Der Begriff Daten­si­cher­heit

Ganz all­ge­mein gesagt, wird Daten­si­cher­heit in allen Belan­gen an Wich­tig­keit und Beach­tung gewin­nen.1 Pri­vate Benut­zer von PCs sehen sich in zuneh­men­dem Masse von Angrif­fen bedroht, bei denen ihre Com­pu­ter z.B. als Teil eines sog. Bot­net­zes miss­braucht wer­den.2 Auf Ebene der Unter­neh­men spielt Daten­si­cher­heit bspw. bei der Ver­hin­de­rung von wirt­schaft­li­chem Nach­rich­ten­dienst oder bei der Sicher­heit von Kun­den­da­ten eine Rolle.3 Auch auf natio­na­ler Stufe hat sich Daten­si­cher­heit bemerk­bar gemacht, als Est­land bei­nahe voll­stän­dig durch DDoS-Atta­cken vom Inter­net getrennt wurde und inter­na­tio­nal ist an den Stux­net-Wurm zu den­ken.4

Daten­si­cher­heit ist kei­nes­falls ein­zig auf den Bereich der Infor­ma­ti­ons­tech­no­lo­gien beschränkt. Sie spielt eine genauso wich­tige Rolle in der sog. ana­lo­gen Welt, man erin­nere sich z.B. an die Kri­en­ser Kran­ken­ak­ten-Affäre der CSS.5 Es erge­ben sich zudem Über­schnei­dun­gen zwi­schen digi­ta­ler und ana­lo­ger Daten­si­cher­heit: Was wäre ein bes­tens gegen Online­at­ta­cken geschütz­ter Com­pu­ter mit Finanz­da­ten über Kun­den wert, wenn er unge­si­chert und für jeder­mann phy­sisch zugäng­lich im Foyer einer Bank als Help-Point-Com­pu­ter steht?

Annä­he­rung

Sicher­heit als Grund­be­griff

Das DSG selbst lie­fert keine Legal­de­fi­ni­tion des Grund­be­griffs Sicher­heit, son­dern setzt die­sen vor­aus. Sicher­heit stellt den Zustand dar, wel­cher herrscht, wenn sich eine Gefahr nicht ver­wirk­li­chen kann.6 Anders for­mu­liert ist Sicher­heit jene Situa­tion, die frei von Gefähr­dung ist. Mit die­ser prin­zi­pi­el­len und erschöp­fen­den Umschrei­bung von Sicher­heit wird von voll­kom­me­ner Unver­letz­bar­keit eines Gutes aus­ge­gan­gen. Etwas, das sicher ist, kann nicht ver­letzt wer­den.

Die Zukunft und damit die mög­li­chen Gefah­ren kön­nen nicht abso­lut gewiss sein. Des­halb kann im äus­sers­ten Fall „bloss“ ein Höchst­mass, nicht aber voll­kom­mene Sicher­heit gefor­dert wer­den.7 Nach Kauf­mann: Sich vor Gefah­ren schüt­zen zu wol­len – also das Stre­ben nach Sicher­heit – stellt den Ver­such dar, die Zukunft zu sta­bi­li­sie­ren.8

Diese Sta­bi­li­tät kann zu einem gewis­sen Grad durch Risi­ko­ma­nage­ment gene­riert wer­den.9 Sorg­fäl­ti­ges Risi­ko­ma­nage­ment heisst im Ide­al­fall, dass nur noch die zuläs­si­gen Gefähr­dun­gen (Rest­ri­si­ken) vor­han­den sind.10 Sicher­heit im Rechts­sinne liegt vor, wenn das Risiko einer Ver­let­zung klein ist und das Wis­sen darum, dass die­ses Risiko klein ist, hin­rei­chend gross und zuver­läs­sig ist.11

Daten­si­cher­heit

Datensicher­heit ist nun jene Sicher­heit, die Daten als Schutz­ob­jekt zum Gegen­stand hat. Sie darf nicht als rei­nes Hilfs­mit­tel zur Ver­wirk­li­chung des Daten­schut­zes gese­hen wer­den. Daten­si­cher­heit für sich genom­men kann auch ohne Daten­schutz ver­wirk­licht wer­den. Hin­ge­gen ist Daten­schutz ohne Daten­si­cher­heit nicht mög­lich.12 Daten­si­cher­heit steht in direk­ter Wech­sel­wir­kung mit Daten­schutz und stellt viel­mehr einen ele­men­ta­ren Teil des Daten­schut­zes dar, denn blos­ses Mit­tel zum Zweck.13

