Kurt Nagel Datensicherung in der Unternehmung Dr. Kurt Nagel Datensicherung in der Unternehmung Bestimmungsfaktoren für den Aufbau eines Datensicherungssystems Springer Fachmedien Wiesbaden GmbH ISBN 978-3-409-31514-2 ISBN 978-3-663-13621-7 (eBook) DOI 10.1007/978-3-663-13621-7 Copyright by Springer Fachmedien Wiesbaden 1977 Ursprünglich erschienen bei Betriebswirtschaftlicher Verlag Dr. Th. Gabler GmbH, Wiesbaden 1977. Vorwort Die Fragen des Datenschutzes und der Datensicherung werden heute in Wirtschaft und Verwaltung sehr stark diskutiert. Im Vordergrund der Diskussion steht dabei die Realisation des Datenschutzes, also der Aufbau von Datensicherungssystemen. Man erkennt in den Unter nehmungen und Verwaltungseinheiten immer mehr, daß nur eine systematische Vorgehensweise bei der Festlegung von Daten sicherungsmaßnahmen Erfolg bringen kann. Zweck der Daten sicherung ist dabei die Erfüllung der gesetzlichen Forde rungen und die optimale Gewährleistung der internen Ver arbeitungssicherheit. Das vorliegende Buch versucht die Frage zu beantworten, wie Datensicherungssysteme planmäßig gebaut werden können und zwar so, daß sie sowohl den gesetzlichen Vor schriften als auch dem eigenen Sicherheitsbedürfnis ge nügen. Es wird der Versuch gemacht, die wesentlichen Be stimmungs faktoren für den Aufbau von Datensicherungssystemen zu beschreiben und hinsichtlich der Praktikabilität zu analysieren. Sindelfingen Dr. K. Nagel Inhaltsverzeichnis Seite 1. Datensicherung und automatisierte Datenverarbeitung 1.1 Einführung 1 1 .1 .1 Problemstellung und Gang der Untersuchung 1 .1 .2 Quellenmaterial 5 1.2 Inhalt und Abgrenzung der Begriffe 14 1.3 Notwendigkeit und Ziele einer systematischen Datensicherung 22 2. Externe Bestimmungsfaktoren für den Aufbau von Datensicherungssystemen 26 2.1 Normen des Datenschutzes und der Datensicherung 26 2.1 .1 Rechtliche Regelung des Daten schutzes im Ausland 26 2.1.1.1 Stand in den USA 26 2.1.1.2 Stand in Europa 37 2.1 .2 Rechtliche Regelungen des Daten schutzes in der Bundesrepublik Deutschland 55 2.1.2.1 Stand in den ~inzelnen Ländern 55 2.1.2.2 Stand auf Bundesebene 67 2.1 .3 Wesentliche Probleme der Daten schutzgesetzgebung - unter beson derer Berücksichtigung des Bundes Datenschutzgesetzes - 76 2.1.3.1 Begriff der Datei und die Verfahren 76 2.1.3.2 Ubermittlung a~ Dritte 81 2.1.3.3 Technische und organisatorische Maßnahmen 82 2.1.3.4 Zur Frage der Protokollierung 84 Seite 2.1.3.5 Durchführungskontrolle 88 2.1.3.6 Anpassungszeit 91 2.2 Normen der Rechnungslegung 93 2.2.1 Die Grundsätze ordnungsmäßiger Buchführung (GoB) 93 2.2.1.1 Rechtsnatur und Ableitung der GoB 93 2.2.1.2 Inhalt und Wandlung der Grundsätze 100 2.2.1.3 Anpassung der gesetzlichen Vor schriften an die technische Ent wicklung 108 2.2.2 Auslegung der GoB bei computer gestützten Informationssystemen 116 2.2.2.1 Erfüllung der Belegfunktion 116 2.2.2.2 Erfüllung der Grundbuchfunktion 118 2.2.2.3 Erfüllung der Kontenfunktion 127 2.2.3 Konsequenzen für den Bau von Datensicherungssystemen 129 2.2.3.1 Systemprüfung als angemessene Nachweismethode 129 2.2.3.2 Gewährleistung der Nachprüfbarkeit des Datensicherungssystems 132 3. Interne Bestirnrnungsfaktoren für den Aufbau von Datensicherungs systemen 145 3.1 Das Sicherheitsbewußtsein 145 3.2 Die Risiken und ihre Wirkungen 156 3.2.1 Zur Einteilung der Risikotypen und Risiken 156 3.2.2 Zur Bedeutung der Risiken 167 3.2.3 Die Wirkungen der einzelnen Risiken 177 3.3 Stand der. Sicherungsmethoden 180 3.3.1 Stand der Hardware-Sicherungen 180 Seite 3.3.2 Stand der Software-Sicherungen 189 3.3.3 Stand der Orgware-Sicherungen 199 3.4 Kosten- und Wirtschaftlichkeits- gesichtspunkte 209 3.4.1 Modelle zur Wirtschaftlichkeits- analyse 210 3.4.1.1 Modell Lindemann/Nagel/Herrmann 210 3.4.1.2 Modell Broermann 217 3.4.1.3 Modell von Angermann/Thome 219 3.4.1.4 Modell des MID 221 3.4.2 Beurteilung dieser Modelle und Hinweise für die Realisierung 224 3.5 Versicherung als Instrument der Datensicherung 243 3.5.1 Uberblick über die Versicherungs formen 243 3.5.2 Sachversicherungen 245 3.5.3 Folgeschadenversicherungen 255 3.5.4 Personenbezogene Versicherungen 257 3.5.5 Der Einfluß des Sicherungssystems auf die Prämienberechnung 265 3.6 Systematische Planung 274 3.6.1 Aufbauphasen eines Datensicherungs systems 274 3.6.2 Zuordnung von Aufgaben und Funk tionen 281 3.6.3 Das Ausbildungsprogramm 285 3.6.4 Beurteilung der Bestimmungsfak toren hinsichtlich ihrer Realisie rungschance 289 Literaturverzeichnis 293 - 1 - 1 Datensicherung und automatisierte Datenverarbeitung 1.1 Einführung 1.1.1 Problemstellung und Gang der Untersuchung Seit einigen Jahren versuchen Wirtschaftsunternehmen und Verwaltungseinheiten in verstärktem Umfang mit Hilfe der automatisierten Datenverarbeitung große Informations- und Steuerungssysteme aufzubauen. Wesent liche Voraussetzungen für die Realisierung solcher Systeme sind, daß die einzelnen Dateien, die früher meist gesondert und ausgewertet wurden, zu bea~beitet einer gemeinsamen Datenbank zusammengefaßt werden, die Verständigung zwischen dem Benutzer und der Datenbank durch einfach zu erlernende und leicht zu handhabende Sprachen möglich ist und die räumliche Entfernung zwi schen Benutzer und der Datenbank durch Datenfernver arbeitungs-Einrichtungen überbrückt wird. Mit der schnellen Verfügbarkeit des Gesamtdatenbildes wurde die Grundlage für eine optimale Informationsge winnung geschaffen. Gleichzeitig initiierte diese Ent wicklung aber auch die Diskussion zum Thema Datenschutz und Datensicherung, da jetzt in hohem Umfang die Tat bestände transparent wurden. In der breiten öffentlich keit entstand der Eindruck, insbesondere durch die Ver öffentlichungen spektakulärer Fälle zum Computer-Mif brauch und den Aufbau von Datenbanken auf Landes- und Bundesebene, als werde George Orwells "großer Bruder" nicht erst im Jahre 1984 zur Realität, sondern schon wesentlich früher und als wäre der Mißbrauch von Daten und Programmen bei computecgestützten Systemen relativ einfach. Auch in den Fachkreisen hat man heute klar er kannt, daß die Realisierung von Datensicherungsmaßnah men zu einer wesentlichen organisatorischen Aufgabe - 2 - geworden ist. Man kann die Datensicherung nicht mehr der improvisierten Absprache der im System agierenden Personen überlassen und sich vorwiegend mit einzelnen, punktuellen Maßnahmen zufriedengeben. Echter Schutz läßt sich nur durch den Aufbau eines umfassend inte grierten Datensicherungssystems erreichen. Ziel dieser Arbeit ist es, die wesentlichsten Einfluß größen für den Bau solcher Systeme zu beschreiben und der Praxis in Wirtschaft und Verwaltung Lösunqsmöglich keiten für die Realisierung aufzuzeigen. Im ersten Kapitel werden zunächst die der Arbeit zu grunde liegenden Quellen dargestellt und die wichtig sten Begriffe untersucht und definiert. Anschließend wird auf die Notwendigkeit des Aufbaus von Datensiche rungssystemen eingegangen. Zweck der Datensicherung ist dabei sowohl die Erfüllung der gesetzlichen Forderungen als auch die optimale Gewährleistung der internen Ver arbeitungssicherheit. Die Einhaltung der gesetzlichen Normen bedeutet zum einen den Schutz von Personen und Institutionen vor rechtswidrigen Eingriffen in ihre Privatsphäre (das Problem des Datenschutzes) und zum anderen eine vollständige und schlüssige Nachweisfüh rung der Rechnungslegung (das Problem der Ordnungsmä ßigkeit). Diese beiden Problemkreise werden im zwei ten Kapitel behandelt. Da es auch im Ausland schon gesetzliche Bemühungen zum Datenschutz gibt, wird zunächst der Stand in einigen Län dern skizziert und die vorliegenden Gesetze bzw. Entwürfe werden beschrieben. Es folgt ein Uberblick über die Be mühungen der Länder und der Bundesregierung in Deutsch-