Vertraulichkeit

Aus IT-Forensik Wiki
Version vom 3. März 2020, 21:14 Uhr von Etduen (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Vertraulichkeit bedeutet, dass die enthaltenen Informationen nur für Befugte zugänglich sind. Um die Übertragung der Daten und den Zugang zu schützen, müssen Maßnahmen ergriffen werden. Der Zugang lässt sich durch Zugriffskontrollen und Zugriffsrechte regeln. Bei der Übertragung der sicherheitsrelevanten Daten spielt die Verschlüsselung eine wichtige Rolle. Diese kann in symmetrischer oder asymmetrischer Form vorliegen. Vertraulichkeit ist eines der wenigen Schutzziele, welches rechtlich abgesichert ist. Regelungen zum Schutz der Vertraulichkeit finden sich in Art. 10 GG und einfachgesetzlich in § 88 TKG und § 206 StGB, soweit das Fernmeldegeheimnis betroffen ist.

Rechtliche Einordnung des Begriffs

Verfassungsrechtliche Anforderungen

Verfassungsrechtliche Grundlagen zur Wahrung der Vertraulichkeit von Informationen sind im Einzelnen in folgenden Artikeln des Grundgesetzes verankert:

  • Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1
  • Recht auf informationelle Selbstbestimmung (Vertraulichkeit in diesem Kontext: Recht über die Preisgabe von Informationen selbst zu bestimmen)[1]
  • Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme[2] (abgeleitet aus dem allgemeinen Persönlichkeitsrecht),
  • Art. 10 und die Unverletzlichkeit des Brief-, Post- und Fernmeldegeheimnisses,
  • Art. 13 und die Unverletzlichkeit der Wohnung.

Nationenübergreifend ist die Wahrung der Vertraulichkeit ableitbar aus Artikeln der Charta der Grundrechte der Europäischen Union (PDF):

  • Art. 7 Achtung des Privat- und Familienlebens und
  • Art. 8 Schutz personenbezogener Daten

und aus der Europäischen Menschenrechtskonvention (PDF):

  • Art. 8 Recht auf Achtung des Privat- und Familienlebens.

Einfachgesetzliche Anforderungen

Die einfachgesetzlichen Normen erstrecken sich vom Datenschutz- und Telekommunikationsrecht über das Sozial-, Berufs-, Beamten- und Verwaltungsrecht bis hin zum Strafgesetzbuch. Mithin sind alle Rechtsgebiete tangiert, die private und geschäftliche Informationen zum Inhalt haben. Nur beispielhaft seien die folgenden Normen genannt:

  • § 22 Verarbeitung besonderer Kategorien personenbezogener Daten
  • § 64 Anforderungen an die Sicherheit der Datenverarbeitung
  • § 77 Vertrauliche Meldung von Verstößen
  • Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten
  • Art. 32 Sicherheit der Verarbeitung
  • Sozialrecht
  • SGB I: § 35 Sozialgeheimnis
  • SGB VIII: § 65 Besonderer Vertrauensschutz in der persönlichen und erzieherischen Hilfe
  • SGB X: Sozialverwaltungsverfahren und Sozialdatenschutz
  • § 201 Verletzung der Vertraulichkeit des Wortes
  • § 201a Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen
  • § 202 Verletzung des Briefgeheimnisses
  • § 202a Ausspähen von Daten
  • § 203 Verletzung von Privatgeheimnissen
  • § 204 Verwertung fremder Geheimnisse
  • § 206 Verletzung des Post- oder Fernmeldegeheimnisses
  • Telekommunikations- und Telemedienrecht

Informationstechnische Relevanz

Neben Integrität und Verfügbarkeit ist die Vertraulichkeit eines der Schutzziele sowohl des Datenschutzes als auch der Informationssicherheit. Beide bilden eine Schnittmenge bei Anforderungen und Maßnahmen, weswegen konzeptionelle Methoden wie die ISO/IEC-27000 Normen oder das Standard-Datenschutzmodell (SDM) interdisziplinär angewandt werden können. Grundsätzliche Fragen, die den Rahmen der Maßnahmen zum Vetraulichkeitsschutz bestimmen, sind[3]:

  • Wem ist die Kenntnisnahme welcher Daten zu verwehren?
  • Welche Prozesse, Systeme und Dienste sind potentiell für unbefugte Zugriffe anfällig?

Die Beantwortung dieser Fragen resultiert aus einer systematischen Erfassung des IST-Zustandes (sofern keine Neuplanung), der rechtlichen Anforderungen und der technischen Umsetzungsmöglichkeiten, die schließlich in typische Maßnahmen zur Wahrung der Vertraulichkeit münden[4]:

  • Festlegen eines Berechtigungs- und Rollenkonzeptes nach dem Erforderlichkeitsprinzip auf Basis eines Identitätsmanagements,
  • Implementieren eines sicheren Authentifizierungsverfahrens,
  • Eingrenzen der zulässigen Personen auf solche, die nachprüfbar zuständig, fachlich befähigt, zuverlässig und formal zugelassen sind,
  • Festlegen und Kontrollieren der Nutzung zugelassener Ressourcen insbesondere der Kommunikationskanäle,
  • spezifizierte, für die Verarbeitungstätigkeit ausgestattete Umgebungen (Gebäude, Räume),
  • Festlegen und Kontrollieren organisatorischer Abläufe, interner Regelungen und vertraglicher Verpflichtungen,
  • Verschlüsselung von gespeicherten oder transferierten Daten sowie Prozesse zur Verwaltung und zum Schutz der kryptografischen Informationen (Kryptokonzept),
  • Schutz vor äußeren Einflüssen (Spionage, Hacking)

Praktische Wahrung der Vertraulichkeit

Bei den erwähnten Maßnahmen steht der Verschlüsselung, so auch Verfahren wie dem Hardware-Sicherheitsmodul, eine besondere Bedeutung zu, da sie oftmals die einzige Möglichkeit für einen vertraulichen Austausch oder eine abgesicherte Speicherung von Informationen bietet.

Einzelnachweise

  1. BVerfGE 65, 1 - "Volkszählungsurteil", Urteil des Ersten Senats vom 15. Dezember 1983 auf die mündliche Verhandlung vom 18. und 19. Oktober 1983, 1 BvR 209, 269, 362, 420, 440, 484/83
  2. BVerfG, Urteil des Ersten Senats vom 27. Februar 2008, - 1 BvR 370/07 -, Rn. (1-333)
  3. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz), Das Standard-Datenschutzmodell, D4.3 Spezifizieren und Prüfen, Version 2.0a, November 2019 (Datenlizenz Deutschland – Namensnennung – Version 2.0)
  4. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz), Das Standard-Datenschutzmodell, D1.3 Vertraulichkeit, Version 2.0a, November 2019 (Datenlizenz Deutschland – Namensnennung – Version 2.0)