Dass die Daten­si­cher­heit als blos­ses Hilfs­mit­tel gese­hen wird, ist aber ein Stück weit ver­ständ­lich: Der Daten­schutz dient unmit­tel­bar dem Schutz der Per­sön­lich­keit vor Ver­let­zung, wäh­rend sich die Daten­si­cher­heit mit dem Schutz der Daten an und für sich befasst und damit „nur“ mit­tel­bar dem Per­sön­lich­keits­schutz dient. Aus­ser­dem erhält die Daten­si­cher­heit erst durch das Daten­schutz­ge­setz umfas­sende Bedeu­tung, mit dem sie für jedes Bear­bei­ten von Daten mit Per­so­nen­be­zug vor­ge­schrie­ben wird (DSG 7 I und II).

Daten­si­cher­heit nach Daten­schutz­ge­setz

Aus­ge­hend vom Begriff Daten­schutz kann Daten­schutz im enge­ren Sinne (Schutz der Per­sön­lich­keit) und Daten­schutz im wei­te­ren Sinne (Schutz der Per­sön­lich­keit und Daten­si­cher­heit) unter­schei­den wer­den.14 Unter Schutz der Per­sön­lich­keit wird im Daten­schutz­recht der Schutz der infor­ma­tio­nel­len Selbst­be­stim­mung ver­stan­den.15

Die Haupt­stoss­rich­tung der Daten­si­cher­heit (als Teil­be­reich des Daten­schut­zes i.w.S) stellt die Gewähr­leis­tung von Sicher­heit vor unbe­fug­tem Bear­bei­ten dar.16 Diese Pflicht des Daten­be­ar­bei­ters wird aus­drück­lich in DSG 7 I genannt.17

Da voll­kom­mene Sicher­heit nicht garan­tiert wer­den kann (siehe Sicher­heit als Grund­be­griff), ver­zich­tet das DSG auf kon­krete Vor­schrif­ten und benutzt in DSG 7 I eine Ermes­sens­re­gel und nennt die Mit­tel der tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men. Das DSG trägt damit dem rela­ti­ven Inhalt von Daten­si­cher­heit Rech­nung, der sich je nach Risiko und Art der Daten unter­schied­lich dar­stellt.18

Abbil­dung 1: Struk­tur des Begriffs Daten­schutz
Zur Kon­kre­ti­sie­rung der tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men lie­fert die zum DSG gehö­rige Ver­ord­nung diverse Ele­mente: Die Daten­si­cher­heit von Per­so­nen­da­ten wird in VDSG 8 I durch die drei klas­si­schen, stark von der Infor­ma­tik­wis­sen­schaft gepräg­ten Teil­be­rei­che Ver­trau­lich­keit, Ver­füg­bar­keit und Inte­gri­tät umschrie­ben.19 Sie wer­den hier Daten­si­cher­heit im wei­te­ren Sinne genannt, wohin­ge­gen Daten­si­cher­heit im enge­ren Sinne sich ein­zig auf den Schutz der Ver­trau­lich­keit bezieht.20 Die Ver­trau­lich­keit wird bereits auf Geset­zes­stufe durch das Gebot zur Vor­keh­rung von ange­mes­se­nen Mass­nah­men gegen unbe­fug­tes Bear­bei­ten geschützt (vgl. oben).

Um zusätz­li­chen Gesichts­punk­ten der Daten­si­cher­heit gerecht zu wer­den, steht seit eini­ger Zeit die Erwei­te­rung ins­be­son­dere um die Schutz­ziele der Zure­chen­bar­keit und der Rechts­ver­bind­lich­keit zur Dis­kus­sion.21 Da diese neuen Schutz­ziele das vor­lie­gende Thema von Daten­si­cher­heit bei Whist­leb­lo­wing nicht berüh­ren, wird ihnen hier kein Platz ein­ge­räumt.

Die Daten­si­cher­heit wird durch eine nicht abschlies­sende Auf­zäh­lung ver­schie­de­ner Risi­ken (VDSG 8 I Satz 2) vor denen es zu schüt­zen gilt, sowie Kri­te­rien (VDSG 8 II) denen Rech­nung getra­gen wer­den muss, genauer umschrie­ben. Die Daten­si­cher­heits­mass­nah­men sind peri­odisch zu über­prü­fen (VDSG 8 III). In VDSG 9 I fin­den sich aus­ser­dem acht ein­zu­hal­tende Sicher­heits­mass­nah­men.22

Durch die gesetz­ten, sehr umfas­sen­den Schutz­ziele Ver­trau­lich­keit, Ver­füg­bar­keit und Inte­gri­tät ver­pflich­ten der Gesetz­ge­ber und der BR den Bear­bei­ter von Per­so­nen­da­ten zum Erlas­sen eines umfas­sen­den und ganz­heit­li­chen Daten­si­cher­heits­kon­zepts.23 Die Ver­pflich­tung zur Daten­si­cher­heits­ge­währ­leis­tung aus DSG 7 I umfasst nur die Sicher­heits­as­pekte von Daten. Der Mei­nung, Daten­si­cher­heit umfasse auch Ver­pflich­tun­gen zur Ver­hin­de­rung von unver­hält­nis­mäs­si­gem oder zweck­wid­ri­gem Bear­bei­ten, kann nicht gefolgt wer­den. Die­sem Zweck die­nen bereits die auf­ge­stell­ten Grund­sätze in DSG 4 II und III.24


1 Die Daten­si­cher­heit wurde bspw. auf Radio DRS 1 einer brei­te­ren Öffent­lich­keit bewusst gemacht: Gefah­ren aus dem Cyber­space, in: Treff­punkt, 25.11.2010 09:05–11:00 Uhr, Pod­cast unter: http://pod.drs.ch/mp3/treffpunkt/treffpunkt_201011251155_10158943.mp3, Stand: 17.08.2011. Unter den Gesprächs­teil­neh­mern fin­det sich u.a. Pas­cal Lamia, Lei­ter der Mel­de­stelle MELANI des Bun­des.

2 Ein Bot (ein­zel­ner fremd­be­herrsch­ter PC) wird vom sog. Bot­mas­ter zu einem Bot­netz zusam­men­ge­schlos­sen, um dann mit Hilfe die­ses Net­zes bspw. eine DDoS-Atta­cke gegen ein Ziel zu star­ten. Nähere Infor­ma­tio­nen zu DDoS-Angrif­fen fin­den sich bei Stal­lings, S. 259 ff. und bezüg­lich Bot­net­zen Ders., S. 240 ff.

3 So ist die Daten­si­cher­heit defi­ni­tiv ins Pro­blem­be­wusst­sein der Unter­neh­men gedrun­gen, siehe hierzu fol­gende KPMG-Stu­die: e‑Crime-Stu­die 2010 – Com­pu­ter­kri­mi­na­li­tät in der deut­schen Wirt­schaft, abruf­bar im Inter­net unter: http://www.kpmg.de/docs/20100810_kpmg_e-crime.pdf, Stand: 17.08.2011.

4 Set­tele Claude, Das Inter­net als Kampf­zone, in: NZZ, 15.08.2008, S. 5; Ammann Beat, Das Stux­net-Virus soll Ame­ri­kas und Isra­els Werk sein, in: NZZ, 18.01.2011, S. 7.

5 Leh­mann Fritz, Pati­en­ten­da­ten im Abfall­sack, in: NLZ, 17.11.2007, S. 29.

6 Vgl. Grimm Jacob/Grimm Wil­helm, Deut­sches Wör­ter­buch, Nach­druck der Erst­aus­gabe, 1999 Mün­chen, Sp. 725.

7 Lehmann/Schlegel, S. 79; Sei­ler, Recht, S. 50 f.; ISO Guide 51, Ziff. 5.1; vgl. Kauf­mann, S. 72. Nach Sei­ler (Sicher­heit, S. 141) führt abso­lute Sicher­heit gar zum Ver­lust sämt­li­cher indi­vi­du­el­ler Frei­hei­ten.

8 Siehe Kauf­mann, S. 11.

9 Je grös­ser der Unklar­heits­fak­tor der Gefahr ist, desto unge­nauer wird die Risi­ko­be­ur­tei­lung. Schlimms­ten­falls hat sie des­halb gar keine Aus­sa­ge­kraft mehr. Vgl. die kri­ti­schen Anmer­kun­gen bei Trenta, S. 97, sowie Gleiss­ner, S. 137.

10 Sei­ler, Recht, S. 46 und m.w.H. Ders., Recht. S. 155. Gem. ISO Guide 51, Ziff. 3.9 „resi­dual risk“ genannt.

11 Ange­lehnt an die For­mu­lie­rung von Sei­ler, Recht, S. 247. Der Frage nach genü­gen­der (d.h. ange­mes­se­ner) Sicher­heit wird im Kapi­tel Daten­si­cher­heits­pflich­ten bei Whist­leb­lo­wing. Ange­mes­sen­heit nach­ge­gan­gen.

12 Wild­ha­ber, Infor­ma­ti­ons­si­cher­heit, S. 28; BSK-Mau­rer-Lambrou, Vor­be­mer­kun­gen zum 2. Abschnitt Rz 2; BSK-Pauli, Art. 7 Rz 1; EDÖB, Leit­fa­den, S. 4.

13 Wild­ha­ber, Infor­ma­ti­ons­si­cher­heit, a.a.O. und EDÖB, Leit­fa­den, S. 4; vgl. VDSG‑K, Kap. 6.1.1; siehe Weber/Willi, S. 54; a.M. Meier, Rz 785: „Il s’agit d’un moyen qui est au ser­vice d’un but plus géné­ral“; eben­falls a.M. Peter, S. 151: „auxi­li­are Funk­tion“.

14 Siehe Wild­ha­ber, Infor­ma­ti­ons­si­cher­heit, a.a.O.; Meier, Rz 780.

15 Aebi-Mül­ler, Rz 591 ff.; BSK-Mau­rer-Lambrou/Kunz, Art. 1 Rz 18; Meier, Rz 336 f.; HK, Art. 1 Rz 4; Peter, S. 56; BGE 129 I 232 ff. (245), E. 4.3.1; BGE 128 II 259 ff. (268), E. 3.2; grund­le­gend: BGE 113 Ia 1 ff. (5), E. 4.b.bb und BGE 113 Ia 257 ff. (262), E. 4.b–4.d.

16 Nebst der Sicher­heit vor unbe­fug­tem Bear­bei­ten (Ver­trau­lich­keit, DSG 7 I) wird der Schutz von Ver­füg­bar­keit und Inte­gri­tät vor­ge­schrie­ben (DSG 7 II i.V.m. VDSG 8 I).

17 Der Begriff Infor­ma­ti­ons­si­cher­heit steht syn­onym zu Daten­si­cher­heit, siehe BSK-Pauli, Art. 7 Rz 2. Da DSG und VDSG ein­zig von Daten­si­cher­heit spre­chen, wird auch hier aus­schliess­lich die­ser Begriff benutzt.

18 Vgl. BSK-Pauli, Art. 7 Rz 5; vgl. Meier, Rz 790.

19 Vgl. BSK-Pauli, Art. 7 Rz 2; Kers­ten, S. 50 f.; Tanen­baum, Sys­teme, S. 712; siehe Schä­fer, S. 8.

20 In ähn­li­cher Weise bei Lehmann/Sauter (S. 142) und Peter (S. 150 f.), wel­che bei Daten­si­cher­heit i.w.S. von der betrieb­li­chen Infor­ma­ti­ons­si­cher­heit aus­ge­hen, die über den Zweck des DSG hin­aus­geht. Mit Daten­si­cher­heit i.e.S. umschrei­ben sie nur noch jene Daten­si­cher­heit, die dem DSG-Zweck folgt.

21 Dier­stein, S. 343 ff.; Kers­ten, S. 50 ff.; Meier, Rz 787; siehe Schä­fer, S. 8 und Tanen­baum, Net­works, S. 722.

22 Auch diese vor­ge­ge­be­nen Daten­si­cher­heits­mass­nah­men sind nicht abschlies­send („nament­lich“) und bezie­hen sich nicht nur (obschon leicht miss­zu­ver­ste­hen) auf EDV-gestützte Bear­bei­tung einer Daten­samm­lung („ins­be­son­dere“). BSK-Pauli, Art. 7 Rz 13; Meier, Rz 807.

23 BSK-Pauli, Art. 7 Rz 6; Weber, Her­aus­for­de­run­gen, S. 107. Ande­rer Mei­nung: HK, Art. 7 Rz 4 und Meier, Rz 800, bei wel­chen die Pflicht zur Schaf­fung eines sol­chen Sicher­heits­kon­zepts abge­lehnt wird.

24 A.M. HK, Art. 7 Rz 7.