MIP – rechtliche Gründe zum Einsatz von Sensitivity Labeling

Zu der Einführung einer Lösung zum Schutz von Informationen, wie zum Beispiel Sensitity Labeling / Microsoft Information Protection (MIP), gehört auch immer die Frage der rechtlichen Voraussetzungen. 

Relevante Gesetze/Verordnungen/Regeln

Folgende Gesetze/Verordnungen/Regeln stehen im Zusammenhang mit dem Schutz von Informationen und der Einführung eines Systems zum Schutz von Informationen. Im Folgenden folgen die in Deutschland Revertanten: 

  1. Gesetz zum Schutz von Geschäftsgeheimnissen
  2. Datenschutzgrundverordnung (DSGVO)
  3. GobD
  4. Strafgesetzbuch (StGB)
  5. ePrivacy Verordnung
  6. ((Compliance im Unternehmen))
  7. Import- und Exportbestimmungen

Anmerkung: Die Liste wird stetig erweitert.

Information Protection

Zu meinem Information Protection System gehören die folgenden Parameter: 

  • Berechtigungsverwaltung für den Zugriff auf die Daten
  • Verschlüsselung nach Bedarf
  • Klassifizieren von Daten
  • Labeln von Daten
  • Reporting und Analyse
  • Zusammenarbeit mit Externen
  • manuelles und automatisiertes Anwenden von Labeln
  • Offline Verfügbarkeit 
  • OnPremises Verfügbarkeit des Systems
  • App – (MAM) und Geräteverwaltung (MDM)
  • ((Threat Protection))
  • ((Security Operation Center (SOC))

 

1. Gesetz zum Schutz von Geschäftsgeheimnissen (GeschgehG)

Das seit 2019 geltende Gesetz verpflichtet Unternehmen dazu ein Informationssschutzsystem zu etablieren, um ihre Geschäftsgeheimnisse zu schützen und diesen Schutz auch effektiv durchzusetzen. Im Minimum handelt es sich um ein Zugangsmanagement und Berechtigungskonzept.

Dies alleine ist im heutigen aber nicht mehr Stand der Technik.

Stand der Technik ist ein Informationsschutzsystem.

Gesetz:
http://www.gesetze-im-internet.de/geschgehg/BJNR046610019.html

Bewertung: Erforderlich 

Ohne: hohes Risiko / Schadensersatz / keine Durchsetzung der Geheimhaltungsvereinbarungen

 

2. Datenschutzgrundverordnung (DSGVO) & BDSG

Die Datenschutzgrundverordnung wurde nach Inkrafttreten auch in das Bundesdatenschutzgesetz eingebaut und änderte dieses entscheidend. Das Ziel der DSGVO ist es den Datenschutz effektiv durchzusetzen.

Beispiele aus dem BDSG

§ 48 Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nur zulässig, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist.

(2) Werden besondere Kategorien personenbezogener Daten verarbeitet, sind geeignete Garantien für die Rechtsgüter der betroffenen Personen vorzusehen. Geeignete Garantien können insbesondere sein

1. spezifische Anforderungen an die Datensicherheit oder die Datenschutzkontrolle,
[…]
4. die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle,
5. die von anderen Daten getrennte Verarbeitung,
[…]
7. die Verschlüsselung personenbezogener Daten oder
8. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Rechtmäßigkeit der Verarbeitung sicherstellen.

§ 52 Verarbeitung auf Weisung des Verantwortlichen

Jede einem Verantwortlichen oder einem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, darf diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach einer Rechtsvorschrift zur Verarbeitung verpflichtet ist.

 
§ 53 Datengeheimnis
Mit Datenverarbeitung befasste Personen dürfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). Sie sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit fort.
 
