Datenschutz in InsO-Software: Worauf Insolvenzverwalter achten müssen

Schwarzenbruck, 04.12.2009

von Andreas Grimme, Rummel AG

Datenschutz ist seit den letzten Monaten in aller Munde. Die Missbrauchsfälle bei Deutscher Bahn, Lidl, Postbank und unzähligen anderen haben für ein großes mediales Echo gesorgt. Jeder neue Vorfall wird mittlerweile aufmerksam von der Öffentlichkeit beobachtet. Kein Unternehmen und keine Stelle kann es sich daher mehr leisten, personenbezogene Daten nur unzureichend zu schützen – auch nicht Insolvenzverwalter.

Datenpannen sind teuer

Dabei spielt es in der öffentlichen Wahrnehmung kaum eine Rolle, ob der Missbrauch vorsätzlich oder lediglich aufgrund einer bloßen Unachtsamkeit oder sogar aus Unwissenheit erfolgt ist. Doch egal, worauf ein Vorfall beruht – er schadet immer dem Image und kann sogar richtig viel Geld kosten. Nach einer Studie betragen im Fall einer Datenpanne die durchschnittlichen Kosten 112 Euro pro betroffenem Datensatz. Darin sind enthalten die Gesamtkosten für Aufdeckung und Aufarbeitung, Benachrichtigungen, Reaktionen und entgangene Umsätze (Ponemon Institut, „Jahresstudie 2008: Kosten von Datenpannen in Deutschland“, 2009). Aufgrund der neu geschaffenen Mitteilungspflicht des § 42a Bundesdatenschutzgesetz (BDSG) ist zukünftig sogar mit steigenden Kosten zu rechnen.

Datenpannen sind also eine kostspielige Angelegenheit. Aber nicht nur das: Gerade bei Insolvenzverwaltern könnte nach Datenschutzvorfällen auch seine berufliche Zukunft auf dem Spiel stehen. Es ist nicht auszuschließen, dass nach schwerwiegenden Vorfällen seine Eignung nach § 56 InsO in Zweifel gezogen werden und damit zukünftige Bestellungen in Frage stehen könnten.

Es sollte also auch im ureigensten Interesse des Insolvenzverwalters liegen, personenbezogene Daten mindestens so zu schützen, wie es das Gesetz vorsieht. Das Bundesdatenschutzgesetz enthält entsprechende Vorgaben, insbesondere in den so genannten technischen und organisatorischen Maßnahmen (Anlage zu § 9 BDSG). Besonders wichtig ist die Einhaltung dieser Vorgaben in dem Bereich, in dem alle Informationen zusammenfließen: der Software, mit der ein Insolvenzverwalter arbeitet.

Welche Maßnahmen sind notwendig?

Die technischen und organisatorischen Maßnahmen des BDSG sind nach einem Zwiebelschalen-Modell aufgebaut: Zeigt eine Maßnahme keine Wirkung oder wurde sie überwunden, soll eine weitere Maßnahme dem Missbrauch Einhalt gebieten. Prüfen Sie daher, ob Sie möglichst viele der nachfolgenden Fragen mit „ja“ beantworten können. Dabei ist es nicht erforderlich, alle Maßnahmen um jeden Preis umzusetzen. Vielmehr sind nur solche Maßnahmen zu treffen, die tatsächlich geeignet und verhältnismäßig sind, um einen besseren Schutz für die betroffenen personenbezogenen Daten herzustellen.

  • Zutrittskontrolle (Nr. 1 der Anlage zu § 9 BDSG, z.B. durch bewachten Empfangsbereich):
    Der physikalische Zugang zu den Rechnern ist so zu gestalten, dass Unbefugte keinen Zutritt zu ihnen erhalten. Es ist also darauf zu achten, dass der Serverraum generell abgeschlossen ist und dass Besucher keine Möglichkeit erhalten, unbeaufsichtigt an Arbeitsplatz-PCs zu gelangen.
    Kontrollfrage: Ist gewährleistet, dass Unbefugte (z.B. Besucher) keinen physikalischen Zutritt zu den Datenverarbeitungsanlagen (insbesondere Server, PCs, Laptops) erhalten?
  •  Zugangskontrolle (Nr. 2 der Anlage zu § 9 BDSG, z.B. durch Login):
    Selbst wenn ein Zutritt zu den EDV-Anlagen besteht, soll nicht jedermann das System, sprich die Software, nutzen können. In der Regel wird diese Anforderung durch ein Login mit Abfrage eines Benutzernamens und Passworts gesichert. Die Zugangsdaten sollen für jeden Mitarbeiter individuell sein, geheim gehalten und nicht weitergegeben werden.
    Kontrollfrage: Werden Sie beim Start des Rechners und dem Laden der Software nach individuellem Benutzernamen und Passwort gefragt?
  • Zugriffskontrolle (Nr. 3 der Anlage zu § 9 BDSG, insbesondere durch Benutzerrechte):
    Nach dem Login soll nicht jeder Benutzer auf alle Bereiche zugreifen können, sondern nur auf solche, für die er auch die fachliche Berechtigung besitzt („Need-to-know“-Prinzip). Dies erfordert ein Berechtigungskonzept, über das sich – je nach Arbeitsplatzbeschreibung des Softwarenutzers – der Umfang seiner Zugriffsrechte einrichten lässt (Beispiele für Beschränkungen: Buchhaltung, Löschrechte, Durchführung weitergehender Auswertungen).
    Kontrollfrage: Kann in der Software eingestellt werden, dass jeder Benutzer nur Zugriff auf diejenigen Bereiche besitzt, die er im Rahmen der internen Arbeitsorganisation benötigt?
  • Weitergabekontrolle (Nr. 4 der Anlage zu § 9 BDSG, insbesondere durch Verschlüsselung):
    Die Daten sind während ihrer elektronischen Übertragung (etwa vom Server zum Arbeitsplatz-PC oder auch im Internet) und bei ihrer Speicherung auf Datenträger so zu schützen, dass Unbefugte die Daten nicht lesen, verändern oder löschen können. Hintergrund ist, dass ein Abgreifen und Kopieren dieser Daten sehr viel leichter erfolgen kann als bei analogen Informationen und dass Sicherheitsvorfälle in der Regel nicht einmal bemerkt werden.
    Technisch sollte die Weitergabekontrolle durch eine Verschlüsselung erfolgen, die seit der letzten Novellierung auch im BDSG explizit genannt wird. Deshalb sind beispielsweise WLAN-Funkverbindungen mindestens mit Hilfe des WPA2-Standard zu schützen und Verbindungen zu Heimarbeitsplätzen durch einen VPN-Tunnel. E-Mails, die personenbezogene Daten enthalten, können mit GnuPG oder PGP verschlüsselt werden. Generell gilt, dass umso höhere Maßstäbe an die Technik anzulegen sind, je sensibler die Daten sind.
    Kontrollfrage: Ist für eine Verschlüsselung von personenbezogenen Daten gesorgt?
  • Eingabekontrolle (Nr. 5 der Anlage zu § 9 BDSG, insbesondere durch eine Logdatei)
    Wenn fehlerhafte Eingaben in der Software entdeckt werden, sollte der Vorgang nachvollzogen werden können. Denn neben einem schlichten Vertippen könnte ja auch ein Softwarefehler oder bösartige Manipulation die Ursache darstellen.
    Kontrollfrage: Ist die Software in der Lage, das Anlegen, Verändern und Löschen von Datensätzen mit personenbezogenen Daten zu protokollieren (nicht notwendigerweise: des Inhalts)?
  • Auftragskontrolle (Nr. 6 der Anlage zu § 9 BDSG, etwa bei freien Mitarbeitern oder Subunternehmern):
    Wenn personenbezogene Daten durch Dritte im Auftrag gespeichert, verändert, übermittelt oder gelöscht werden, verbleibt die Verantwortung dafür nach dem Gesetz dennoch beim Auftraggeber. Der Auftraggeber ist deshalb dafür verantwortlich, dass klare Weisungen erteilt, eindeutige vertragliche Abreden getroffen und diese auch eingehalten werden.
    Kontrollfrage: Wenn personenbezogene Daten im Auftrag verarbeitet werden: Ist sichergestellt, dass der Auftragnehmer nur entsprechend der Anweisung handelt?
  • Verfügbarkeitskontrolle (Nr. 7 der Anlage zu § 9 BDSG, insbesondere durch Datensicherung):
    Die am Besten geschützten Daten sind nutzlos, wenn Sie durch einen Hardware-Defekt, durch einen Wasser- oder Feuerschaden oder ein anderes Ereignis nicht mehr lesbar sind. Deshalb sollte die Software die Daten in einem sicherungsfähigen Format vorlegen, eine Sicherungskopie dieser Daten angelegt und das Backup-Medium an einem anderen, geschützten Ort aufbewahrt werden. Zudem sollte geprüft werden, ob die Sicherungen auch zurückgespielt werden können.
    Kontrollfrage: Werden die Daten regelmäßig gesichert und die Sicherung geschützt aufbewahrt?
  • Trennungsgebot (Nr. 8 der Anlage zu § 9 BDSG):
    Daten, die zu unterschiedlichen Zwecken erhoben werden, müssen voneinander getrennt verarbeitet werden. Nicht zulässig ist beispielsweise eine Vermischung von Produktivdaten („echten“ Insolvenzdaten) und von Testdaten (Spieldaten z.B. zum Ausprobieren einer neuen Software), da diese unterschiedlichen Zwecken dienen.
    Kontrollfrage: Ist technisch sichergestellt, dass Daten, die zu unterschiedlichen Zwecken erhoben werden, auf technischer Ebene nicht miteinander vermischt werden?

Fazit

Wenn Sie alle vorgenannten Kontrollfragen mit „ja“ beantworten können, ist die Software zur Verwaltung der Insolvenzfälle und der Umgang mit ihr weitgehend datenschutzkonform – zumindest aus der technischen und organisatorischen Sicht des § 9 BDSG. Wenn nicht alle Punkte zutreffen, dann lassen Sie sich von Ihrem Software-Anbieter oder von Datenschutz-Spezialisten umfassend beraten. Schließlich geht es im Schadensfall um weit mehr als nur Ihren guten Ruf.

Vgl. Neue Zeitschrift für das Recht der Insolvenz und Sanierung (NZI) 2009, Heft 17, Seite XX-XXI