Ein­gren­zung auf die Ver­trau­lich­keit¹

Whist­leb­lowing stellt eine Bedro­hung für die Daten­si­cher­heit i.e.S., nament­lich die Ver­trau­lich­keit, dar. Die übri­gen Schutz­ziele der Daten­si­cher­heit i.w.S. sind nicht betrof­fen: Die Ver­füg­bar­keit soll gewähr­leis­ten, dass „Daten […] zum gewünsch­ten Zeit­punkt am gewünsch­ten Ort in der gewünsch­ten Form zur Ver­fü­gung ste­hen“.² Die Inte­gri­tät hat den Schutz von Daten vor unzu­läs­si­ger Modi­fi­ka­tion zum Ziel.³ Der Whist­leb­lower han­delt nicht, indem er auf ein Sys­tem ein­wirkt, damit der Zugriff auf Daten ver­lang­samt oder gar ver­un­mög­licht wird (Bedro­hung der Ver­füg­bar­keit). Er mani­pu­liert auch keine Daten (Bedro­hung der Integrität).

Der Whist­leb­lower nimmt Kennt­nis von Daten, gelangt in Besitz sol­cher oder gibt sie Drit­ten bekannt. Sind diese Per­so­nen bzw. er selbst nicht zur Kennt­nis­nahme befugt (wie bei exter­nem Whist­leb­lowing regel­mäs­sig der Fall), ver­stösst er gegen den Kern der Ver­trau­lich­keit, wel­cher wie folgt umschrie­ben wer­den kann: “data is not made avail­able or dis­c­lo­sed to unaut­ho­ri­zed indi­vi­du­als” (con­fi­den­tia­lity) und “indi­vi­du­als con­trol or influ­ence that infor­ma­tion rela­ted to them may be collec­ted and stored and by whom and to whom that infor­ma­tion may be dis­c­lo­sed” (pri­vacy).⁴ Auf den Punkt gebracht: “Kee­ping infor­ma­tion out of the hands of unaut­ho­ri­zed users”.⁵

Ganz grund­sätz­lich sieht Druey in der Ver­trau­lich­keit die „auf Treu und Glau­ben gegrün­dete […] Erwar­tung, dass Infor­ma­tion zurück­ge­hal­ten wird“.⁶ Sta­e­ger sieht diese Ver­trau­lich­keit durch ein „ris­que de type «opé­ra­ti­on­nel»“ bedroht, also einer stän­di­gen, jeder Daten­be­ar­bei­tung imma­nen­ten Gefahr der unbe­fug­ten Bear­bei­tung.⁷

Typi­sche Bear­bei­tungs­vor­gänge des Whistleblowers

1. Die Kennt­nis­nahme von Daten durch den Whist­leb­lower stellt nur dann eine Ver­trau­lich­keits­ver­let­zung dar, wenn diese unbe­fugt erfolgt. Im Rah­men sei­ner übli­chen Tätig­keit kann ein Whist­leb­lower ohne wei­te­res befugt in Kennt­nis von Daten gelangen.
2. Der Whist­leb­lower ver­letzt die Ver­trau­lich­keit, wenn er Daten der betrof­fe­nen Per­son unbe­fugt bear­bei­tet, indem er sie zur Ent­hül­lung von Miss­stän­den benutzt. Sofern der Whist­leb­lower befug­ter­weise in Kennt­nis der Daten gelangt ist (bspw. als Bear­bei­ter in einer Finanz­ab­tei­lung), ergibt sich das unbe­fugte Bear­bei­ten im Bekannt­ge­ben der Daten. Sofern der Whist­leb­lower selbst gar nicht zur Kennt­nis­nahme befugt war, liegt das unbe­fugte Bear­bei­ten zum einen direkt in der Kennt­nis­nahme durch den Whist­leb­lower, zum ande­ren in der dar­auf fol­gen­den Bekannt­gabe der Daten.
3. Ein Pro­blem, das zeit­lich nach der Kennt­nis­nahme aber vor dem Bekannt­ge­ben steht, ist das Erhal­ten. Indem der Whist­leb­lower Daten erhält, führt er sie gewis­ser­mas­sen aus dem Herr­schafts­be­reich der Orga­ni­sa­tion in sei­nen eige­nen über.⁸ Das Erhal­ten stellt eine con­di­tio sine qua non für die Bekannt­gabe dar. Ohne in den Besitz der Daten gekom­men zu sein, kann der Whist­leb­lower nicht Ein­sicht gewäh­ren, diese wei­ter­ge­ben oder ver­öf­fent­li­chen (DSG 3 lit. f).⁹ Für einen Über­blick vgl. (Abbil­dung 2).

Im Fol­gen­den wird die Bedro­hung der Daten­si­cher­heit durch den Whist­leb­lower mit den Vor­ga­ben aus DSG und VDSG verglichen.

Die Berech­ti­gung, von Daten Kennt­nis neh­men zu dür­fen, geht nicht auto­ma­tisch mit der Befug­nis ein­her, diese auch zu erhal­ten. Ein Sach­be­ar­bei­ter einer Bank braucht die Trans­ak­tio­nen des von ihm betreu­ten Kon­tos nicht not­wen­di­ger­weise auch auf einen USB-Daten­spei­cher abspei­chern zu kön­nen. Selbst das Foto­gra­fie­ren eines Bild­schirms (oder auch das Spei­chern eines sog. Screen­shots) stellt in die­sem Sinne das Erhal­ten von Daten dar.