§ 57 Auskunftsrecht

(1) Der Verantwortliche hat betroffenen Personen auf Antrag Auskunft darüber zu erteilen, ob er sie betreffende Daten verarbeitet. Betroffene Personen haben darüber hinaus das Recht, Informationen zu erhalten über

1. die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, und die Kategorie, zu der sie gehören,
2. die verfügbaren Informationen über die Herkunft der Daten,
[…]
4. die Empfänger oder die Kategorien von Empfängern, gegenüber denen die Daten offengelegt worden sind, insbesondere bei Empfängern in Drittstaaten oder bei internationalen Organisationen,
5. die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
6. das Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung der Daten durch den Verantwortlichen,
[…]

§ 62 Auftragsverarbeitung

(1) Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Die Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz sind in diesem Fall gegenüber dem Verantwortlichen geltend zu machen.
(2) Ein Verantwortlicher darf nur solche Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und organisatorischen Maßnahmen sicherstellen, dass die Verarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.
[…]
2. gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden, soweit sie keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
3. den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten;
[…]
 

Gesetz: https://dejure.org/gesetze/DSGVO   BDSG: https://www.gesetze-im-internet.de/bdsg_2018/

Bewertung: Erforderlich 

Ohne: hohes Risiko

 

3. Strafgesetzbuch 

Im Strafgesetzbuch sind einige Strafgesetze aufgelistet, die eine Informationssicherheit erforderlich machen, um sich vor diesen mit Maßnahme zu schützen. Hierbei handelt es sich vor allem bei dem Schutz vor fahrlässiger Begehung von Straftaten oder der aktiven Verhinderung. 

Beispiel aus dem Strafgesetzbuch

§ 203 Verletzung von Privatgeheimnissen

Im Rahmen des § 203 StGB wird die Verletzung von Privatgeheimnissen für besondere Berufgruppen festgelegt.

§ 203 Verletzung von Privatgeheimnissen
(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als
1. Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert,
2. Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlußprüfung,
3. Rechtsanwalt, Kammerrechtsbeistand, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten Verfahren, Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder Organ oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-, Buchprüfungs- oder Steuerberatungsgesellschaft,
4. Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist,
5. Mitglied oder Beauftragten einer anerkannten Beratungsstelle nach den §§ 3 und 8 des
Schwangerschaftskonfliktgesetzes,
6. staatlich anerkanntem Sozialarbeiter oder staatlich anerkanntem Sozialpädagogen oder
7. Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer
privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe
bestraft.
(2) Ebenso wird bestraft, wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als
1. Amtsträger,
2. für den öffentlichen Dienst besonders Verpflichteten,
3. Person, die Aufgaben oder Befugnisse nach dem Personalvertretungsrecht wahrnimmt,
4. Mitglied eines für ein Gesetzgebungsorgan des Bundes oder eines Landes tätigen
Untersuchungsausschusses, sonstigen Ausschusses oder Rates, das nicht selbst Mitglied des
Gesetzgebungsorgans ist, oder als Hilfskraft eines solchen Ausschusses oder Rates,
5. öffentlich bestelltem Sachverständigen, der auf die gewissenhafte Erfüllung seiner Obliegenheiten auf
Grund eines Gesetzes förmlich verpflichtet worden ist, oder
6. Person, die auf die gewissenhafte Erfüllung ihrer Geheimhaltungspflicht bei der Durchführung wissenschaftlicher Forschungsvorhaben auf Grund eines Gesetzes förmlich verpflichtet worden ist, anvertraut worden oder sonst bekanntgeworden ist. Einem Geheimnis im Sinne des Satzes 1 stehen Einzelangaben über persönliche oder sachliche Verhältnisse eines anderen gleich, die für Aufgaben der
öffentlichen Verwaltung erfaßt worden sind; Satz 1 ist jedoch nicht anzuwenden, soweit solche Einzelangaben anderen Behörden oder sonstigen Stellen für Aufgaben der öffentlichen Verwaltung bekanntgegeben werden und das Gesetz dies nicht untersagt.
(2a) (weggefallen)
(3) Kein Offenbaren im Sinne dieser Vorschrift liegt vor, wenn die in den Absätzen 1 und 2 genannten Personen Geheimnisse den bei ihnen berufsmäßig tätigen Gehilfen oder den bei ihnen zur Vorbereitung auf den Beruf tätigen Personen zugänglich machen. Die in den Absätzen 1 und 2 Genannten dürfen fremde Geheimnisse gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit der in den Absätzen 1 und 2 Genannten mitwirken.
(4) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer unbefugt ein fremdes Geheimnis offenbart, das ihm bei der Ausübung oder bei Gelegenheit seiner Tätigkeit als mitwirkende Person oder als bei den in den Absätzen 1 und 2 genannten Personen tätiger Datenschutzbeauftragter bekannt geworden ist. Ebenso wird bestraft, wer
1. als in den Absätzen 1 und 2 genannte Person nicht dafür Sorge getragen hat, dass eine sonstige
mitwirkende Person, die unbefugt ein fremdes, ihr bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis offenbart, zur Geheimhaltung verpflichtet wurde; dies gilt nicht für sonstige mitwirkende Personen, die selbst eine in den Absätzen 1 oder 2 genannte Person sind,
2. als im Absatz 3 genannte mitwirkende Person sich einer weiteren mitwirkenden Person, die unbefugt
ein fremdes, ihr bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis
offenbart, bedient und nicht dafür Sorge getragen hat, dass diese zur Geheimhaltung verpflichtet wurde;
dies gilt nicht für sonstige mitwirkende Personen, die selbst eine in den Absätzen 1 oder 2 genannte Person sind, oder
3. nach dem Tod der nach Satz 1 oder nach den Absätzen 1 oder 2 verpflichteten Person ein fremdes Geheimnis unbefugt offenbart, das er von dem Verstorbenen erfahren oder aus dessen Nachlass erlangt hat.
(5) Die Absätze 1 bis 4 sind auch anzuwenden, wenn der Täter das fremde Geheimnis nach dem Tod des Betroffenen unbefugt offenbart.
(6) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe.”

