Landesbeauftragte für Datenschutz und Informationsfreiheit. Freie Hansestadt Bremen. Orientierungshilfe zur Erstellung eines Datenschutzkonzeptes



Ähnliche Dokumente
WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Technische und organisatorische Maßnahmen der

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Anlage zum Zertifikat TUVIT-TSP Seite 1 von 7

Datenschutz und Systemsicherheit

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Aufstellung der techn. und organ. Maßnahmen

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

Vernichtung von Datenträgern mit personenbezogenen Daten

Vernetzung ohne Nebenwirkung, das Wie entscheidet

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Datenschutz der große Bruder der IT-Sicherheit

Checkliste: Technische und organisatorische Maßnahmen

Datenschutz und Schule

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Checkliste zum Datenschutz in Kirchengemeinden

Datenschutz-Vereinbarung

Prüfliste zu 9 Bundesdatenschutzgesetz (BDSG)

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Verfahrensverzeichnis

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Nutzung dieser Internetseite

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Übersicht über den Geltungsbereich der DATENSCHUTZ- ORDNUNG

Anlage zur Auftragsdatenverarbeitung

BYOD Bring Your Own Device

Anleitung für die Einrichtung weiterer Endgeräte in 4SELLERS SalesControl

Elektronische Übermittlung von vertraulichen Dateien an den Senator für Wirtschaft, Arbeit und Häfen, Referat 24

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

Welche Vorteile bietet die Anmeldung eines Kindes mit dem kita finder+?

Checkliste: Technische und organisatorische Maßnahmen

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Datenschutz. Öffentliches Verfahrensverzeichnis der Indanet GmbH nach 4e Bundesdatenschutz (BDSG)

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Anleitung Postfachsystem Inhalt

Hinweise, Checkliste und Ablauf zur Vorabkontrolle nach 7 Abs. 6 Hessisches Datenschutzgesetz

Benutzerhandbuch - Elterliche Kontrolle

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Fachanwältin für Familienrecht. Mietverhältnis

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

Einwilligungserklärung

Öffentliches Verfahrensverzeichnis der. ProfitBricks GmbH

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

LDAP Konfiguration nach einem Update auf Version 6.3 Version 1.2 Stand: 23. Januar 2012 Copyright MATESO GmbH

Drei Fragen zum Datenschutz im. Nico Reiners

Kirchlicher Datenschutz

DATENSCHUTZBESTIMMUNGEN vom des Onlineshops LOVEITSHOP 1 Allgemeine Bestimmungen Die Datenschutzbestimmungen legen die Regeln für den

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015

Hilfedatei der Oden$-Börse Stand Juni 2014

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten

Auftragsdatenverarbeiter: Darf s ein bißchen mehr sein?

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

teamsync Kurzanleitung

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Das digitale Klassenund Notizbuch

D i e n s t e D r i t t e r a u f We b s i t e s

Selbstauskunft. Tiroler Bauernstandl GmbH Karin Schützler Eurotec-Ring Moers Deutschland. Foto. Name:

Meine Daten. Mein Recht

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Ihr Zeichen, Ihre Nachricht vom Unser Zeichen (Bei Antwort angeben) Durchwahl (0511) 120- Hannover NDS EU-DLR

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Stadt Frauenfeld. Datenschutzreglement

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

s aus -Programm sichern Wählen Sie auf der "Startseite" die Option " s archivieren" und dann die entsprechende Anwendung aus.

SEPA-Umstellungsanleitung Profi cash

Kurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Internet- und -Überwachung in Unternehmen und Organisationen

Leseprobe zum Download

VORLESUNG DATENSCHUTZRECHT

Datenverarbeitung im Auftrag

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Befragung zum Migrationshintergrund

IHR PATIENTENDOSSIER IHRE RECHTE

1 D -Dienste. 2 Zuständige Behörde

Nutzungsbedingungen und Datenschutzrichtlinie der Website

Transkript:

