Landesbeauftragter für den Datenschutz Niedersachsen



Ähnliche Dokumente
Fremd- und Fernwartung

Landesbeauftragter für den Datenschutz Niedersachsen

Vernichtung von Datenträgern mit personenbezogenen Daten

Datenschutz und Schule

Der interne Datenschutzbeauftragte - ein Praxisbericht

Anlage zur Auftragsdatenverarbeitung

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Drei Fragen zum Datenschutz im. Nico Reiners

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Orientierungshilfe und Checkliste

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Nutzung dieser Internetseite

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Neues vom DFN-MailSupport. Andrea Wardzichowski, DFN Stuttgart 63. DFN-Betriebstagung 27./ , Berlin

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten

Verpflichtung auf das Datengeheimnis

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

Schriftwechsel mit Behörden Ratgeber zum Datenschutz 1

Welche Vorteile bietet die Anmeldung eines Kindes mit dem kita finder+?

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Das digitale Klassenund Notizbuch

Kirchlicher Datenschutz

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

- durch die Pax-Familienfürsorge Krankenversicherung AG im Raum der Kirchen selbst (unter 2.1.),

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Datenschutzbeauftragte

Komitee für Zukunftstechnologien. Teilnahmeerklärung

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Vereinbarung Auftrag gemäß 11 BDSG

Befragung zum Migrationshintergrund

Antrag'auf'Hilfeleistungen'aus'dem'Fonds'Sexueller'' Missbrauch'im'familiären'Bereich' '' A)'Zweck'des'Fonds'Sexueller'Missbrauch'

Der Jazz Veranstaltungskalender für Deutschland, Österreich und die Schweiz

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015

Datenschutz im Alters- und Pflegeheim

61a - 61h Unterabschnitt 1 Erfassung und Übermittlung von Antragsdaten zur Herstellung von Dokumenten

Erläuterungen zum Abschluss der Datenschutzvereinbarung

SCHUTZBEDARFSKATEGORIEN

Bestandskauf und Datenschutz?

Privatinsolvenz anmelden oder vielleicht sogar vermeiden. Tipps und Hinweise für die Anmeldung der Privatinsolvenz

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Aufbewahrung von erweiterten Führungszeugnissen. Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Anleitung über den Umgang mit Schildern

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Das Datenschutzregister der Max-Planck-Gesellschaft

HANDBUCH PHOENIX II - DOKUMENTENVERWALTUNG

Elektrische Anlagen und Betriebsmittel

IHR PATIENTENDOSSIER IHRE RECHTE

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Ihre Informationen zum neuen Energieausweis.

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Der Schutz von Patientendaten

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Mitteilung. Vom 6. April 1995 (ABl S. A 68)

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

BUNDESGERICHTSHOF BESCHLUSS. vom. 17. Oktober in der Patentnichtigkeitssache

Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH)

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Landesbeauftragter für den Datenschutz Niedersachsen

Beispielfragen L4(3) Systemauditor nach AS/EN9100 (1st,2nd party)

2) Geben Sie in der Anmeldemaske Ihren Zugangsnamen und Ihr Passwort ein

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Kurzanleitung fu r Clubbeauftragte zur Pflege der Mitgliederdaten im Mitgliederbereich

Datenschutz - Ein Grundrecht

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz

juris Das Rechtsportal Vorschrift Quelle:

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

Datenschutz und -Sicherheit. Gesetzeskonformer. Datenschutz schützt nicht nur Ihre Gäste, sondern auch Sie.

Meine Daten. Mein Recht

Verarbeitung von ZV-Dateien im Internetbanking. Inhalt. 1. Datei einlesen Datei anzeigen, ändern, löschen Auftrag ausführen...

Copyright 1997 Kammer der Wirtschaftstreuhänder All rights reserved

Fragebogen zur Erhebung der Zufriedenheit und Kooperation der Ausbildungsbetriebe mit unserer Schule

Kinderhaus Westendstraße Westendstr. 8 a Bad Aibling Tel.: 08061/5839 (Hort/Leitung) 08061/3126 (Kindergarten)

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

Verfahrensverzeichnis

6 Informationsermittlung und Gefährdungsbeurteilung

Datenübernahme und Datensicherheit

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

Hilfedatei der Oden$-Börse Stand Juni 2014

Datenverarbeitung im Auftrag

1 Abs. 1 a Satz 2 Nr. 1 a KWG definiert die Anlageberatung als die

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Allgemeine Geschäftsbedingungen der Witteborn Videoproduktion

Hinweise in Leichter Sprache zum Vertrag über das Betreute Wohnen

Anmeldung für ein Ehrenamt in der Flüchtlingsbetreuung

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

Datenschutz-Politik der MS Direct AG

Transkript:

Systembetreuung, Wartung und Fernwartung Orientierungshilfe und Checkliste Landesbeauftragter für den Datenschutz Niedersachsen

Vorbemerkung Landesbeauftragter für den Datenschutz Niedersachsen Die Abhängigkeit von einer funktionierenden Datenverarbeitung ist in vielen Branchen der Wirtschaft und der Verwaltung bereits so groß, dass der kurzfristige Ausfall der Datenverarbeitung existenzbedrohend sein kann. Dieses Risiko sowie zunehmende Systemkomplexität und verteilte Systemarchitekturen führen dazu, dass immer mehr Anwender ihre Systeme nicht mehr selbst warten. Als Folge davon werden Verträge für Wartungsarbeiten und Systembetreuung durch externe Personen oder Stellen abgeschlossen häufig mit dem Unternehmen, das das eingesetzte Verfahren entwickelt und vertrieben hat. Bei Wartung und Systembetreuung wird unterschieden: Arbeiten vor Ort Der Wartungstechniker oder externe Systembetreuer führt seine Arbeiten unmittelbar an den Datenverarbeitungsanlagen vor Ort durch. Wartungsarbeiten und Systembetreuung außer Haus Die Datenverarbeitungsanlagen werden für Wartungsarbeiten oder Systembetreuungsaufgaben außer Haus gegeben (z.b. Konfiguration, Aufspielen von Softwareprodukten). Fernwartung Wartungstechniker bzw. Systembetreuer sind über Kommunikationsnetze (z.b. das öffentliche Telefonnetz oder per Satellit) an den zu wartenden Rechner angeschlossen. Mit Programmen zur Fernwartung lassen sich Rechner auch fernsteuern. Schaltet sich der Wartungstechniker in eine Station ein, wird dort über das vorgehaltene Programm die Verbindung hergestellt. Dabei besteht für ihn die Möglichkeit, den Bildschirminhalt des entfernten Rechners einzusehen sowie Datensammlungen zu lesen und zu verändern. Auch ein Dateitransfer läßt sich durchführen. Mit Programmen zur Fernanalyse können Informationen über die Netzwerkauslastung und aktivitäten ausgewertet werden. Durch externe Wartung und Systembetreuung verliert die datenverarbeitende Stelle sehr schnell das notwendige Fachwissen über das eingesetzte technische System. Sie ist bald nicht mehr in der Lage, die Tätigkeit des externen Wartungspersonals im einzelnen nachzuvollziehen. Viele Institutionen machen sich über diese Risiken der externen Wartung keine Gedanken. Datenschutz Die datenverarbeitenden Stellen tragen für externe Wartungs- und Systembetreuungsarbeiten die datenschutzrechtliche Verantwortung. Für Stellen der Wirtschaft ist das Bundesdatenschutzgesetz (BDSG) und für öffentliche Stellen des Landes Niedersachsen das Niedersächsische Datenschutzgesetz (NDSG) anzuwenden. Die Wartung und die Systembetreuung unterliegen dabei den Regelungen der Datenverarbeitung im Auftrag ( 11 BDSG bzw. 6 NDSG). Folgende Datenschutzpflichten sind besonders hervorzuheben: Wartung der Datenverarbeitungsanlagen durch externe Personen oder Stellen sollte nur dann gewählt werden, wenn eine eigene Wartung nur eingeschränkt oder gar nicht möglich ist. Externe Personen oder Stellen, die mit der Wartung oder Systembetreuung von Einrichtungen zur automatisierten Datenverarbeitung betraut sind, haben nach den Weisungen des Auftraggebers zu arbeiten. Der Auftraggeber hat vor Beginn der Arbeiten sicherzustellen, dass der Auftragnehmer personenbezogene Daten nur zur Kenntnis nehmen kann, soweit dies unvermeidbar ist. Ziel muß es sein, den Zugriff auf personenbezogene Daten auszuschließen. Hiervon darf nur abgewichen werden, wenn der Zugriff auf personenbezogene Daten im konkreten Einzelfall unerläßlich ist. (Titel) Stand: 2

