Checkliste TOM Weitergabekontrolle

Eine nähere Erläuterung des Prüfkatalogs zur Auditierung des Standes technischer und organisatorischer Maßnahmen bzw. zur Erfüllung der Aufgaben nach § 9 BDSG und Anlage ist unter Checkliste Technische und organisatorische Maßnahmen zu finden. Des Umfangs halber wurde die Übersicht in einzelne Listen aufgeteilt, des weiteren teilweise angepasst bzw. ergänzt. Bei der Verwendung des Prüfkatalogs im Rahmen verschiedener Landesdatenschutzgesetze bitte die evtl. andere Nummerierungen beachten.

Hilfsmittel zur Durchführung

Die Erfüllung der Aufgaben nach § 9 BDSG und Anlage beinhaltet

  1. Organisationskontrolle (im BDSG nicht mehr als eigenständige Nr. in der Anlage aufgeführt)
    "die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird"
  2. Zutrittskontrolle (Anlage Nr.1)
    "Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren"
  3. Zugangskontrolle (Anlage Nr.2)
    "zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können"
  4. Zugriffskontrolle (Anlage Nr.3)
    "zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können"
  5. Weitergabekontrolle (Anlage Nr.4)
    "zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist"
  6. Eingabekontrolle (Anlage Nr.5)
    "zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind"
  7. Auftragskontrolle (Anlage Nr.6)
    "zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können"
  8. Verfügbarkeitskontrolle (Anlage Nr.7)
    "zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind"
  9. Trennungskontrolle (Anlage Nr.8)
    "zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können"

sowie

  1. Internetauftritt
  2. WLAN

Checkliste[1]

Abkürzungen: erf. = erfüllt, nicht erf. = nicht erfüllt, nicht erfdl. = nicht erforderlich / nicht zutreffend

Vorgabe erf. nicht erf. nicht erfdl. Bemerkungen
Weitergabekontrolle
Welche Datenträgertransporte finden statt?
Innerhalb des Unternehmens
Zur Auslagerung
Zwischen Auftraggeber/-nehmer
Zu Dritten
Welche Versendungsarten (allgemein)?
Datenleitung
E-Mail
(S)FTP
Post
Bahn
Kuriere
Taxi
Telefax
Welche Versendungsarten (DEÜV)?
Datenträgertransport
Verschlüsselte Datenübertragung
Schriftliche Transportregelungen
zur Festlegung der Wege
zu den Transportverfahren
zu Datenempfängern
zur Weitergabe Berechtigten
zur Vollständigkeitsprüfung bei Rücklieferung vom Auftragnehmer
Transportsicherung
verschlossene Transportbehälter
zuverlässige Boten / Transportunternehmen Wer?
sichere Versendungsformen
Wertpaket
Einschreibesendungen
Dateiverschlüsselung
E-Mail-Verschlüsselung Welcher Art?
Elektronische Signatur
VPN
Festplattenverschlüsselung (mobile Arbeitsgeräte)
Telefax-Regelungen
Lieferscheine / Quittierverfahren bei Eingang und Ausgang von Datenträgern
Legitimation der Abholer
Empfangsbestätigungen
Ein-/Ausgangsbücher
Lieferscheine
Protokollierung
Vorgesehene Datenübermittlungen in den Verfahrensübersichten vermerkt?
Dokumentation der Abruf- und Übermittlungsprogramme
Protokollierung der Übermittlung
Regelungen für Tele- / Heimarbeiter?
Fernwartung Wenn "Nein", entfallen nachfolgende Punkte
Bestehen Zugriffsmöglichkeiten auf personenbezogene Daten? Welche Datenkategorien?
ADV notwendig / vorhanden (§ 11 BDSG) Bei Fernwartung durch Datenverarbeitung im Auftrag - Kontrolle des Auftragnehmers wie? Verschiedene Auftragnehmer in nachfolgenden Punkten benennen.
Wofür wird Fernwartung durchgeführt?
Hardware PC, Server
Netzwerk
Firewall
Festplattensysteme (SAN, NAS)
Backupsysteme (Tape-Libraries)
Andere Welche?
Software
Betriebssystem Welche Systeme? Ergänzung zu Hardware
Firmware Welche Systeme? Ergänzung zu Hardware
Anwendungen unterstützende Anwendungen und Programme
Andere Welche?
Benutzeradministration
Helpdesk
Umfang der Zugriffsrechte
Allgemeine Benutzerrechte
Administrationsrechte
Shell-Kommando- / Dateisystem-Zugriff
Andere Privilegien Welche?
Zugangs-/Zugriffsweg
permanent bestehende bzw. intern vorhandene Verbindung z.B. internes Netzwerk
Internet externe Netzwerkverbindungen
Standleitung
ISDN
Telefonnetz / Modem
explizites Freischalten durch Auftraggeber Nach welcher Vorgabe? Gruppenrollen? Spezifische, einzelne Nutzerkonten?
Verschlüsselung
des (gesamten) Übertragungsweges Wie?
ausnahmsweise zu übertragender Daten Wie?
Zugangskontrolle
Benutzerkennung / Passwort
4-Augen-Prinzip (gesplittetes Passwort)
Einmal-Passwort (Token)
Automatischer Rückruf (RAS)
Rufnummernidentifikation (ISDN)
Beteiligte vorgelagerte Systeme Firewall, Proxy
Monitoring der Fernwartungsaktivitäten Wie?
Protokollierung der Fernwartung Wie? Wo?
Protokollauswertung Durch wen?
Regelungen zur Verwaltung und Konfiguration der Wartungszugriffe
Freigabeverfahren Beantragung wie? Genehmigung durch wen?
Prüfung der Berechtigungen Ablauffristen, Erneuerungen

Checkliste als RTF-Datei


4. Zugriffskontrolle

6. Eingabekontrolle

Einzelnachweise

  1. ^ Dr. Peter Münch, Checklisten zur Betriebsprüfung gem. § 38 BDSG, RDV 2006, 272, 280; Coaching Workshop Datenschutzpraxis; Dr. Münch ist Berater für Datenschutz und IT-Sicherheit und Mitglied des Präsidiums der GDD-Datenschutzakademie. Als langjähriges Mitglied des GDD-Vorstandes zeichnete er für den Bereich IT-Sicherheit, Wissenschaft und Lehre sowie das Gesundheitswesen verantwortlich. Die Listen sind teilweise angepasst bzw. ergänzt.


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.