TU BRAUNSCHWEIG

Rundschreiben Nr. 20
Einbruchdiebstahl von Personalcomputern und der Schutz personenbezogener Daten nach dem Schutzstufenkonzept

Sehr geehrte Damen und Herren,

in den vergangenen Wochen häuften sich an der TU Braunschweig leider Einbruchdiebstähle hochwertiger tragbarer Notebooks oder wertvoller "Innereien" von Personalcomputern. Dabei wurden in allen Fällen auch die Speichermedien entwendet, auf denen in vielen Fällen personenbezogene Daten abgelegt  waren. Zwar war der Zugang zu den Rechnern per Paßwort gesichert, aber dies schützt bekanntermaßen nur vor unberechtigtem Start des Rechners. Mit einer "Boot-Diskette" kann dieser Schutz problemlos umgangen werden. Ebenso  ist der Schutz durch ein Passwort dann unwirksam, wenn eine entwendete Festplatte von einem anderen Rechner gestartet wird. Einen wirksamen Schutz vor unberechtigtem Zugriff stellt ein passwortgeregelter Zugang einzelner Dateien dar, einen noch besseren Schutz gewährleistet die Verschlüsselung einzelner Dateien.

Art und Umfang von Datensicherungsmaßnahmen richten sich u.a. nach der Schutzwürdigkeit der gespeicherten personenbezogenen Daten. Um die Notwendigkeit von Maßnahmen besser abschätzen zu können, hat es sich bewährt, personenbezogene Daten nach dem Grad möglicher Beeinträchtigung schutzwürdiger Belange bei Mißbrauch dieser Daten in 5 Schutzstufen zu untergliedern. Bei der Klassifizierung sind Datenfelder niemals einzeln zu bewerten. Enthalten Dateien umfassende Angaben zu einer Person  (Dossiers), so sind sie in eine höhere Schutzstufe einzuordnen, als dies nach den Einzeldaten erforderlich wäre.

 Es werden folgende Schutzstufen unterschieden:

Stufe A: frei zugängliche Daten, in die Einsicht gewährt wird, ohne daß der Einsichtnehmende ein berechtigtes Interesse geltend machen muß, z.B. Adreßbücher, Mitgliederverzeichnisse, Benutzerkataloge in Bibliotheken.

Stufe B: personenbezogene Daten, deren Mißbrauch zwar keine besondere Beeinträchtigung erwarten läßt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse des Einsichtnehmenden gebunden ist, z.B. beschränkt-zugängliche öffentliche Dateien, Verteiler für Unterlagen.

Stufe C: personenbezogene Daten, deren Mißbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann ("Ansehen"), z.B. Familienstand, Geburtsdaten, Religion, Staatsangehörigkeit, Daten des Melderegisters, Schulzeugnisse, Prüfungsnoten, Ergebnisse von Beurteilungen, Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten.

Stufe D: personenbezogene Daten, deren Mißbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann ("Existenz"), z.B. Unterbringung in Anstalten, Straffälligkeit, Ordnungswidrigkeiten schwerwiegender Art, dienstliche Beurteilungen, psychologisch-medizinische Untersuchungsergebnisse, Schulden, Pfändungen, Konkurse.

Stufe E: Daten, deren Mißbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann, z.B. Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können.

Prüfungsnoten, Gutachten beispielsweise über Diplomarbeiten und Dissertationen sind der Schutzstuffe C zuzuordnen und daher als sensible Daten mit einem starken Schutz vor unberechtigtem Zugriff zu sichern.

Ausführliche Darstellungen zu unterschiedlichen Aspekten des Schutzes von Rechnern und Daten sowie zum Verschlüsseln von Dateien stellt das Rechenzentrum der TUBS zur Verfügung, ein Merkblatt zum Schutzstufenkonzept hält der Landesbeauftragte für den Datenschutz Niedersachsen im Internet zum Abruf bereit.

In jedem Fall müssen diejenigen einen angemessenen Schutz von personenbezogenen Daten vor unberechtigtem Zugriff gewährleisten, die diese Daten verarbeiten. Für Fragen stehe ich gern zur Verfügung.

Mit freundlichen Grüßen
Michael Wettern


  aktualisiert am 17.05.2008
TU_Icon_E_Mail_1_17x17_RGB Zum Seitenanfang