Technische und Organisatorische Maßnahmen

Die technischen und organisatorischen Maßnahmen sind entsprechend dem §9 BDSG erforderlich, wenn man selber personenbezogene Daten erhebt, verarbeitet, nutzt oder dies im Auftrag macht. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Die technischen und organisatorischen Maßnahmen sind sowohl Bestandteil der zu erstellenden Verfahrensverzeichnisse wie auch bei den Verträgen zur Auftragsdatenverarbeitung.

Folgende Punkte sollten entsprechend der Anlage zu §9 Satz 1 in den technischen und organisatorischen Maßnahmen beschrieben sein:

  1. Zutrittskontrolle

Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist.

Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten:

Beispiele

  • Zutrittskontrollsystem,
    Ausweisleser, Magnetkarte, Chipkarte à zu beachten: § 6c BDSG
  • Schlüssel / Schlüsselvergabe
  • Türsicherung (elektrische Türöffner usw.)
  • Werkschutz, Pförtner
  • Überwachungseinrichtung
    Alarmanlage, Video- / Fernsehmonitor à zu beachten: § 6b BDSG
  1. Zugangskontrolle

Das Eindringen Unbefugter in die DV-Systeme ist zu verhindern.

Technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung:

Beispiele

  • Kennwortverfahren (u.a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts)
  • Automatische Sperrung (z.B. Kennwort oder Pausenschaltung)
  • Einrichtung eines Benutzerstammsatzes pro User
  • Verschlüsselung von Datenträgern
  1. Zugriffskontrolle

Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu verhindern.

Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung:

Beispiele

  • Differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte)
  • Auswertungen
  • Kenntnisnahme
  • Veränderung
  • Löschung
  1. Weitergabekontrolle

Aspekte der Weitergabe personenbezogener Daten sind zu regeln: Elektronische Übertragung, Datentransport, Übermittlungskontrolle …

Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung:

Beispiele

  • Verschlüsselung / Tunnelverbindung (VPN = Virtual Private Network)
  • Elektronische Signatur
  • Protokollierung
  • Transportsicherung
  1. Eingabekontrolle

Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten.

Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind:

Beispiel

  • Protokollierungs- und Protokollauswertungssysteme
  1. Auftragskontrolle

Die weisungsgemäße Auftragsdatenverarbeitung ist zu gewährleisten.

Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer:

Beispiele

  • Eindeutige Vertragsgestaltung
  • Formalisierte Auftragserteilung (Auftragsformular)
  • Kriterien zur Auswahl des Auftragnehmers
  • Kontrolle der Vertragsausführung
  1. Verfügbarkeitskontrolle

Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.

Maßnahmen zur Datensicherung (physikalisch / logisch):

Beispiele

  • Back-up-Verfahren
  • Spiegeln von Festplatten, z.B. RAID-Verfahren
  • Unterbrechungsfreie Stromversorgung (USV)
  • Getrennte Aufbewahrung
  • Virenschutz / Firewall
  • Notfallplan
  1. Trennungskontrolle

Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten.

Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken:

Beispiele

  • „Interne Mandantenfähigkeit“ / Zweckbindung
  • Funktionstrennung/Produktion / Test)
Helmut Fuchs, Datenschutz-Auditor

Helmut Fuchs, Datenschutz-Auditor

Wir unterstützen Sie gerne bei der Erstellung der technischen und organisatoren Maßnahmen und beraten Sie entsprechend ob diese für Ihr Unternehmen ausreichend sind. Unser Experte für die TOMs, Herr Helmut Fuchs, hat jahrelange Erfahrung bei der Beratung von Unternehmen im Datenschutz und steht Ihnen mit Rat und Tat zur Seite.

Zum Kontaktformular
0

Your Cart