Landesbeauftragte für Datenschutz und Informationsfreiheit Freie Hansestadt Bremen Orientierungshilfe zur Erstellung eines Datenschutzkonzeptes insbesondere zum Inhalt der Verfahrensbeschreibung und zu den technischen und organisatorischen Maßnahmen Version 1.1. vom 24. Juni 2010 Bremerhaven, 24. Juni 2010 Unser Zeichen: 10-500-03.06/2#12 Alle öffentlichen Stellen, die personenbezogene Datenverarbeitung betreiben, haben Vorkehrungen zu treffen, um den Datenschutz sicher zu stellen. Hierzu sind besondere Festlegungen zu treffen, die in einem Datenschutzkonzept nieder zu legen sind. Das Datenschutzkonzept hat verschiedene Aspekte zu beachten, so sind zum Beispiel. gewisse Schutzziele zu erreichen und auch Sicherheitsaspekte zu berücksichtigen. Informationen, die die Funktionsfähigkeit oder den Datenschutz des Systems gefährden können, sind besonders schützenswert und dürfen daher nicht der Öffentlichkeit zugänglich sein. Das Gesetz verlangt in diesem Zusammenhang die Erstellung einer Verfahrensbeschreibung nach 8 Bremisches Datenschutzgesetz (BremDSG) sowie die Festlegung der technischen und organisatorischen Maßnahmen nach 7 BremDSG. Die nachfolgende Orientierungshilfe enthält Vorschläge, wie und in welcher Form diesen verschiedenen Zielen entsprochen werden kann. Verfahrensbeschreibung nach 8 BremDSG Jede öffentliche Stelle ist verpflichtet, in einer Beschreibung für jedes automatisierte Verfahren, mit dem personenbezogene Daten verarbeitet werden, die dem Gesetz zu entnehmenden Festlegungen zu treffen. Das Gesetz verlangt dabei, dass die Beschreibungen ständig auf dem neuesten Stand zu halten sind ( 8 Absatz 2 BremDSG) und dass dem behördlichen Datenschutzbeauftragten die Verfahrensbeschreibung und eine Darstellung der Zugriffsberechtigungen unverzüglich, jedenfalls aber vor der Einführung oder vor wesentlichen Änderungen eines Verfahrens zu übersenden sind ( 8 Absatz 3 BremDSG). Die Verfahrensbeschreibung dient unter anderem folgenden Zwecken: der Einsichtnahme durch jedermann auf Anfrage als Grundlage zur Durchführung der (Vorab-)Kontrolle durch den behördlichen Datenschutzbeauftragten der klaren Festlegung der technischen Komponenten und ihrer Umgebung der genauen Bestimmung der personenbezogenen Datenverarbeitung in allen Phasen der Beschreibung der Zugriffsberechtigten und ihrer Rechte der Transparenz und Nachprüfbarkeit der personenbezogenen Datenverarbeitung. Der 8 Absatz 3 Satz 2 BremDSG sieht vor, dass Verfahrensbeschreibungen von jedermann bei der verantwortlichen Stelle eingesehen werden können. Kritisch können hier insbesondere die nach 7 getroffenen technischen und organisatorischen Maßnahmen sein, soweit sie sicherheitsrelevante Informationen enthalten. Die Verfahrensbeschreibung selbst sollte daher lediglich für das Verfahren grundsätzliche und allgemeine Beschreibungen auf abstraktem Niveau enthalten. Dabei ist darauf zu achten, dass diese allgemeinverständlich sind, sodass sie bei Einsichtnahme vom Bürger verstanden werden können. Eine detaillierte Beschreibung über die konkrete Implementierung sowie die getroffenen technischen und organisatorischen Maßnahmen nach 7 BremDSG soll getrennt von der öffentlich einsehbaren Verfahrensbeschreibung aufbewahrt werden. Gesetzestext: 8 BremDSG Verfahrensbeschreibung und Meldepflicht (1) Die verantwortliche Stelle ist verpflichtet, in einer Beschreibung für jedes automatisierte Verfahren, mit dem personenbezogene Daten verarbeitet werden, festzulegen: 1. Name und Anschrift der verantwortlichen Stelle, 2. die Bezeichnung des Verfahrens und die Zweckbestimmung der Verarbeitung, 3. die Art der verarbeiteten Daten sowie die Rechtsgrundlage ihrer Verarbeitung, version 1.1. - 24.06.2010.doc 1 von 5