https://www.gesetze-im-internet.de/stgb/__203.html

Gesetz: https://www.gesetze-im-internet.de/stgb/

Bewertung: Erforderlich 

 

5. ePrivacy Verordnung

Die ePrivacy Verordnung ist heute noch nicht Inkraft getreten. In den Entwürfen ist zu entnehmen, dass direkte und indirekte Hinweise auf die Erforderlichkeit eines Information Protection Systems.

Beispiele 

Ziele: Schutz der Privatsphäre im Internet

“Gilt – in Bezug auf nicht personenbezogene ebenso wie in Bezug auf personenbezogene Daten – für jedwede elektronische Kommunikation und für die Integrität der Informationen auf dem verwendeten Endgerät.”

Entwurf: https://ec.europa.eu/digital-single-market/en/proposal-eprivacy-regulation

Infocheat: https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=53964

Bewertung: Erforderlich 

 

6. Compliance im Unternehmen

Es ist nicht zu vernachlässigen, dass die Compliance im Unternehmen im Gegensatz zu gesetzlichen Regelungen oft strenger behandelt werden und die Einhaltung eine enge Überwachung beinhaltet. Für die effektive Umsetzung der Compliance im Modern Workplace müssen zwingend per IT System umzusetzen, denn nur so lässt sich festlegen, wer wann und wo Zugriff auf die Daten hat oder überwachen wer Zugriff hatte.

Bewertung: Erforderlich 

 

7. Import- und Export Bestimmungen

Im Rahmen der Import – und Exportbestimmungen muss das verarbeitende Unternehmen nachweisen können, dass Daten eine bestimmte Landesgrenze nicht überschreitet.

Bestimmungen: https://www.frankfurt-main.ihk.de/international/importexport/index.html

Bewertung: Erforderlich