· 

Die 8 Gebote des Datenschutzes

§9 BDSG und Anlage

Ziel der technischen und organisatorischen Maßnahmen ist die Gewährleistung der

  • (Daten-)Sicherheit
  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
  • Authentizität und
  • Revisionsfähigkeit

Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

- juris GmbH Juristisches Informationssystem für die BRD [DE]

In der Anlage zu §9, Satz 1 BDSG werden die „8 Gebote des Datenschutzes“ festgelegt:

  1. Zutrittskontrolle
    Sicherstellen, dass Unbefugte keinen (räumlichen) Zutritt zu DV-Anlagen erhalten, mit denen personenbezogene Daten verarbeitet werden.

  2. Zugangskontrolle
    Sicherstellen, dass Unbefugte DV-Anlagen, mit denen personenbezogene Daten verarbeitet werden, gemäß §3 Abs. 5 BDSG nicht nutzen können.

  3. Zugriffskontrolle
    Sicherstellen, dass nur Personen, die zur Nutzung der DV-Anlagen berechtigt sind, auf Inhalte zugreifen können, für die sie berechtigt sind. Zudem soll sichergestellt werden, dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt verändert, kopiert oder gelöscht werden können.

  4. Weitergabekontrolle
    Sicherstellen, dass personenbezogene Daten bei der elektronischen Übertragung, dem Transport oder bei der Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können. Zudem ist sicherzustellen, dass festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten im DV-System vorgesehen ist.

  5. Eingabekontrolle
    Sicherstellen, dass nachträglich geprüft werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht wurden.

  6. Auftragskontrolle
    Sicherstellen, dass im Auftrag verarbeitete personenbezogene Daten gemäß den Weisungen des Auftraggebers verarbeitet werden. Siehe hierzu auch §11, Abs. 3, Satz 1 BDSG bzw. Art. 4 DSGVO.

  7. Verfügbarkeitskontrolle
    Sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

  8. Trennungsgebot
    Sicherstellen, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeitet werden.

Maßnahmen

Es werden nun konkrete Maßnahmen vorgestellt, die zum Befolgen der „8 Gebote“ angewandt werden können:

Zutrittskontrolle

  • Bestimmung der zutrittsberechtigten Personen
  • Verschluss der Arbeitsplätze
  • Zutrittsregelungen für betriebsfremde Personen
  • Gebäudesicherung (Wachpersonal, Zäune und Überwachungskameras)
  • Sicherung der Räume im Gebäude durch

Zugangskontrolle (softwaretechnisch)

Authentifizierung an Rechnern und Systemen durch

Zugriffskontrolle

  • Implementierung eines Berechtigungskonzepts
  • Benutzerprofile mit Benutzerkennung und Passwort
  • datenschutzgerechte Entsorgung
  • Schnittstellensicherung für USB, Netzwerk, ...
  • Zugriffsprotokollierung unter Berücksichtigung von §31 BDSG

Weitergabekontrolle

  • Sicherung bei der elektronischen Übertragung
    • Firewall
    • Verschlüsselung
    • VPN-Tunnel
  • Sicherung des Transports
    • Verschlüsselung
    • Sicher verschlossene Behälter
    • Sicherung der Transportfahrzeuge und Transportwege
  • Sicherung der Übermittlung
    • Verfahrensverzeichnis

Eingabekontrolle

  • Zugriffsprotokollierung unter Berücksichtigung von §31 BDSG
  • Anforderungen an die Protokollierung:
    • Vollständigkeit
    • Keine Täuschungs-/Manipulationsmöglichkeiten
  • Für die Protokollierung müssen folgende Punkte festgelegt werden:
    • Aufbewahrungsform
    • Aufzeichnungsumfang
    • Zugriffsberechtigung
    • Auswertungskriterien
  • Benutzerauthentifizierung
  • Eingabebelege
  • Plausibilitätskontrollen

Auftragskontrolle

  • Vertragliche Festlegung der Weisungsbefugnisse gemäß §11 BDSG
  • Ein solcher Vertrag sollte außerdem beinhalten:
    • Gegenstand/Dauer des Auftrags, beteiligte Parteien
    • Umfang, Art und Zweck der Erhebung , Verarbeitung und Nutzung von Daten
    • Kreis der Betroffenen
    • Technische und organisatorische Maßnahmen nach §9 BDSG
    • Konzept für Berichtigung, Sperrung und Löschung von Daten
    • Kontrollen und Pflichten des Auftragnehmers und Auftraggebers
    • Kontrollrechte des Auftraggebers
    • Haftung und Schadensersatz
  • Vor-Ort Kontrollen (auch und besonders im Ausland!)
  • Kontinuierliche Stichprobenprüfung

Verfügbarkeitskontrolle

  • Umfangreiches Backup-Konzept
  • Maßnahmen für Brand- und Überspannungsschutz
  • Klimaanlage
  • Unterbrechungsfreie Stromversorgung mit Notstromgeneratoren
  • Regelmäßige Festplattenspiegelung (RAID)
  • Schutz vor Viren, Würmern und Trojanern
  • Trennung von Produktiv- und Testsystemen (für Tests vor Go-live)
  • Wartung und Fernwartung

Trennungsgebot

  • Trennung von Produktiv- und Testsystemen
  • Getrennte Datenbanken
  • Vergabe von Zugriffsrechten für bestimmte Datenbank-Tabellen
  • Getrennte Ordnerstrukturen (mit unterschiedlichen Zugriffsrechten)
  • Einsatz von Pseudonymen

Viele der vorgeschlagenen Maßnahmen sind auch im Datenschutz-Wiki zu finden.


Verhältnismäßigkeit

Einschränkungen werden im BDSG selbst durch das Verhältnismäßigkeitsprinzip getroffen. Ein unendlich hohes Schutzniveau von personenbezogenen Daten ist somit nicht nötig (und auch nicht möglich), wenn die dafür einzusetzenden Maßnahmen wirtschaftlich unangemessen hoch im Vergleich zum angestrebten Schutzzweck ausfallen.


Download
Technische und organisatorische Maßnahme
Adobe Acrobat Dokument 151.0 KB