4. den Kreis der Betroffenen, 5. die Empfänger oder den Kreis von Empfängern, denen Daten mitgeteilt werden können, 6. Fristen für das Sperren und Löschen der Daten, 7. die technischen und organisatorischen Maßnahmen nach 7, 8. eine geplante Datenübermittlung in Staaten außerhalb der Europäischen Union. Die verantwortliche Stelle kann die Angaben nach Satz 1 für mehrere gleichartige Verfahren in einer Verfahrensbeschreibung zusammenfassen. (2) Die Beschreibung nach Absatz 1 ist laufend auf dem neuesten Stand zu halten. (3) Die Verfahrensbeschreibung und eine Darstellung der Zugriffsberechtigungen sind dem behördlichen Datenschutzbeauftragten unverzüglich, jedenfalls aber vor der Einführung oder wesentlichen Änderung eines Verfahrens zu übersenden. Die Verfahrensbeschreibungen können bei den verantwortlichen Stellen von jedermann eingesehen werden. Das Einsichtsrecht ist ausgeschlossen, wenn durch die Einsichtnahme die öffentliche Sicherheit gefährdet oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereitet würden. Die technischen und organisatorischen Maßnahmen (TOMs) nach 7 BremDSG Der 7 Absatz 3 BremDSG legt detailliert die von den öffentlichen Stellen und den von ihnen beauftragten Stellen zu treffenden Maßnahmen fest. Das Bremische Datenschutzgesetz beschreibt im 7 Absatz 4 Ziffer 1 bis 8 BremDSG die Anforderungen an die Gestaltung der Systemsicherheit, die mit den zu ergreifenden technischen und organisatorischen Maßnahmen erfüllt sein müssen. Vorrangige Schutzziele sind unter anderen Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität. Dazu müssen angemessene technische und organisatorische Maßnahmen entsprechend 7 Absatz 4 Punkt 1 bis 8 BremDSG getroffen werden. Diese sind im Gesamtzusammenhang und in ihrer gegenseitigen Wechselwirkung im Rahmen einer Sicherheitsarchitektur darzustellen. Bei kleineren Organisationseinheiten und einer geringen Anzahl von eingesetzten Verfahren bietet sich die Erstellung eines Gesamtdatenschutzkonzeptes an. Bei größeren Organisationseinheiten und einer großen Anzahl von verschiedenen und ggf. zentral gesteuerten Verfahren bietet sich eine Aufteilung in ein Rahmendatenschutzkonzept und in Fachdatenschutzkonzepte an. Rahmendatenschutzkonzept, Fachdatenschutzkonzept und Gesamtdatenschutzkonzept sind aufgrund detaillierter sicherheitsrelevanter Informationen nicht öffentlich einsehbar. Einsicht besteht nur in die öffentliche Verfahrensbeschreibung. Dies gilt grundsätzlich auch nach den Regelungen im Informationsfreiheitsgesetz. Gesetzestext: 7 BremDSG Datenvermeidung, Vorabkontrolle, technische und organisatorische Maßnahmen (1) Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten. Insbesondere ist von den Möglichkeiten der Anonymisierung und der Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. (2) Vor der Entscheidung über die Einführung oder die wesentliche Änderung eines automatisierten Verfahrens, mit dem personenbezogene Daten verarbeitet werden sollen, haben die verantwortlichen Stellen zu untersuchen, ob und in welchem Umfang mit der Nutzung dieses Verfahrens Gefahren für die Rechte der Betroffenen verbunden sind. Die zu treffenden technischen und organisatorischen Maßnahmen sind zu dokumentieren. Das Ergebnis der Untersuchung ist dem behördlichen Datenschutzbeauftragten zur Prüfung zuzuleiten (Vorabkontrolle). Der behördliche Datenschutzbeauftragte hat sich in Zweifelsfällen an den Landesbeauftragten für den Datenschutz zu wenden. (3) Die verantwortlichen Stellen und ihre auftragnehmenden Stellen haben die technischen und organisatorischen Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten erforderlich sind, um eine den Vorschriften dieses Gesetzes entsprechende Verarbeitung zu gewährleisten. Erforderlich sind Maßnahmen, soweit der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Nach Maßgabe des Satzes 2 sind die Maßnahmen dem jeweiligen Stand der Technik anzupassen. (4) Werden personenbezogene Daten automatisiert verarbeitet, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere technische und organisatorische Maßnahmen zu treffen, die geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, der Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtung zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. version 1.1. - 24.06.2010.doc 2 von 5

