+2 Daumen
48 Aufrufe

image.png

1. §9 BDSG und Anlage

Ziel der technischen und organisatorischen Maßnahmen ist die Gewährleistung der

- (Daten-)Sicherheit

- Vertraulichkeit

- Integrität

- Verfügbarkeit

- Authentizität und

- Revisionsfähigkeit

"Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht." - juris GmbH Juristisches Informationssystem für die BRD [DE]

In der Anlage zu §9, Satz 1 BDSG werden die „8 Gebote des Datenschutzes“ festgelegt:

I. Zutrittskontrolle
Sicherstellen, dass Unbefugte keinen (räumlichen) Zutritt zu DV-Anlagen erhalten, mit denen personenbezogene Daten verarbeitet werden.

II. Zugangskontrolle
Sicherstellen, dass Unbefugte DV-Anlagen, mit denen personenbezogene Daten verarbeitet werden, gemäß §3 Abs. 5 BDSG nicht nutzen können.

III. Zugriffskontrolle
Sicherstellen, dass nur Personen, die zur Nutzung der DV-Anlagen berechtigt sind, auf Inhalte zugreifen können, für die sie berechtigt sind. Zudem soll sichergestellt werden, dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt verändert, kopiert oder gelöscht werden können.

IV. Weitergabekontrolle
Sicherstellen, dass personenbezogene Daten bei der elektronischen Übertragung, dem Transport oder bei der Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können. Zudem ist sicherzustellen, dass festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten im DV-System vorgesehen ist.

V. Eingabekontrolle
Sicherstellen, dass nachträglich geprüft werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht wurden.

VI. Auftragskontrolle
Sicherstellen, dass im Auftrag verarbeitete personenbezogene Daten gemäß den Weisungen des Auftraggebers verarbeitet werden. Siehe hierzu auch §11, Abs. 3, Satz 1 BDSG bzw. Art. 4 DSGVO.

VII. Verfügbarkeitskontrolle
Sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

VIII. Trennungsgebot
Sicherstellen, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeitet werden.

2. Maßnahmen

Es werden nun konkrete Maßnahmen vorgestellt, die zum Befolgen der „8 Gebote“ angewandt werden können:

2.1 Zutrittskontrolle

- Bestimmung der zutrittsberechtigten Personen

- Verschluss der Arbeitsplätze

-Zutrittsregelungen für betriebsfremde Personen

-Gebäudesicherung (Wachpersonal, Zäune und Überwachungskameras)

-Sicherung der Räume im Gebäude durch

     \(\rightarrow\) Chipkartenleser

     \(\rightarrow\) Sicherheitsschlösser

     \(\rightarrow\) Biometrische Authentifizierung

     \(\rightarrow\) Panzerglas

     \(\rightarrow\) Alarmanlagen

2.2 Zugangskontrolle (softwaretechnisch)

Authentifizierung an Rechnern und Systemen durch

- Benutzerkennung und Passwort

- Tokens

- Biometrische Authentifizierung, Multi-Faktor-Authentifizierung

- Firewall

- Netzwerkabschottung

- Sicherung der Übertragungsleitungen

2.3 Zugriffskontrolle

- Implementierung eines Berechtigungskonzepts

- Benutzerprofile mit Benutzerkennung und Passwort

- datenschutzgerechte Entsorgung

- Schnittstellensicherung für USB, Netzwerk, ...

- Zugriffsprotokollierung unter Berücksichtigung von §31 BDSG

2.4 Weitergabekontrolle

2.4.1 Sicherung bei der elektronischen Übertragung

- Firewall

- Verschlüsselung

- VPN-Tunnel

2.4.2 Sicherung des Transports

- Verschlüsselung

- Sicher verschlossene Behälter

- Sicherung der Transportfahrzeuge und Transportwege

2.4.3 Sicherung der Übermittlung

- Verfahrensverzeichnis

2.5 Eingabekontrolle

- Zugriffsprotokollierung unter Berücksichtigung von §31 BDSG

- Anforderungen an die Protokollierung:

     \(\rightarrow\) Vollständigkeit

     \(\rightarrow\) Keine Täuschungs-/Manipulationsmöglichkeiten

- Für die Protokollierung müssen folgende Punkte festgelegt werden:

     \(\rightarrow\) Aufbewahrungsform

     \(\rightarrow\) Aufzeichnungsumfang

     \(\rightarrow\) Zugriffsberechtigung

     \(\rightarrow\) Auswertungskriterien

- Benutzerauthentifizierung

- Eingabebelege

- Plausibilitätskontrollen

2.6 Auftragskontrolle

- Vertragliche Festlegung der Weisungsbefugnisse gemäß §11 BDSG

- Ein solcher Vertrag sollte außerdem beinhalten:

     \(\rightarrow\) Gegenstand/Dauer des Auftrags, beteiligte Parteien

     \(\rightarrow\) Umfang, Art und Zweck der Erhebung , Verarbeitung und Nutzung von Daten

     \(\rightarrow\) Kreis der Betroffenen

     \(\rightarrow\) Technische und organisatorische Maßnahmen nach §9 BDSG

     \(\rightarrow\) Konzept für Berichtigung, Sperrung und Löschung von Daten

     \(\rightarrow\) Kontrollen und Pflichten des Auftragnehmers und Auftraggebers

     \(\rightarrow\) Kontrollrechte des Auftraggebers

     \(\rightarrow\) Haftung und Schadensersatz

- Vor-Ort Kontrollen (auch und besonders im Ausland!)

- Kontinuierliche Stichprobenprüfung

2.7 Verfügbarkeitskontrolle

- Umfangreiches Backup-Konzept

- Maßnahmen für Brand- und Überspannungsschutz

- Klimaanlage

- Unterbrechungsfreie Stromversorgung mit Notstromgeneratoren

- Regelmäßige Festplattenspiegelung (RAID)

- Schutz vor Viren, Würmern und Trojanern

- Trennung von Produktiv- und Testsystemen (für Tests vor Go-live)

- Wartung und Fernwartung

2.8 Trennungsgebot

- Trennung von Produktiv- und Testsystemen

- Getrennte Datenbanken

- Vergabe von Zugriffsrechten für bestimmte Datenbank-Tabellen

- Getrennte Ordnerstrukturen (mit unterschiedlichen Zugriffsrechten)

- Einsatz von Pseudonymen

Viele der vorgeschlagenen Maßnahmen sind auch im Datenschutz-Wiki zu finden.

3. Verhältnismäßigkeit

Einschränkungen werden im BDSG selbst durch das Verhältnismäßigkeitsprinzip getroffen. Ein unendlich hohes Schutzniveau von personenbezogenen Daten ist somit nicht nötig (und auch nicht möglich), wenn die dafür einzusetzenden Maßnahmen wirtschaftlich unangemessen hoch im Vergleich zum angestrebten Schutzzweck ausfallen.


Das Mitglied hat durch den Artikel 50 Bonuspunkte erhalten. Schreib auch du einen Artikel.
geschlossen: Stack-Artikel
Gefragt von 6,9 k

Ein anderes Problem?

Stell deine Frage

Willkommen bei der Stacklounge! Stell deine Frage sofort und kostenfrei

x
Made by a lovely community
...