P009_Anlage.xml (140026.fmt), Seite 1 von 20 Anlage zu 9 Satz 1 9 Anlage zu 9 Satz 1 1 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. 2 Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. 3 Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. A. Organisatorische Umsetzung der Regelungsinhalte der Anlage zu 9 Satz 1... 1 10 I. Allgemeines... 3 10 II. Organisationskontrolle... 3 10 B. Technische Umsetzung der Regelungsinhalte der Anlage zu 9 Satz 1... 11 79 I. Zutrittskontrolle... 14 24 1. Vergabe und Nutzung von Zutrittsberechtigungen... 17 20 2. Perimeterschutz... 21 23 3. Datenaufbewahrung... 24 II. Zugangskontrolle... 25 33 1. Login mit Benutzername und Passwort... 26 28 2. Fernzugriff... 29 30 3. Netzsicherheit... 31 32 4. Aktualität der IT-Systeme... 33 III. Zugriffskontrolle... 34 45 1. Rechte- und Rollenkonzept... 35 36 2. Applikations-Login... 37 39 3. Protokollierung... 40 4. Datenexport als Verarbeitung oder Nutzung... 41 5. Back-up... 42 6. Verschlüsselung... 43 7. Maßnahmen in sensiblen Bereichen (Closed Shop)... 44 45 IV. Weitergabekontrolle... 46 57 1. Arten der Übermittlungsmedien... 48 2. Technische Ausgestaltung... 49 56 3. Transport von Datenträgern... 57 V. Eingabekontrolle... 58 61 VI. Auftragskontrolle... 62 69 1. Weisungen... 63 64 2. Kontrolle der Weisungen... 65 66 3. Datenvernichtung... 67 69 VII. Verfügbarkeitskontrolle... 70 75 1. Serverraum/Rechenzentrum... 72 2. Patch-Management... 73 3. Datensicherung (Back-up)... 74 75 VIII. Trennungsgebot... 76 79 Saeugling/Herburger 289
P009_Anlage.xml (140026.fmt), Seite 2 von 20 9 Anlage zu 9 Satz 1 A. Organisatorische Umsetzung der Regelungsinhalte der Anlage zu 9 Satz 1 I. Allgemeines 1 2 In der Anlage zu 9 sind Maßnahmen benannt, die von Seiten der verantwortlichen Stelle umzusetzen sind, um die Einhaltung der Vorschriften dieses Gesetzes zu gewährleisten. Der Wortlaut des Einleitungssatzes beschränkt die Anwendbarkeit hierbei auf Daten, die automatisiert verarbeitet oder genutzt werden. Liest man diesen Einleitungssatz jedoch im Kontext des heute gültigen 9, so wird deutlich, dass selbstverständlich auch die Erhebung von personenbezogenen Daten vom Regelungsgehalt dieser Gesetzesnorm erfasst wird. 1 Von einer automatisierten (Erhebung,) Verarbeitung und Nutzung ist hierbei immer dann auszugehen, wenn die wesentlichen Schritte der (Erhebung), Verarbeitung und Nutzung durch ein IT-System erfolgen. 2 Die Kataloganforderungen selbst haben sich seit ihrem erstmaligen Bestehen nur geringfügig verändert und stellen das Mindestmaß an Anforderungen dar, hinsichtlich derer eine verantwortliche Stelle erforderliche Maßnahmen zu treffen hat. Diese Kataloganforderungen sind nicht abschließend konzipiert, was durch die Verwendung des Wortes insbesondere zum Ausdruck gebracht wird. 3 Welche Maßnahmen aus Sicht der verantwortlichen Stelle erforderlich sind, liegt wie gezeigt nach einer eigenständig zu treffenden Risikoanalyse und Verhältnismäßigkeitsprüfung dem Grunde nach im (nicht ganz) eigenen Ermessen der Organisation. Sie hat sich an den gesetzlichen Katalogforderungen zu orientieren, auch wenn diese aus heutiger Sicht nicht mehr zeitgemäß erscheinen. Alle Bestimmungsversuche aller angemessenen organisatorischen und technischen Maßnahmen (nachfolgend TOM genannt) sollten dennoch hierin ihren Anfang finden.! Aus dem Umstand, dass Satz 2 nun mehr von geeigneten Maßnahmen und nicht mehr von erforderlichen Maßnahmen spricht, ergeben sich für die Risikoanalyse und die Verhältnismäßigkeitsprüfung keine abweichenden Vorgaben. Gemeint sind letztlich auch an dieser Stelle des Gesetzestextes die erforderlichen Maßnahmen. 4 II. Organisationskontrolle 3 4 Verantwortliche Stellen und deren Datenschützern ist die Anlage zu 9 oftmals nur als das Regelwerk der acht Gebote bekannt. Dass die Anlage ein vorgelagertes weiteres Gebot enthält, überrascht die handelnden Personen auch heute noch viel zu oft. Die alte Fassung des BDSG sah die Organisationskontrolle noch als eigenständigen Kontrollpunkt vor. Diese als Kernbereich aller Bemühungen verstandene Anforderung wurde im Laufe der Jahre dem Katalog der acht Gebote vorangestellt und strahlt heute zumindest mittelbar auf alle anderweitigen Gebote aus. 5 Damit wollte der Gesetzgeber deutlich machen, dass die Etablierung einer sachgerechten Organisation samt deren Strukturen und Prozesse die eigentliche Grundvoraussetzung ist, um jeder der anderweitig genannten Kataloganforderungen überhaupt entsprechen zu können. Nicht zuletzt aus 1 Däubler/Klebe/Wedde/Weichert/Wedde, 9 Rn. 35, Simitis/Ernestus, 9 Rn. 17, 59. 2 So auch Simitis/Ernestus, 9 Rn. 59. 3 Simitis/Ernestus, 9 Rn. 17, Däubler/Klebe/Wedde/Weichert/Wedde, 9 Rn. 29. 4 So auch Simitis/Ernestus, 9 Rn. 54. 5 Taeger/Gabel/Schultze-Melling, 9Rn39f. 290 Saeugling/Herburger
P009_Anlage.xml (140026.fmt), Seite 3 von 20 Anlage zu 9 Satz 1 9 diesem Grund muss dieser zentrale Stellenwert zurück in die Wahrnehmung einer jeden verantwortlichen Stelle, um in jeder Organisation strukturell und prozessual Anwendung zu finden. Die geforderten Maßnahmen sind sowohl inhaltlich wie auch bereichsspezifisch überaus weitgehend und verlangen eine Organisationsausgestaltung, die den besonderen Anforderungen des Datenschutzes und der Datensicherheit gerecht wird. 6 1. Unter derart organisatorischen Maßnahmen 7 sind im Bereich der allgemeinen Prozesssteuerung insbesondere zu nennen: a) die Etablierung eines PDCA-Prozesses (Plan, Do, Check, Act), um auf Veränderungen, Entwicklungen und Schwachstellen routinemäßig reagieren zu können; b) die Einführung eines Kontinuierlichen Verbesserungsprozesses (KVP). Ein Datenschutzbeauftragter sollte unbefristet bestellt sein und über eigene Budgetmittel verfügen können. Weitere gängige organisatorische Maßnahmen sind die Ausbildung von Datenschutzkoordinatoren, die neben dem Datenschutzbeauftragten die Einhaltung des Datenschutzes innerhalb einer verantwortlichen Stelle sicherstellen. Auch regelmäßige Schulungen der Mitarbeiter und die immer wiederkehrende Verpflichtung auf das Datengeheimnis fallen hierunter, um die Sensibilität für dieses Thema wach zu halten. 2. Als übliche organisatorische Maßnahmen im Bereich der IT haben sich heute durch alle Branchen etabliert: a) die Planung, Durchführung und Überprüfung von standardisierten Sicherheitsprozeduren; b) die Etablierung von Best Practice-Ansätzen und die Einführung von ITIL-Prozessen; c) die Durchführung regelmäßiger Penetrations-Tests der Datenverarbeitungsanlagen; d) die Entwicklung und Überprüfung von Business Continuity und Disaster Recovery-Maßnahmen; e) die Umsetzung einer Segregation of Duties (SoD); f) die Trennung von Entwicklungsnetzen von den Produktivnetzen. 3. Auch in den Rechtsabteilungen einer Organisation können organisatorische Maßnahmen umgesetzt werden, die auf die Einhaltung des Datenschutzes hinwirken. Hierzu zählt nicht nur die sachgerechte vertragliche Ausgestaltung von Übermittlungs- und Auftragsdatenverarbeitungsvereinbarungen, sondern vor allem die fortlaufende rechtliche Projektbetreuung einer strukturierten Projekt-/Systemeinführung und die dazugehörende datenschutzrechtliche Abnahme vor den jeweiligen Go-live-Terminen. Auch die Erstellung von allgemeinen Richtlinien und Handlungsanweisungen sowie die Etablierung unternehmensweiter Vorgaben für Lösch- und Sperrfristen, die bereits beim Ausschreibungsprozess Beachtung finden müssen, sind zu nennen. 4. In gleicher Weise sind zentrale Bausteine einer sachgerechten Organisation die Pflege der Internen Verarbeitungsübersicht, die Etablierung eines Meldeprozesses und Ausgestaltung von Verhaltensrichtlinien für erkannte/drohende Datenverluste gemäß 42a sowie regelmäßig angesetzte Selbstauditierungen einer Organisation. 5. Für viele ist jedoch der wichtigste organisatorische Grundsatz die strikte Funktionstrennung, die sich unter anderem dadurch auszeichnet, dass durch die Aufteilung eines Arbeitsprozesses in Einzelabschnitte verschiedener Organisationsbereiche sich die Möglichkeit eines Einzelnen reduziert, die Datenverarbeitung in ihrer Gesamtheit gesetzeswidrig zu beeinflussen. 8 5 6 7 8 9 10 6 Simitis/Ernestus, 9 Rn. 57. 7 Mit vielen ähnlichen und weiteren Beispielen Taeger/Gabel/Schultze-Melling, 9 Rn. 45 f., Bergmann/Möhrle/Herb, Anlage zu 9 Satz 1, S. 13 ff., 0. Organisationskontrolle. 8 Simitis/Ernestus, 9 Rn. 57. Saeugling/Herburger 291
P009_Anlage.xml (140026.fmt), Seite 4 von 20 9 Anlage zu 9 Satz 1! Diese Funktionstrennung wird in der Praxis auch gerne Vier (und Mehr-)augenprinzip genannt. Ähnliche Ansätze verfolgen auch die hinter dem Schlagwort Segregation of Duties (SoD) liegenden Prinzipien. B. Technische Umsetzung der Regelungsinhalte der Anlage zu 9 Satz 1 11 12 Die Umsetzung der in der Anlage benannten technisch-organisatorischen Maßnahmen hat sich in jeder Organisation am Stand der Technik (Best Practices) und dem individuellen Schutzbedürfnis des Einzelfalles zu orientieren. Sofern die Umsetzung von Maßnahmen nachfolgend als ein Muss bezeichnet wird, ergibt sich solch eine Anforderung nicht unmittelbar aus einer Gesetzesnorm, sondern aus dem Zusammenspiel der zugrunde liegenden Gesetzesnorm und dem sich aus dem aktuellen Stand der Technik ableitenden Erfordernis. Für die Umsetzung sind dabei anerkannte Standards von hohem Nutzen. Hierbei ist insbesondere zu denken an den frei zugänglichen BSI Grundschutz-Katalog des Bundesamtes für Sicherheit in der Informationstechnik (www.bsi.bund.de), die ISO/IEC 27001, die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) mit den in Anhang A beschriebenen Maßnahmenzielen und Maßnahmen sowie die ISO/IEC 27002 als ein vorschlagender Leitfaden für ein Informationssicherheits-Management (www.iso.org). Ferner kommt der Security Management-Prozess im Quasi-Standard ITIL (IT Infrastructure Library, www.itil.org) für das IT-Service-Management (ITSM) in Betracht, der auf der ISO/IEC 27001 aufbaut. 9 Sofern Organisationen den Umfang des BSI Grundschutzkataloges scheuen, empfehlen sich die Inhalte des speziellen Bausteines (B 1.5) Datenschutz des BSI Grundschutzkataloges (https:// www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutzkataloge/inhalt/_content/baust/b01/ b01005.html). Die Einführung eines ISMS in einer Organisation und die durch eine ggf. anschließende Zertifizierung nach ISO/IEC 27001 bestätigte Umsetzung des ISMS erhöht deutlich den Grad der Informationssicherheit sowie auch den richtigen Umgang mit Informationssicherheitsvorfällen in einer Organisation und kann damit einen Wettbewerbsvorteil darstellen. In allen Fällen aber bringt er eine Organisation in ihrer Gesamtheit sehr viel näher an eine angemessene Umsetzung des Datenschutzes und der Datensicherheit.! Die frei verfügbare Software verinice (www.verinice.org/download/) unterstützt das Management einer Organisation, den Umsetzungsgrad der eigenen Informationssicherheit zuverlässig und übersichtlich nachzuhalten. Es unterstützt eine Organisation ferner bei der gesamtheitlichen Herangehensweise, die für eine interne, flächendeckende Informationssicherheitspolitik unerlässlich ist. 13 TOM einer Organisation sind bestenfalls aufeinander abgestimmt und tief miteinander verzahnt. Eine isolierte Betrachtung einzelner Maßnahmen wird in der Regel zu keinem angemessenen Schutzniveau führen. Beispielsweise ist die berechtigte Weitergabe von personenbezogenen Daten, im Rahmen eines weisungsgebundenen Auftrags bei der Auftragsdatenverarbeitung nur möglich, wenn die Daten überhaupt verfügbar sind, ein Zugriff auf die Daten besteht, der Zugang zum verarbeitenden IT- System erfolgt ist, mit dem vorausgehendem Zutritt zu dem Raum, in dem sich das IT-System befin- 9 Verwendete Version des BSI Grundschutz-Katalogs: 13. Ergänzungslieferung, Stand 2013. 292 Saeugling/Herburger
Gierschmann Saeugling (Hrsg.) Unternehmen und Wirtschaft Datenschutz im Unternehmen verantwortungsvoll ausführen! Gierschmann Saeugling (Hrsg.) Systematischer Praxiskommentar Gierschmann Saeugling (Hrsg.) Unternehmen und Wirtschaft Systematischer Praxiskommentar Datenschutz aus Unternehmenssicht NEU! ISBN 978-3-8462-0035-3 2014, 1084 Seiten, 16,5 x 24,4 cm, Buch (Hardcover) SUBSKRIPTIONSPREIS 98,00 bis 4 Wochen nach Erscheinen, danach 118,00 Systematischer Praxiskommentar Datenschutz aus Unternehmenssicht Auch als E-Book (PDF), ISBN 978-3-8462-0060-5 PDF E-Book www.betrifft-unternehmen.de Jetzt versandkostenfrei (deutschlandweit) bestellen: Bestellung und Beratung: Tel. 02 21 / 9 76 68-291 Fax: 02 21/ 9 76 68-271 E-Mail: wirtschaft@bundesanzeiger.de
BESTELLSCHEIN shop.bundesanzeiger-verlag.de/0035-3 per Fax an 02 21/ 9 76 68-271 wirtschaft@bundesanzeiger.de im Fensterkuvert einsenden an: Telefonische Bestellung: 02 21/9 76 68-291 Datenschutz im Unternehmen verantwortungsvoll ausführen Unternehmen und Wirtschaft Bundesanzeiger Verlag Postfach 10 05 34 50445 Köln Gierschmann Saeugling (Hrsg.) Systematischer Praxiskommentar Datenschutz aus Unternehmenssicht Ja, hiermit bestelle ich... Expl. Systematischer Praxiskommentar Subskriptionspreis bis 4 Wochen nach Erscheinen... 98,00, danach... 118,00 Preise inkl. MwSt. und Versandkosten (deutschlandweit) PDF E-Book Als E-Book (PDF) bitte online unter shop.bundesanzeiger-verlag.de/0060-5 bestellen und downloaden Einzelplatzlizenz, Mehrplatzlizenzen auf Anfrage Deutschlandweit Versandkostenfrei! Versandkostenpauschale europaweit 4,00, weltweit 8,00 ABSENDER: Firma Name, Vorname Straße, Nr. PLZ, Ort Telefon E-Mail wichtig bei der Bestellung von Online-Produkten Fax Ja, ich möchte kostenlos über Neuerscheinungen, Angebote und Aktionen per E-Mail auf dem Laufenden gehalten werden. Diese Zustimmung ist freiwillig und kann jederzeit unter vertrieb@bundesanzeiger.de widerrufen werden. Jetzt 4 Wochen unverbindlich und kostenlos testen! IHRE ZUFRIEDENHEIT UNSERE GARANTIE Sie bestellen bei uns zur Ansicht und können unsere Produkte, ausgenommen CD-ROMs, DVDs, Online-Datenbanken und E-Books, zunächst kostenlos testen. Sollten Sie nach Prüfung wider Erwarten nicht zufrieden sein, senden Sie das Produkt einfach zurück weiter brauchen Sie nichts zu unternehmen. VERBRAUCHERSCHUTZHINWEIS: Diese Bestellung kann innerhalb von 4 Wochen nach Absendung ohne Begründung schriftlich oder in anderer Textform bei der Bundesanzeiger Verlagsges. mbh., Amsterdamer Str. 192, 50735 Köln, widerrufen werden. Zur Fristwahrung genügt die rechtzeitige Absendung des Widerrufs innerhalb dieses Zeitraumes. Der Widerruf verpflichtet zur Rücksendung der Ware, Beschädigung der Ware verpflichtet zum Kauf. DATENSCHUTZHINWEIS: Ihre Daten sind bei uns in sicheren Händen! Informationen zu unseren AGB und Datenschutzbestimmungen finden Sie unter www.bundesanzeiger-verlag.de. Ihre Bundesanzeiger Verlag GmbH www.bundesanzeiger-verlag.de Datum, Unterschrift 11002627 VIELEN DANK FÜR IHRE BESTELLUNG!