Beispiel: Während in der Verfahrensbeschreibung zur Zugriffskontrolle auf abstraktem Niveau formuliert wird, dass über eine differenzierte Rechtevergabe gewährleistet ist, dass nur berechtigte Personen an für sie zu bearbeitende Daten gelangen, wird im Fachdatenschutzkonzept das Beantragungs- und Genehmigungsverfahren zur Erlangung von Berechtigungen, die technische Umsetzung (zum Beispiel Rollen, Profile), die Art der Implementierung (zum Beispiel auf Anwendungs- oder auf Datenbankebene) sowie das Berechtigungskonzept selbst in seiner Ausprägung dargestellt. Der im Anhang befindliche Punktekatalog bietet einige Beschreibungen, die beispielhaft verdeutlichen, was inhaltlich jeweils mit den Maßnahmen gemeint sein kann. Eine differenzierte Betrachtung der einzelnen Fachverfahren und geeignete Umsetzung der Anforderungen aus dem 7 BremDSG ist aber dennoch in jedem Fall erforderlich. Eine vollständige Auflistung von möglichen Maßnahmen kann an dieser Stelle nicht erfolgen, da sie in Abhängigkeit von den eingesetzten Informations- und Kommunikationstechnologien sehr unterschiedlich sein können. Außerdem lassen sich einige Technologien nicht eindeutig einem Schutzziel zuordnen, da sie mehrere Aufgaben erfüllen können. Rahmendatenschutzkonzept der TOMs Das Gesetz bietet die Möglichkeit, dass die verantwortliche Stelle die Angaben nach 8 Absatz 1 Satz 1 BremDSG für mehrere gleichartige Verfahren in einer Verfahrensbeschreibung zusammenfassen kann. Das gleiche gilt natürlich auch für die TOMs nach 7 BremDSG: Diese Zusammenfassung kann allerdings nur für bestimmte Schutzziele erfolgen, die bezogen auf eine Dienststelle oder Behörde für alle Verfahrensbeschreibungen auf technischer Ebene bei der Verwendung gleicher Sicherheitsmechanismen identisch sind. Diese Maßnahmen lassen sich in einem übergreifenden Dokument für die betreffende Behörde bzw. Dienststelle (Organisationseinheit) zusammenfassen. Dieses Dokument wird als Rahmendatenschutzkonzept bezeichnet. Inhaltlich können die Zutrittskontrolle, die Zugangskontrolle, die Verfügbarkeitskontrolle sowie die Netzinfrastruktur und Netzsicherung und hier insbesondere die eingesetzten Sicherheitskomponenten als Teil der Weitergabekontrolle zur Beschreibung im Rahmendatenschutzkonzept in Frage kommen. Ebenso sollten dort auch allgemeine organisatorische Maßnahmen (Verpflichtung nach dem Bremischen Datenschutzgesetz, Schulungsmaßnahmen der Mitarbeiter zum Thema Datenschutz, Dienstanweisungen und so weiter) aufgeführt werden. Das Rahmendatenschutzkonzept ist immer durch die Fachdatenschutzkonzepte für die angewandten Fachverfahren zu ergänzen. Fachdatenschutzkonzept der TOMs Das Fachdatenschutzkonzept enthält alle Maßnahmen, die sich speziell auf die Anwendung beziehen (zum Beispiel Regelungen der Zugriffe über ein Berechtigungskonzept). Unter Anwendung kann sowohl ein konkretes Softwareprodukt / Programm wie aber auch ein Prozess mit mehreren Funktionen verstanden werden. Gesamtdatenschutzkonzept der TOMs Sofern eine Zusammenfassung der Maßnahmen mit allgemeinem und übergreifendem Charakter nicht notwendig ist (zum Beispiel weil in der entsprechenden Organisationseinheit nur eine einzige Anwendung zum Einsatz kommt), werden alle notwendigen Maßnahmen in einem einzigen nicht öffentlichen Gesamtdatenschutzkonzept zusammengefasst. Die nachfolgende Grafik enthält alle Elemente, die ein Datenschutzkonzept enthalten soll. Es beschreibt die öffentlich zugängliche Verfahrensbeschreibung und die nicht öffentlich zu machenden detaillierten Angaben zu den TOMs. version 1.1. - 24.06.2010.doc 3 von 5

version 1.1. - 24.06.2010.doc 4 von 5

Punktekatalog Zutrittskontrolle Als Maßnahmen zur Zutrittskontrolle können zur Gebäude- und Raumsicherung unter anderem automatische Zutrittskontrollsysteme, Einsatz von Chipkarten und Transponder, Kontrolle des Zutritts durch Pförtnerdienste und Alarmanlagen eingesetzt werden. Server, Telekommunikationsanlagen, Netzwerktechnik und ähnliche Anlagen sind in verschließbaren Serverschränken zu schützen. Darüber hinaus ist es sinnvoll, die Zutrittskontrolle auch durch organisatorische Maßnahmen (zum Beipiel Dienstanweisung, die das Verschließen der Diensträume bei Abwesenheit vorsieht) zu stützen. Zugangskontrolle Mit Zugangskontrolle ist die Verhinderung der Nutzung von Anlagen gemeint. Möglichkeiten sind beispielsweise Bootpasswort, Benutzerkennung mit Passwort für Betriebssysteme und eingesetzte Softwareprodukte, Bildschirmschoner mit Passwort, der Einsatz von Chipkarten zur Anmeldung wie auch der Einsatz von Call- Back-Verfahren. Darüber hinaus können auch organisatorische Maßnahmen notwendig sein, um beispielsweise eine unbefugte Einsichtnahme zu verhindern (zum Beispiel Vorgaben zur Aufstellung von Bildschirmen, Herausgabe von Orientierungshilfen für die Anwender zur Wahl eines guten Passworts). Zugriffskontrolle Die Zugriffskontrolle kann unter anderem gewährleistet werden durch geeignete Berechtigungskonzepte, die eine differenzierte Steuerung des Zugriffs auf Daten ermöglichen. Dabei gilt, sowohl eine Differenzierung auf den Inhalt der Daten vorzunehmen als auch auf die möglichen Zugriffsfunktionen auf die Daten. Weiterhin sind geeignete Kontrollmechanismen und Verantwortlichkeiten zu definieren, um die Vergabe und den Entzug der Berechtigungen zu dokumentieren und auf einem aktuellen Stand zu halten (zum Beispiel bei Einstellung, Wechsel des Arbeitsplatzes, Beendigung des Arbeitsverhältnisses). Besondere Aufmerksamkeit ist immer auch auf die Rolle und Möglichkeiten der Administratoren zu richten. Weitergabekontrolle Zur Gewährleistung der Vertraulichkeit bei der elektronischen Datenübertragung können zum Beispiel Verschlüsselungstechniken und Virtual Private Network eingesetzt werden. Maßnahmen beim Datenträgertransport beziehungsweise Datenweitergabe sind Transportbehälter mit Schließvorrichtung und Regelungen für eine datenschutzgerechte Vernichtung von Datenträgern. Eingabekontrolle Eingabekontrolle wird durch Protokollierungen erreicht, die auf verschiedenen Ebenen (zum Beispiel Betriebssystem, Netzwerk, Firewall, Datenbank, Anwendung) stattfinden können. Dabei ist weiterhin zu klären, welche Daten protokolliert werden, wer Zugriff auf Protokolle hat, durch wen und bei welchem Anlass / Zeitpunkt diese kontrolliert werden, wie lange eine Aufbewahrung erforderlich ist und wann eine Löschung der Protokolle stattfindet. Auftragskontrolle Sofern personenbezogene Daten im Auftrag verarbeitet werden, richtet sich diese nach 9 BremDSG. Unter diesen Punkt fällt neben der Datenverarbeitung im Auftrag auch die Durchführung von Wartung und Systembetreuungsarbeiten sowohl vor Ort als auch per Fernwartung. Verfügbarkeitskontrolle Hier geht es um Themen wie eine unterbrechungsfreie Stromversorgung, Klimaanlagen, Brandschutz, Datensicherungen, sichere Aufbewahrung von Datenträgern, Virenschutz, Raidsysteme, Plattenspiegelungen und so weiter. Trennungsgebot Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dieses kann durch logische und physikalische Trennung der Daten gewährleistet werden. version 1.1. - 24.06.2010.doc 5 von 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback