Sicherheit - Rechtliche Grundlage
Aus den Vorgaben des Bundesdatenschutzgesetzes ( BDSG) ergeben sich Schutzanforderungen, zu deren Realisierung zahlreiche organisatorische und technische Maßnahmen gehören, die zusammen als Datensicherung verstanden werden. Das BDSG regelt den Datenschutz für die öffentlichen Stellen des Bundes und für die nicht-öffentlichen Stellen. Insoweit also keine bereichsspezifischen Regelungen vorhanden sind, gilt für den privat Bereich, vornehmlich also für die Wirtschaft und den Personaldatenschutz, das BDSG.

Der Begriff Datenschutz geht weit über seinen Wortsinn hinaus. Gemeint ist nach den Grundsätzen des Bundesverfassungsgerichts der Schutz des informationellen Selbstbestimmungsrecht unter der Bedingung der modernen Datenverarbeitung. Unter Datenschutz ist danach der Schutz des Betroffenen bei dem Umgang mit den sich auf seine Person beziehenden Daten (Informationen) zu verstehen.

Unter Datensicherung werden dagegen organisatorische und technische Maßnahmen gegen Gefährdung der Vertraulichkeit, der Integrität und der Verfügbarkeit von Daten verstanden.

§ 9 Technische und organisatorische Maßnahmen BDSG
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschrift dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
Anlage (zu § 9 Satz 1)
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind.

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personen-bezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

§ 5 Datengeheimnis
Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

§ 7 Schadensersatz
Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.

Bedeutung in der betrieblichen Praxis
Grundlage jeglichen Datenschutzes ist das informationelle Selbstbestimmungsrecht. Dieses muss Ausgangspunkt aller Datenschutzregelungen sein. Eine besondere Bedeutung bekommt dieser Begriff unter dem Aspekt geheimhaltungswürdiger Unternehmensdaten. Jeder Betrieb hat großes Interesse daran, dass bestimmte Daten der Konkurrenz bzw. Öffentlichkeit vorenthalten bleiben.
Geheimhaltungswürdige Daten sind z.B.:
- Eigene Kunden
- Rabattstaffelungen
- Günstige Einkaufsquellen
- Zukunftspläne zur Erweiterung des Betriebes
- Daten über Eigenentwicklung
- Preisgünstige Produktionsmethoden etc.

Ein Bekanntwerden der oben genannten Daten kann die Umsätze des Betriebes verringern oder in Extremfällen das Unternehmen als solches gefährden.

Datensicherung ist nun die Aufgabe, Datenschutz sowohl im Sinne von BDSG als auch im Firmeninteresse sicherzustellen.

Verhältnismäßigkeit
Dem Wortlaut nach gilt die Vorschrift §9 BDSG und das in ihr enthaltene Verhältnismäßigkeitsprinzip zwar für alle technischen und organisatorischen Maßnahmen, die zur Ausführung des Gesetzes erforderlich sind, aber schon aus der Anlage zu §9 BDSG ergibt sich, dass Gegenstand dieser Vorschrift nur Maßnahmen zur Datensicherung im engeren Sinne sind. Soweit es sich um Vorschriften handelt, die selbst eine Verpflichtung begründen (z.B. zur Benachrichtigung, Auskunft etc.), wäre die zusätzliche Verpflichtung nach §9 BDSG überflüssig.