Frage von mariohatkp, 32

Zur Datensicherheit es gibt technische, personelle, programmtechnische oder organisatorische Maßnahmen aber welche wären das?

Antwort
von McHilfe, 26

Hallo mariohatkp,

In Deutschland sind alle Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten oder nutzen, gesetzlich verpflichtet, die erforderlichen und angemessenen technischen und organisatorischen Maßnahmen zum Erzielen und Aufrechterhalten der Datensicherheit zu treffen. Dies ergibt sich insbesondere aus § 9 des Bundesdatenschutzgesetzes (BDSG) in Verbindung mit der Anlage zu § 9 Satz 1 BDSG.

Der Anforderungskatalog listet eine Reihe von Maßnahmen auf, um das Ziel Datensicherheit zu erreichen. 

Welche technischen und organisatorischen Maßnahmen sind konkret gemeint?

Die Anlage zu § 9 Satz 1 BDSG listet in den Nummern 1 bis 8 Maßnahmen auf:

Maßnahmen zur Zutrittskontrolle

Zutrittskontrollmaßnahmen sollen Unbefugten den physischen Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehren. Beispiele für die Umsetzung der Maßnahme sind die Verwendung von Berechtigungsausweisen ggf. mit integriertem Zutrittstransponder (RFID) oder der Einsatz von Alarmanlagen oder Überwachungseinrichtungen.

Maßnahmen zur Zugangskontrolle

Zugangskontrollmaßnahmen sollen verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Zur Umsetzung dieser Kontrollmaßnahme kommt beispielsweise ein effektives Passwortmanagement – ggf. mit Zwei-Faktor-Authentifikation – sowie eine entsprechende Protokollierung der Passwortnutzung in Betracht.

Maßnahmen zur Zugriffskontrolle

Zugriffskontrollmaßnahmen sollen gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigungunterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Demnach können solche Maßnahmen z.B. in Form von rollenbasiertenBerechtigungskonzepten umgesetzt werden.

Maßnahmen zur Weitergabekontrolle

Mit der Weitergabekontrolle soll verhindert werden, dass personenbezogene Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es soll zudem überprüft und festgestellt werden können, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Als Maßnahmen kommen u.a. Regelungen zurDatenträgervernichtung, Taschenkontrollen etc. in Betracht.

§ 9 Satz 2 BDSG stellt explizit heraus, dass die Verwendung eines dem Stand der Technik entsprechenden Verschlüsselungsverfahrens eine Maßnahme für die Zugangs-, Zugriffs- sowie Weitergabekontrolle ist.

Maßnahmen zur Eingabekontrolle

Die Eingabekontrolle soll gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. auch gelöscht und entfernt worden sind. In Betracht kommt hier die Protokollierung von Dateneingaben sowie -löschungen.

Maßnahmen zur Auftragskontrolle

Im Rahmen der Auftragskontrolle hat der Auftragnehmer zu gewährleisten, dass die im Auftrag zu verarbeitenden Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Der Auftraggeber hat dem Auftragnehmer im Rahmen der Auftragsdatenverarbeitung daher entsprechende Weisungen zu erteilen und die Einhaltung dieser durch den Auftragnehmer regelmäßig zu kontrollieren. Die entsprechenden Abreden hierzu, insbesondere auch die Befugnis zur Unterbeauftragung weiterer Dienstleister sind schriftlich zu treffen.

Maßnahmen zur Verfügbarkeitskontrolle

Die Kontrollmaßnahmen zur Verfügbarkeit sollen gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind, insbesondere durch Vorfälle wie Stromausfall, Blitzschlag, Feuer- und Wasserschäden. Sicherungsmaßnahmen wie z.B. Einsatz einerunterbrechungsfreien Stromversorgung (USV) oder von Notstromaggregaten, Erstellung von Backups sowie deren Auslagerung etc. sollten in einem Notfallplan festgehalten werden.

Maßnahmen zur Erfüllung des Trennungsgebots

Ziel des Trennungsgebots ist, zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Umgesetzt werden kann dieses Ziel z.B. durch die Verwendung von mandantenfähiger Software und entsprechend konzipierten Zugriffsberechtigungen. 

Quelle: world-wide-web.datenschutzbeauftragter-info.de/fachbeitraege/informationssicherheit-und-datenschutz/

Weiterhin würde ich Dir den folgenden Link zur Recherche empfehlen:

https://www.audatis.de/wp-content/uploads/Checkliste_Datenschutz_TOM_nach_9_BDSG...

Keine passende Antwort gefunden?

Fragen Sie die Community

Weitere Fragen mit Antworten