Hier steht ein Daten­si­cher­heits­ver­ant­wort­li­cher vor gros­sen Pro­ble­men. Sofern ein Bear­bei­ter die Daten befug­ter­weise erhält, muss sicher­ge­stellt wer­den, dass diese auch im befug­ten Rah­men ver­blei­ben und nicht bekannt­ge­ge­ben wer­den. Andern­falls ist die Ver­trau­lich­keit nicht gewahrt.¹⁰

Im Fol­gen­den wird die Bedro­hung der Daten­si­cher­heit durch den Whist­leb­lower mit den Vor­ga­ben aus DSG und VDSG verglichen.

Metho­di­sches Vorgehen:

1. Die typi­schen Bear­bei­tungs­vor­gänge eines Whist­leb­lo­wers (das Kennt­nis­neh­men, Erhal­ten und Bekannt­ge­ben) wur­den den Schutz­zie­len nach DSG 7 I und II i.V.m. VDSG 8 I (Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit) gegen­über­ge­stellt. Der Voll­stän­dig­keit hal­ber wur­den alle Daten­be­ar­bei­tungs­vor­gänge über die Tätig­keit eines Whist­leb­lo­wers hin­aus mit­ein­be­zo­gen (hell­grau unterlegt).
2. Die Schutz­ziele wur­den sodann mit den Risi­ken aus VDSG 8 I lit. a–e ver­gli­chen, wel­chen der Daten­si­cher­heits­pflich­tige Rech­nung zu tra­gen hat.
3. Im Anschluss fin­den sich die zu beach­ten­den Risi­ko­fak­to­ren aus VDSG 8 II lit. a–d bezo­gen auf die durch Whist­leb­lo­wer­ak­ti­vi­tät bedroh­ten Schutzziele.
4. Des Wei­te­ren wur­den die bun­des­rät­li­chen Min­dest­vor­ga­ben für Daten­si­cher­heits­mass­na­hen aus VDSG 9 I lit. a–h im Hin­blick auf den Bear­bei­tungs­vor­gang den betrof­fe­nen Schutz­zie­len zuge­ord­net. Eben­falls wurde die Pflicht zur peri­odi­schen Über­prü­fung (VDSG 8 III) kennt­lich gemacht.
5. Bereits an die­ser Stelle wer­den mit geschweif­ten Klam­mern jene Abschnitte gekenn­zeich­net, die in beson­de­rer Weise der anschlies­sen­den Prü­fung der ange­mes­se­nen Daten­si­cher­heits­mass­nah­men behilf­lich sind.

Die Prü­fung des Pro­blem­fel­des Whist­leb­lowing im Hin­blick auf die Daten­si­cher­heit nach DSG und VDSG ergibt fol­gen­des Resultat:

---

¹ Die Bedro­hungs­ana­lyse gehört nach Lub­ich (S. 449) zum Kern­ge­schäft eines jeden Unter­neh­mens. Durch DSG und VDSG sind hier die zu schüt­zen­den Ziele (Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit) bereits vor­ge­ge­ben. Auch die Bedro­hung an sich (Whist­leb­lowing) ist bereits durch die The­men­wahl an die­ser Stelle iden­ti­fi­ziert. Beim Risi­ko­ma­nage­ment in einem Unter­neh­men muss der Blick über diese Vor­ga­ben hin­aus­ge­hen. Ein Metho­den­re­per­toire zur Risi­ko­iden­ti­fi­ka­tion fin­det sich bei Gleiss­ner, S. 58 ff.

² Favre, S. 38. Vgl. Meier, Rz 786; vgl. BSK-Pauli, Art. 7 Rz 2; siehe Kers­ten, S. 51, Schä­fer, S. 8 und Stal­lings, S. 8 f., sowie Tanen­baum, Sys­teme, S. 713.

³ Meier, a.a.O.; vgl. BSK-Pauli, a.a.O.; siehe Kers­ten, a.a.O., Schä­fer, a.a.O. (Fokus eher auf der Erkenn­bar­keit von Mani­pu­la­tio­nen) und Stal­lings, a.a.O., sowie Tanen­baum, Sys­teme, a.a.O.

⁴ Stal­lings, S. 7.

⁵ Tanen­baum, Net­works, S. 722; vgl. Tanen­baum, Sys­teme, S. 712; vgl. Favre, S. 38; vgl. Schä­fer, S. 8.

⁶ Druey, S. 353.

⁷ Sta­e­ger, S. 380 f.

⁸ In die­sem Zusam­men­hang sei an den sog. Daten­dieb­stahl erin­nert. Die Daten brau­chen nicht auch „ent­wen­det“, also gelöscht zu wer­den. Viel­mehr genügt der Kon­troll­ver­lust über die Daten, siehe Meints, S. 74. M.w.H. HK, Art. 179^Novies Rz 1 ff. Die­ser Straf­tat­be­stand erfor­dert zusätz­lich das Über­win­den einer Zugriffssicherung.

⁹ Andern­falls bliebe seine Ent­hül­lung bloss eine (mehr oder weni­ger glaub­wür­dige) Behauptung.

¹⁰ Nach der Kate­go­ri­sie­rung von Lub­ich (S. 450) stel­len Whist­leb­lower sog. Sys­temin­si­der dar, wobei es sich um das eigene Per­so­nal han­delt, wel­ches in der Rolle des Angrei­fers nur schwer zu erfas­sen bzw. des­sen Bedro­hung nur schwer abzu­wen­den ist.