Liegt eine Fernwartung durch ausländische Stellen vor, ist sicherzustellen, dass die jeweiligen Regelungen über die Übermittlung von personenbezogenen Daten an Stellen außerhalb der Bundesrepublik Deutschland ( 14 NDSG) angewendet werden. Die Auftragnehmer haben die technischen und organisatorischen Maßnahmen nach 9 BDSG bzw. 7 NDSG zu treffen, die erforderlich sind, um eine datenschutzgerechte Verarbeitung personenbezogener Daten sicherzustellen. Allgemeine Sicherungsziele sind: Gewährleistung der Vertraulichkeit der Daten, Sicherstellung der Integrität der Daten, Gewährleistung der Authentizität der Daten, Gewährleistung der Authentifikation von Benutzern, Gewährleistung der sicheren Zustellung, Sicherstellung der Verfügbarkeit, Sicherstellung der Revisionsfähigkeit. Gefahren- und Risikoanalyse Wartung und Systembetreuung durch externe Personen oder Stellen schafft Gefahren und Risiken für die erklärten Sicherungsziele. Konkrete Gefahren sind z.b. Für die Wartung wird ein weiterer Zugang zum Rechner geschaffen, über den sich Personen mit umfassenden Rechten anmelden können oder der als Zugang für Hacker missbraucht wird. Die datenverarbeitende Stelle kann bei der Fernwartung nur begrenzt kontrollieren, welche Person tatsächlich die Wartung vornimmt, welche Daten übertragen werden und welche Sicherungsmaßnahmen beim Auftragnehmer getroffen worden sind. Das Wartungspersonal kann künftig auf den gesamten Datenbestand zugreifen. Der Datenverkehr zwischen Rechner und Wartungsfirma kann abgehört werden. Auftraggeber haben grundsätzlich vor der Entscheidung, ob Wartungsarbeiten und Systembetreuung durch externe Personen oder Stellen durchgeführt werden, zu prüfen, ob und in welchem Umfang wegen der Art der zu verarbeitenden Daten oder der Verwendung neuer Technologien Gefahren für die Rechte der Betroffenen verbunden sind (Art. 20 EG-Datenschutzrichtlinie bzw. 7 Abs. 3 NDSG). Eine Beauftragung darf nur erfolgen, soweit derartige Gefahren durch technische oder organisatorische Maßnahmen wirksam beherrscht werden können. 1 Technische und organisatorische Maßnahmen Eine ausreichend sichere Form der Wartung und Systembetreuung durch externe Personen oder Stellen wird dann erreicht, wenn die getroffenen technischen und organisatorischen Maßnahmen in ihrer Gesamtheit einen ausreichenden Schutz bieten. Art und Umfang der notwendigen Sicherungsmaßnahmen richten sich nach der Sensibilität der verarbeiteten Daten (siehe Anlage 1 Schutzstufenkonzept) und nach der technischen Anbindung. Wird eine dieser Maßnahmen vernachlässigt, ist eine sichere Fernwartung nicht möglich. Weitere Anregungen zur datenschutzgerechten Ausgestaltung der Wartung und der Systemverwaltung finden Sie unter der Internetadresse www.lfd.niedersachsen.de (z.b. datenschutzrelevante Rechtsvorschriften, Empfehlungen, Orientierungshilfen, Checklisten sowie sonstige Materialien). Darüber hinaus bietet auch das IT-Grundschutzhandbuch 2 wertvolle Hilfen. 1 Orientierungshilfe für Technikfolgenabschätzungen 2 Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grunschutzhandbuch, 1998 (Titel) Stand: 3

Kann die Wartung und Systembetreuung durch externe Personen oder Stellen nicht ausreichend durch technische und organisatorische Maßnahmen gesichert werden, muß auf die Wartung mit personenbezogenen Daten verzichtet werden. Handlungsempfehlungen Diese Orientierungshilfe analysiert Gefahren und Risiken und gibt konkrete Empfehlungen für technische und organisatorische Sicherungsmaßnahmen. Die Orientierungshilfe will Geschäfts- und Behördenleitung, Personalleitung und Personalvertretung, Systembetreuer, Datenschutzbeauftragter sowie Organisations- und DV-Leitung in die Lage versetzen, ihr Konzept für eine datenschutzgerechte Wartung und Systembetreuung durch externe Personen oder Stellen zu entwickeln bzw. bestehende Lösungen zu überprüfen. Checkliste Die folgende Checkliste konzentriert sich auf die Gesichtspunkte des technisch-organisatorischen Datenschutzes. Die Checkliste unterteilt folgende Bereiche: Allgemeine Anforderungen Wartung und Systembetreuung vor Ort, Wartung und Systembetreuung außer Haus sowie Fernwartung. Zur Beantwortung der Checklisten-Fragen wird es in der Regel ausreichen, jeweils anzukreuzen Erfüllt Nicht erfüllt Trifft nicht zu Diese Basisantworten können im Bedarfsfall durch kurze Erläuterungen in dem Feld Bemerkung ergänzt werden. Auf diese Weise liegt nach Durcharbeiten der Checkliste eine übersichtliche Aufstellung der noch zu treffenden Maßnahmen vor. Eine beantwortete Checkliste deckt möglicherweise vorhandene Sicherheitslücken des Systems auf. Daher ist die ausgefüllte Checkliste bis zur vollständigen Beseitigung dieser Mängel entsprechend vertraulich zu behandeln! (Titel) Stand: 4

Datenschutz bei externer Wartung und Systembetreuung Informationen und Unterlagen Welche Firmen führen Wartungsarbeiten durch: Bemerkungen Wartungsvertrag vom: (ggf. als Anlage beifügen) Um welche Art von Wartung handelt es sich: Arbeiten vor Ort Wartungsarbeiten und Systembetreuung außer Ort Fernwartung In welchem Umfang wird die Wartung durchgeführt: Gelegentlich bei Bedarf Regelmäßig Wartungspersonal ist ständig vor Ort Klassifizierung der Schutzstufe Begründung der Einstufung (Extrablatt) Stufe A Stufe B Stufe C Stufe D Stufe E Erläuterung: Die einzelnen Anforderungen sind nach dem Schutzstufenkonzept gestaffelt aufgeführt. Die Grundschutzforderungen unter der Schutzstufe A B sind immer anzuwenden. Die unter den Schutzstufen C, D oder E aufgeführten Anforderungen kommen aufgrund der höheren Datenschutzsicherungsanforderung jeweils ergänzend hinzu. (Titel) Stand: 5

Allgemeine Anforderungen Daten der Schutzstufe A-B: Art und Umfang der Wartung sind schriftlich vereinbart. Erfüllt Nicht erfüllt Trifft nicht zu Bemerkung Das Wartungspersonal ist schriftlich auf das Datengeheimnis verpflichtet ( 5 BDSG) bzw. darüber belehrt worden ( 5 NDSG). Die Weitergabe der Daten, die dem Wartungspersonal übergeben wurden, an Dritte ist untersagt. Soweit möglich, sind personenbezogene Daten aus dem direkten Zugriff des Wartungspersonals entfernt worden. Die weitergegebenen Daten werden nach Abschluß der Wartungsarbeiten unverzüglich gelöscht. Der Auftraggeber überprüft regelmäßig die Einhaltung der vereinbarten Sicherheitsmaßnahmen. Nach Abschluß der Wartungsarbeiten wird ein Viren-Check durchgeführt. Die Wartungsarbeiten können jederzeit durch den Auftraggeber abgebrochen werden. Daten der Schutzstufe C: (Titel) Stand: 6

Allgemeine Anforderungen Sicherheitsmaßnahmen beim Auftragnehmer sind schriftlich vereinbart. Erfüllt Nicht erfüllt Trifft nicht zu Bemerkung Die Rechte und Pflichten zwischen Wartungspersonal und eigenem Personal werden im Einzelfall schriftlich festgelegt. Art und Umfang der einzelnen Wartungsarbeiten werden schriftlich festgehalten (Ergebnisse, Zeitpunkt, Name des Wartungstechnikers). Die speziellen Benutzerkennungen werden nur für unmittelbare Wartungsarbeiten freigegeben, ansonsten sind sie gesperrt. Die Freigabe erfolgt durch den Auftraggeber. Das Wartungspersonal hat nur die Zugriffsrechte, die für die Wartung erforderlich sind. Die Administratoren besitzten die notwendigen Fachkenntnisse, um die Tätigkeiten des Wartungspersonals nachzuvollziehen. Ein Fristenplan für regelmäßige Wartungsarbeiten liegt vor. Beginn und Ende der Wartungsarbeiten wird schriftlich festgelegt. Die dem Wartungstechniker eingeräumten Zutritts-, Zugangs- und Zugriffsrechte sind nach Abschluß der Arbeiten widerrufen bzw. gelöscht worden. Daten der Schutzstufe D: Der Kreis der Zugangs- und Zugriffsberechtigten ist schriftlich festgelegt. Daten der Schutzstufe E: Die Zuverlässigkeit des Wartungspersonals wird vom Auftraggeber überprüft (z.b. Führungszeugnis). Ggf. Zusatzfrage: (Titel) Stand: 7

Wartung und Systembetreuung vor Ort Daten der Schutzstufe A-B: Die Wartungstechniker weisen sich vor Beginn der Arbeiten aus. Erfüllt Nicht erfüllt Trifft nicht zu Bemerkung Die dem Wartungstechniker eingeräumten Zutritts-, Zugangs- und Zugriffsrechte sind auf das notwendige Minimum beschränkt. Daten der Schutzstufe C: Regelungenüber die Beaufsichtigung des Wartungspersonals liegen vor. Daten der Schutzstufe D: Eine fachkundige Kraft beaufsichtigt die Arbeiten. Der Wartungstechniker nimmt keine am DV- System benutzten Systemdatenträger ungelöscht mit. Ggf. Zusatzfrage: (Titel) Stand: 8

Externe Wartung und Systembetreuung außer Haus Daten der Schutzstufe A-B: Alle personenbezogenen Daten werden vor Beginn der Wartung gelöscht. Ausnahmen sind schriftlich begründet. Es werden Nachweise über den Versand geführt (Begleitzettel, Versandscheine, Empfangsbestätigung). Erfüllt Nicht erfüllt Trifft nicht zu Bemerkung Bei Rückgabe der Geräte wird die Vollständigkeit geprüft und dokumentiert. Alle Paßwörter der DV-Anlage oder Softwareprodukte werden nach Rückgabe der Geräte geändert. Daten der Schutzstufe C: Bei Versand werden verschlossene Behältnisse verwendet. Daten der Schutzstufe D: Der Transportweg und die am Transport beteiligten Personen sind schriftlich festgelegt. Alle Dateien oder Softwareprodukte sind nach Rückgabe auf Integrität geprüft. Ggf. Zusatzfrage: (Titel) Stand: 9

Fernwartung Daten der Schutzstufe A-B: Alle Fernwartungsaktivitäten werden protokolliert. Erfüllt Nicht erfüllt Trifft nicht zu Bemerkung Der Dialog mit der Fernwartungszentrale wird unterbrochen, wenn die Verbindung zur Fernwartungszentrale gestört ist ( Zwangslogout ). Dateien oder Programme werden von der Fernwartungstelle nur nach vorheriger Absprache angelegt. Bei Verwendung von analogen Wählverbindungen ist ein Call-Back-Verfahren realisiert. Beim Call-Back-Verfahren sind nur die Anschlußnummern einprogrammiert, die für die Wartung erforderlich sind. Daten der Schutzstufe C: Die Übertragung personenbezogener Daten auf leitungsgebundenen oder drahtlosen Übertragungswegen ist durch ein kryptografisches Verfahren gesichert. Fernwartungspaßwörter werden nur verschlüsselt übertragen (möglichst Challenge- Response-Verfahren). Der Ort, von wo aus die Fernwartung durchgeführt wird, ist schriftlich festgelegt. Daten der Schutzstufe E: Bei Verarbeitung von personenbezogenen Daten der Schutzstufe E wird keine Fernwartung durchgeführt. Ggf. Zusatzfrage: (Titel) Stand: 10

Anlage 1 Schutzstufenkonzept Klassifizierung schutzwürdiger Belange Personenbezogene Daten werden nach dem Grad möglicher Beeinträchtigung schutzwürdiger Belange bei Mißbrauch dieser Daten in 5 Schutzstufen untergliedert. Bei der Klassifizierung sind Datenfelder niemals einzeln zu bewerten. Die Betrachtung ist vielmehr auf die gesamte Datei, ggf. auf die gesamt DV-Anlage auszudehnen. Werden personenbezogene Daten unter einem Auswahlkriterium in eine Datei aufgenommen, das in der Datei nicht enthalten ist, so ist dieses Auswahlkriterium bei der Klassifizierung mit zu bewerten. Enthalten Dateien umfassende Angaben zu einer Person (Dossiers), so sind sie in eine höhere Schutzstufe einzuordnen, als dies nach den Einzeldaten erforderlich wäre. Es werden folgende Schutzstufen unterschieden: Stufe A: Stufe B: Stufe C: Stufe D: Stufe E: Frei zugängliche Daten, in die Einsicht gewährt wird, ohne dass der Einsichtnehmende ein berechtigtes Interesse geltend machen muß, z.b. Adreßbücher, Mitgliederverzeichnisse, Benutzerkataloge in Bibliotheken. Personenbezogene Daten, deren Mißbrauch zwar keine besondere Beeinträchtigung erwarten läßt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse des Einsichtnehmenden gebunden ist, z.b. beschränkt zugängliche öffentliche Dateien, Verteiler für Unterlagen. Personenbezogene Daten, deren Mißbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann ("Ansehen"), z.b. Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten. Personenbezogene Daten, deren Mißbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann ("Existenz"), z.b. Unterbringung in Anstalten, Straffälligkeit, Ordnungswidrigkeiten schwerwiegender Art, dienstliche Beurteilungen, psychologisch-medizinische Untersuchungsergebnisse, Schulden, Pfändungen, Konkurse. Daten, deren Mißbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann, z.b. Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können. Falls die Sensitivität nicht bekannt ist, ist von der höchsten Sensitivitätsstufe auszugehen. Denkbar ist auch, dass der Schutz empfindlicher Firmendaten ohne Personenbezug die Einstufung bestimmt. (Titel) Stand: 11

(Text) (Titel) Stand: 12

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback