Landesbeauftragter für den Datenschutz Niedersachsen



Ähnliche Dokumente
Landesbeauftragter für den Datenschutz Niedersachsen

Landesbeauftragter für den Datenschutz Niedersachsen

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Datenschutz-Vereinbarung

2.4.7 Zugriffsprotokoll und Kontrollen

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Für die MitarbeiterInnen kann das auch eine Verbesserung ihrer Arbeitsbedingungen

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Das Datenschutzregister der Max-Planck-Gesellschaft

Der vorliegende Konverter unterstützt Sie bei der Konvertierung der Datensätze zu IBAN und BIC.

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Landesbeauftragter für den Datenschutz Niedersachsen

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

IMI datenschutzgerecht nutzen!

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

Monitoring und Datenschutz

D i e n s t e D r i t t e r a u f We b s i t e s

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Dienstvereinbarung zur Einführung und Anwendung des Internetportals der Universität München

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Datenübernahme von HKO 5.9 zur. Advolux Kanzleisoftware

Fremd- und Fernwartung

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Vollzug des Bayerischen Datenschutzgesetzes (BayDSG)

Benutzerverwaltung Business- & Company-Paket

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Checkliste Überwachung der Arbeitnehmenden

In diesem Tutorial lernen Sie, wie Sie einen Termin erfassen und verschiedene Einstellungen zu einem Termin vornehmen können.

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Drei Fragen zum Datenschutz im. Nico Reiners

Prüfkatalog zur Datenschutzverträglichkeit von sog. Mitarbeiterbefragungen (MAB) für Beschäftigte im öffentlichen Dienst in Niedersachsen

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Herzlich willkommen zu unserer Informationsveranstaltung Die digitale Betriebsprüfung - das gläserne Unternehmen?

1. Einführung. 2. Archivierung alter Datensätze

SCHUTZBEDARFSFESTSTELLUNG

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen

Datenschutzbeauftragte

Befragung zur Wahrnehmung von Datenschutzrechten durch Verbraucher

Import, Export und Löschung von Zertifikaten mit dem Microsoft Internet Explorer

Der Datenschutzbeauftragte

Übung - Datensicherung und Wiederherstellung in Windows 7

Normatives Dokument ICELT D 1006:2015 ICELT-Datenschutzrichtlinie

Installationsbeschreibung Import / ATLAS / PV Zollsystem für die EDV-Abteilung

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

BSI Technische Richtlinie

Einführung in den Datenschutz

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Ihre Interessentendatensätze bei inobroker. 1. Interessentendatensätze

Vernichtung von Datenträgern mit personenbezogenen Daten

Datenschutz im Spendenwesen

Einstieg in Exact Online Buchungen erfassen. Stand 05/2014

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA

GPP Projekte gemeinsam zum Erfolg führen

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Datensicherheit. Datensicherheit. Datensicherheit. Datensicherheit

Bayerisches Landesamt für Datenschutzaufsicht

Anleitung zur Datensicherung und -rücksicherung in der VR-NetWorld Software

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli

Dokumentation EGVP-Übertmittlungsfehler bei Server-Engpässen Vorgehensweise Seite 1 von 5

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

Datenschutz ist Persönlichkeitsschutz

SANDBOXIE konfigurieren

Datenschutz und Schule

Der interne Datenschutzbeauftragte - ein Praxisbericht

Datenschutzvereinbarung

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

Der betriebliche Datenschutzbeauftragte

Inventur. Bemerkung. / Inventur

(im Rahmen der Exchange-Server-Umstellung am )

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Datum Ausgabe 05/2009

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

Ablaufbeschreibung für das neu Aufsetzen von Firebird und Interbase Datenbanken mit der IBOConsole

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Alle alltäglichen Aufgaben können auch über das Frontend durchgeführt werden, das in den anderen Anleitungen erläutert wird.

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Checkliste zum Datenschutz

Kommunikations-Management

Ablaufbeschreibung Einrichtung EBICS in ProfiCash

Arbeitnehmerdatenschutz / Leistungs- und Verhaltenskontrollen

Arbeiten mit dem Outlook Add-In

teischl.com Software Design & Services e.u. office@teischl.com

Kurzanleitung. Einstieg in die TripleCard Profi-Software. Zeiterfassungs- Software für. TripleCard Terminal

Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten

Neuinstallation von ELBA in einem Netzwerk

Wissenswertes über die Bewertung. Arbeitshilfe

Datensicherung EBV für Mehrplatz Installationen

Verwendung des IDS Backup Systems unter Windows 2000

Checkliste «Datenbekanntgabe»

Transkript:

Protokollierung Orientierungshilfe und Checkliste Landesbeauftragter für den Datenschutz Niedersachsen

Vorbemerkungen Auch für die Informations- und Kommunikationstechnik gilt die alte Lebensweisheit Vertrauen ist gut, Kontrolle ist besser. Durch Protokollierung aller Verarbeitungsaktivitäten wird die Iuk- Technik nachprüfbar und transparent. Zugleich wird damit einer missbräuchlichen Verwendung vorgebeugt, weil keiner darauf vertrauen kann, dass Verstöße unentdeckt bleiben. Das Bundesdatenschutzgesetz (BDSG) und das Niedersächsische Datenschutzgesetz (NDSG) verpflichten die Daten verarbeitenden Stellen aus Wirtschaft und Verwaltung, technische und organisatorische Maßnahmen zu treffen, damit nachträglich überprüft und festgestellt werden kann, wer welche personenbezogenen Daten zu welcher Zeit in ein Automationssystem eingegeben bzw. übermittelt hat. Auch Versuche missbräuchlicher Verarbeitung müssen aufgezeichnet und nachträglich untersucht werden. Für eine Reihe von automatisierten Verfahren der öffentlichen Verwaltung gelten spezifische Protokollierungsvorschriften, z.b. im Meldewesen, bei der Polizei und beim Verfassungsschutz. Mit der Protokollierung der Verarbeitung entstehen Sammlungen personenbezogener Daten über Nutzer bzw. über betroffene Bürgerinnen und Bürger. Damit wird es z.b. möglich, Nutzerprofile abzuleiten oder Listen über Auffälligkeiten zu erstellen. Das allgemeine Datenschutzrecht läßt das nicht zu. Protokolle dürfen nur zu Zwecken genutzt werden, die Anlass für ihre Speicherung waren. Daten von Beschäftigten, die zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs gespeichert werden, dürfen nicht für andere Zwecke verarbeitet werden ( 31 BDSG, 10 Abs. 4 NDSG). Das Niedersächsische Beamtengesetz verbietet die Verwendung von Protokolldaten zu Zwecken der Verhaltens- und Leistungskontrolle ( 101 Abs. 6 NBG). Die Zweckbindung muss technisch und organisatorisch sichergestellt werden. Für Art, Umfang und Aufbewahrung der Protokollierung gilt der Grundsatz der Erforderlichkeit. Soweit technisch möglich und ausreichend sollte auf personenbezogene Daten verzichtet werden (Grundsatz der Datenvermeidung). Die Beteiligungsrechte von Personalrat bzw. Betriebsrat sind zu beachten. Begriff Bei der Kontrolle von IuK-Systemen ist zwischen den Funktionen der Administration und der Benutzung zu unterscheiden: Die Administration umfasst Arbeiten zur Installation, Modifikation und Konfiguration von Hard- und Software einschließlich der Abarbeitung von Systemnachrichten. Dies sind Basisfunktionen, die vor allem die Verfügbarkeit der Systeme sicherstellt. Administration erfolgt nicht nur auf Betriebssystemebene, sondern auch in Anwendungen (z.b. die Rechteverwaltung in Datenbanksystemen). Die Benutzung ist die Inanspruchnahme der vom IuK-System bereitgestellten Ressourcen durch die Nutzer, also insbesondere die Verarbeitung der Datenbestände. In beiden Bereichen ist es erforderlich, manuelle oder automatisierte Aufzeichnungen (Protokollierungen) der Aktivitäten vorzunehmen. Die Protokollierung der Administrationsaktivitäten hat den Charakter einer Systemüberwachung, während die Protokollierung der Benutzeraktivitäten im Wesentlichen der Verfahrensüberwachung dient. Die Anforderungen an die Art und den Umfang der systemorientierten Protokollierung finden sich überwiegend in dem allgemeinen Datenschutzrecht wieder, während die verfahrensorientierte Protokollierung häufig durch bereichsspezifische Regelungen definiert wird. Protokollierung Stand: 18.08.00 2

Aus den Protokollen sollte sich die Frage beantworten lassen: Wer hat wann mit welchen Mitteln was veranlasst bzw. worauf zugegriffen? Außerdem sollten sich Systemzustände ableiten lassen: Wer hatte von wann bis wann welche Zugriffsrechte? Umfang Protokollumfang, Kontrolldichte und Löschungsfristen sind von der Sensitivität der jeweiligen Anwendung abhängig. Bei deren Festlegung sind systemseitige Möglichkeiten z.b. durch Einstellen von Parametern oder Setzen von Schaltern zu nutzen. Folgende Grundsätze sind zu beachten: Die Protokollierung muss so erfolgen, dass Sicherheitslücken und Angriffe frühzeitig erkannt oder zumindest nachträglich verifiziert werden. Hierfür sollten neben reinen Systemnachrichten (z.b. Starten und Herunterfahren von Systemen) auch Änderungen der Zugriffsrechte, der Zugang zum Betriebssystem (Login) oder Administratoraktivitäten protokolliert werden. Zur Kontrolle der Verarbeitung von Datenbeständen sollten Protokollierungen im jeweiligen Anwendungsverfahren selbst erfolgen; nur so sind ausreichende Differenzierungen nach Daten, Feldern, Masken, Auswertungen, Ausdrucken u. ä. vorzunehmen. Grundsätzlich ist jeder schreibende Zugriff auf personenbezogene Daten aufzuzeichnen, evtl. mit Inhalt des neu eingegebenen oder geänderten Datensatzes; bei sensitiven Daten sollten jedoch nur Feldbezeichnungen protokolliert werden. Darüber hinaus sollten lesende Zugriffe sensiblerer Anwendungen, alle lesenden Zugriffe durch Dritte sowie per Dialog veranlasste Übermittlungen aufgezeichnet werden. Für jede aufzuzeichnende Aktivität sollte die Art des Vorgangs, Datum und Uhrzeit, Merkmale der Aktivität, ausführende Person, Ordnungsnummer des Datensatzes und Programm festgehalten werden. Nicht ausreichend sind Protokolle, die lediglich das Starten und Beenden der Anwendung aufzeichnen. Bei Massenprotokollierungen kann eine Stichproben-Aufzeichnung bzw. eine Auswertung nach einem Zufallsverfahren in Frage kommen. Die großen Datenmengen der Protokollierung erfordern eine automatisierte Auswertung zur zeitnahen und effizienten Kontrolle. Entbehrlich sind Protokollierungen im allgemeinen bei Datensammlungen, auf die nur eine Person Zugriff hat (Einzelplatz-PC) oder wenn die Datensammlungen nur Hilfsfunktionen im Rahmen der Bürokommunikation erfüllen (z.b. Verteilerlisten, Datenbank zum Auffinden von Akten). Auch bei frei zugänglichen personenbezogenen Daten kann auf eine Protokollierung verzichtet werden. Kontrolle Protokollierung ist kein Selbstzweck, sondern nur sinnvoll und datenschutzrechtlich vertretbar, wenn die Protokolldaten auch tatsächlich ausgewertet werden. Protokolldateien dürfen nur wenigen Autorisierten zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherung des ordnungsgemäßen Betriebs einer DV-Anlage zugänglich sein. Der Datenschutzbeauftragte des Unternehmens bzw. der Behörde und der Revisor sollten zu regelmäßigen Kontrollen der Protokolle verpflichtet werden. Sinnvoll ist es, die Kontrollen nach dem 4-Augen-Prinzp durchzuführen. Aufbewahrungsdauer für Protokolle Für die Aufbewahrung der Protokolle gelten die allgemeinen Löschungsregeln der Datenschutzgesetze. Maßstab ist mithin die Erforderlichkeit der Aufgabenerfüllung. Gibt es keinen zwingenden Grund für das weitere Vorhalten von Protokolldateien, besteht eine Pflicht zur Löschung (z.b. 20 Abs. 2 BDSG, 17 Abs. 2 NDSG). Eine exakte Festlegung der Aufbewahrungsdauer von Protokollen, deren Auswertung zeitlich nicht bestimmt ist (z.b. die Protokolle im Zusammenhang mit der Administration), ist vielfach nicht mög- Protokollierung Stand: 18.08.00 3

lich. Erfahrungsgemäß genügt eine Aufbewahrungsfrist von einem halben Jahr. Anhaltspunkte für Entscheidungen können sein: die Wahrscheinlichkeit, dass Unregelmäßigkeiten (noch) offenbar werden können und die Möglichkeit, die Gründe von Unregelmäßigkeiten anhand der Protokolle und anderer Unterlagen aufdecken zu können. Beteiligung von Personalrat bzw. Betriebsrat Soweit Protokolldateien Beschäftigtendaten enthalten, ist der Personalrat bzw. der Betriebsrat über die Protokolldaten und deren Zweckbestimmung zu informieren, um ihm die seiner Beteiligungsrechten zu ermöglichen. Technische und organisatorische Rahmenbedingungen Die Effektivität der Protokollierung und ihre Auswertung im Rahmen von Kontrollen hängt im entscheidenden Maße von den technischen und organisatorischen Rahmenbedingungen ab. In diesem Zusammenhang sollten u.a. folgende Aspekte Berücksichtigung finden: Vollständigkeit der Protokolle, Manipulationssicherheit der Protokolle, wirksame Zugriffsbeschränkungen, Festlegung der Auswertungsmöglichkeiten, Kontrolle durch 4-Augen-Prinzip, Festlegung der Konsequenzen sowie Routinekontrollen durch automatisierte Verfahren. Checkliste Die folgende Checkliste konzentriert sich auf die Gesichtspunkte des technisch-organisatorischen Datenschutzes. Die Checkliste unterteilt folgende Bereiche: Allgemeine Rahmenbedingungen Administration von IuK-Technik Benutzung von IuK-Technik Auswertung der Protokolle Zur Beantwortung der Checkliste wird es in der Regel ausreichen, jeweils Erfüllt, Nicht erfüllt oder Trifft nicht zu anzukreuzen. Diese Antworten können im Bedarfsfall durch kurze Erläuterungen in dem Feld Bemerkung ergänzt werden. Auf diese Weise liegt nach Durcharbeiten der Checkliste eine übersichtliche Aufstellung der noch zu treffenden Maßnahmen vor. Eine beantwortete Checkliste deckt möglicherweise vorhandene Sicherheitslücken des Systems auf. Daher ist die ausgefüllte Checkliste bis zur vollständigen Beseitigung dieser Mängel entsprechend sicher aufzubewahren. Protokollierung Stand: 18.08.00 4

Checkliste Protokollierung Klassifizierung der Schutzstufe Begründung der Einstufung ( Extrablatt) Stufe A Stufe B Stufe C Stufe D Stufe E Erläuterung: Die einzelnen Anforderungen sind nach dem Schutzstufenkonzept (siehe Anhang) gestaffelt aufgeführt. Bei Daten der Schutzstufe A ist eine Protokollierung im allgemeinen entbehrlich. Die Grundschutzforderungen unter der Schutzstufe B C sind ansonsten immer anzuwenden. Die unter den Schutzstufen D oder E aufgeführten Anforderungen kommen aufgrund der höheren Datenschutzsicherungsanforderung jeweils ergänzend hinzu. Technische und organisatorische Rahmenbedingungen 1.1 Art, Umfang, Inhalt und Auswertbarkeit der Protokolle sowie deren Auswertungen und Kontrollen sind in einer schriftlichen Arbeitsanweisung festgelegt. 1.2 Regelmäßig wird stichprobenartig untersucht, ob die Festlegungen in der Arbeitsanweisung eingehalten werden. 1.3 Die Konsequenzen aus Verstößen ist geregelt. 1.4 Die Personalvertretung ist über Art, Umfang und Inhalt der Protokolle sowie deren Auswertung unterrichtet. 1.5 Die Manipulationssicherheit des Inhalts der Protokolldateien ist durch wirksame Zugriffsbeschränkungen gewährleistet (z.b. getrennte Aufbewahrung von den übrigen Datensammlungen). 1.6 Die Protokollierung ist so gestaltet, dass hiermit eine Überprüfung jederzeit möglich ist. Erfüllt Nicht erfüllt Trifft nicht zu Bemerkungstext Protokollierung Stand: 18.08.00 5

Administration von IuK-Systemen Folgende Aktivitäten werden vollständig protokolliert (mit Art des Vorgangs, Datum und Uhrzeit, Merkmale der Aktivität, ausführende Person und Programm, soweit sinnvoll): Erfüllt Nicht erfüllt Trifft nicht zu Bemerkungstext Daten bis Schutzstufe C: 2.1 Betriebssystemgenerierung und Modifikation von wichtigen Systemparametern 2.2 Einspielen und Änderung von Anwendungssoftware 2.3 Grundlegende Änderungen an der Dateiorganisation 2.4 Durchführung von Back-up-Restore und sonstigen Datensicherungsmaßnahmen 2.5 Das Hoch- und Herunterfahren von zentralen Rechnern 2.6 Aufruf von Administrations-Tools 2.7 Einrichten und Löschen von Benutzern 2.8 Verwaltung von Befugnistabellen Daten der Schutzstufen D: 2.9 Sämtliche weitere Administratoraktivitäten Protokollierung Stand: 18.08.00 6

Benutzung von IuK-Systemen Folgende Aktivitäten werden vollständig protokolliert (mit Art des Vorgangs, Datum und Uhrzeit, Merkmale der Aktivität, ausführende Person und Programm, soweit sinnvoll): Erfüllt Nicht erfüllt Trifft nicht zu Bemerkungstext Daten bis Schutzstufe C: 3.1 Schreibende Zugriffe auf Datenbanken (Eingabe, Änderung, Löschung) 3.2 Eingänge und Ausgänge von mobilen Datenträgern 3.3 Datenübermittlungen (dazu gehört auch die Anfertigung von Dateikopien, Hardcopies usw.) 3.4 Externe Benutzung von automatisierten Abrufverfahren. 3.5 Erfolgreiche und nicht erfolgreiche Login- Versuche 3.6 Passwortänderungen Daten der Schutzstufe D: 3.7 Lesende Zugriffe auf Datenbanken Protokollierung Stand: 18.08.00 7

Auswertung und Löschung der Protokolle Erfüllt Nicht erfüllt Trifft nicht zu Bemerkungstext Daten bis Schutzstufe C: 4.1 Protokolldateien werden ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs der Datenverarbeitungsanlage gespeichert. Sie werden nicht zur Verhaltens- und Leistungskontrolle oder zum Controlling verarbeitet oder genutzt. 4.2 Die Protokolldateien werden sporadisch, mindestens jedoch alle 3 Monate ausgewertet. Dabei sollten Routinekontrollen mit Hilfe automatisierter Verfahren durchgeführt werden (z.b. Checksummenprüfung, watch dogs ). 4.3 Auffälligkeiten werden dem internen Datenschutzbeauftragten und dem Revisor angezeigt. 4.4 Die Protokolleintragungen werden frühestens nach der Routinekontrolle, spätestens nach ungefähr einem halben Jahr gelöscht (Ausnahme: gesetzlich vorgeschriebene Aufbewahrungsfristen). 4.5 Die Löschung von Protokolldateien wird schriftlich dokumentiert. Daten der Schutzstufe D: 4.6 4.7 4.8 Die Protokolldateien werden regelmäßig ausgewertet. Sie werden von einem unabhängigen Revisor (z.b. Datenschutzbeauftragten) oder nach dem 4-Augen-Prinzip und nur in Ausnahmefällen allein von dem Administrator kontrolliert. Dem Administrator sind die Zugriffsrechte auf die Protokolle so weit wie möglich entzogen. Protokollierung Stand: 18.08.00 8

Anhang: Schutzstufenkonzept Personenbezogene Daten werden nach dem Grad möglicher Beeinträchtigung schutzwürdiger Belange bei Missbrauch dieser Daten in 5 Schutzstufen untergliedert. Bei der Klassifizierung sind Datenfelder niemals einzeln zu bewerten. Die Betrachtung ist vielmehr auf die gesamte Datei, ggf. auf die gesamt DV-Anlage auszudehnen. Werden personenbezogene Daten unter einem Auswahlkriterium in eine Datei aufgenommen, das in der Datei nicht enthalten ist, so ist dieses Auswahlkriterium bei der Klassifizierung mit zu bewerten. Enthalten Dateien umfassende Angaben zu einer Person (Dossiers), so sind sie in eine höhere Schutzstufe einzuordnen, als dies nach den Einzeldaten erforderlich wäre. Es werden folgende Schutzstufen unterschieden: Stufe A: Stufe B: Stufe C: Stufe D: Stufe E: Frei zugängliche Daten, in die Einsicht gewährt wird, ohne dass der Einsichtnehmende ein berechtigtes Interesse geltend machen muss, z.b. Adressbücher, Mitgliederverzeichnisse, Benutzerkataloge in Bibliotheken. Personenbezogene Daten, deren Missbrauch zwar keine besondere Beeinträchtigung erwarten lässt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse des Einsichtnehmenden gebunden ist, z.b. beschränkt zugängliche öffentliche Dateien, Verteiler für Unterlagen. Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann ("Ansehen"), z.b. Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten. Personenbezogene Daten, deren Mißbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann ("Existenz"), z.b. Unterbringung in Anstalten, Straffälligkeit, Ordnungswidrigkeiten schwerwiegender Art, dienstliche Beurteilungen, psychologisch-medizinische Untersuchungsergebnisse, Schulden, Pfändungen, Konkurse. Daten, deren Missbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann, z.b. Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können. Falls die Sensitivität nicht bekannt ist, ist von der höchsten Sensitivitätsstufe auszugehen. Denkbar ist auch, dass der Schutz empfindlicher Firmendaten ohne Personenbezug die Einstufung bestimmt. Protokollierung Stand: 18.08.00 9

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback