei Trenta, S. 97, sowie Gleissner, S. 137.
10 Seiler, Recht, S. 46 und m.w.H. Ders., Recht. S. 155. Gem. ISO Guide 51, Ziff. 3.9 „residual risk“ genannt.
11 Angelehnt an die Formulierung von Seiler, Recht, S. 247. Der Frage nach genügender (d.h. angemessener) Sicherheit wird im Kapitel Datensicherheitspflichten bei Whistleblowing. Angemessenheit nachgegangen.
12 Wildhaber, Informationssicherheit, S. 28; BSK-Maurer-Lambrou, Vorbemerkungen zum 2. Abschnitt Rz 2; BSK-Pauli, Art. 7 Rz 1; EDÖB, Leitfaden, S. 4.
13 Wildhaber, Informationssicherheit, a.a.O. und EDÖB, Leitfaden, S. 4; vgl. VDSG‑K, Kap. 6.1.1; siehe Weber/Willi, S. 54; a.M. Meier, Rz 785: „Il s’agit d’un moyen qui est au service d’un but plus général“; ebenfalls a.M. Peter, S. 151: „auxiliare Funktion“.
14 Siehe Wildhaber, Informationssicherheit, a.a.O.; Meier, Rz 780.
15 Aebi-Müller, Rz 591 ff.; BSK-Maurer-Lambrou/Kunz, Art. 1 Rz 18; Meier, Rz 336 f.; HK, Art. 1 Rz 4; Peter, S. 56; BGE 129 I 232 ff. (245), E. 4.3.1; BGE 128 II 259 ff. (268), E. 3.2; grundlegend: BGE 113 Ia 1 ff. (5), E. 4.b.bb und BGE 113 Ia 257 ff. (262), E. 4.b–4.d.
16 Nebst der Sicherheit vor unbefugtem Bearbeiten (Vertraulichkeit, DSG 7 I) wird der Schutz von Verfügbarkeit und Integrität vorgeschrieben (DSG 7 II i.V.m. VDSG 8 I).
17 Der Begriff Informationssicherheit steht synonym zu Datensicherheit, siehe BSK-Pauli, Art. 7 Rz 2. Da DSG und VDSG einzig von Datensicherheit sprechen, wird auch hier ausschliesslich dieser Begriff benutzt.
18 Vgl. BSK-Pauli, Art. 7 Rz 5; vgl. Meier, Rz 790.
19 Vgl. BSK-Pauli, Art. 7 Rz 2; Kersten, S. 50 f.; Tanenbaum, Systeme, S. 712; siehe Schäfer, S. 8.
20 In ähnlicher Weise bei Lehmann/Sauter (S. 142) und Peter (S. 150 f.), welche bei Datensicherheit i.w.S. von der betrieblichen Informationssicherheit ausgehen, die über den Zweck des DSG hinausgeht. Mit Datensicherheit i.e.S. umschreiben sie nur noch jene Datensicherheit, die dem DSG-Zweck folgt.
21 Dierstein, S. 343 ff.; Kersten, S. 50 ff.; Meier, Rz 787; siehe Schäfer, S. 8 und Tanenbaum, Networks, S. 722.
22 Auch diese vorgegebenen Datensicherheitsmassnahmen sind nicht abschliessend („namentlich“) und beziehen sich nicht nur (obschon leicht misszuverstehen) auf EDV-gestützte Bearbeitung einer Datensammlung („insbesondere“). BSK-Pauli, Art. 7 Rz 13; Meier, Rz 807.
23 BSK-Pauli, Art. 7 Rz 6; Weber, Herausforderungen, S. 107. Anderer Meinung: HK, Art. 7 Rz 4 und Meier, Rz 800, bei welchen die Pflicht zur Schaffung eines solchen Sicherheitskonzepts abgelehnt wird.
24 A.M. HK, Art. 7 Rz 7.