26
Bearbeitungen
Keine Bearbeitungszusammenfassung |
K (Marginalien) |
||
Zeile 1: | Zeile 1: | ||
Gemäß [http://www.gesetze-im-internet.de/bdsg_1990/__9.html | Gemäß [http://www.gesetze-im-internet.de/bdsg_1990/__9.html § 9 BDSG] sind alle Stellen, welche [[personenbezogene Daten]] [[verarbeiten]], [[erheben]] oder [[nutzen]] verpflichtet, | ||
technische und/oder organisatorische Maßnahmen (kurz: TOM oder TOMs) zu treffen um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen des BDSG erfüllt sind. Die Spezifizierung dieser Anforderungen ergibt sich aus der [http://www.gesetze-im-internet.de/bdsg_1990/anlage_79.html Anlage zu | technische und/oder organisatorische Maßnahmen (kurz: TOM oder TOMs) zu treffen um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen des BDSG erfüllt sind. Die Spezifizierung dieser Anforderungen ergibt sich aus der [http://www.gesetze-im-internet.de/bdsg_1990/anlage_79.html Anlage zu § 9 BDSG]. | ||
== Abgrenzung technisch und organisatorisch == | == Abgrenzung technisch und organisatorisch == | ||
Zeile 9: | Zeile 10: | ||
* bauliche Maßnahmen allgemein | * bauliche Maßnahmen allgemein | ||
* Alarmanlagen jeglicher Art | * Alarmanlagen jeglicher Art | ||
oder Maßnahmen die in Soft- und Hardware umgesetzt werden, | oder Maßnahmen die in Soft- und Hardware umgesetzt werden, | ||
Zeile 18: | Zeile 18: | ||
* Logging (Protokolldateien) | * Logging (Protokolldateien) | ||
* biometrische Benutzeridentifikation | * biometrische Benutzeridentifikation | ||
Als '''organisatorische Maßnahmen''' sind solche Schutzversuche zu verstehen die | Als '''organisatorische Maßnahmen''' sind solche Schutzversuche zu verstehen die | ||
Zeile 29: | Zeile 28: | ||
== TOMs gemäß Anlage zu [http://bundesrecht.juris.de/bdsg_1990/__9.html | == TOMs gemäß Anlage zu [http://bundesrecht.juris.de/bdsg_1990/__9.html § 9 BDSG] == | ||
Die Anlage zu [http://bundesrecht.juris.de/bdsg_1990/__9.html | Die Anlage zu [http://bundesrecht.juris.de/bdsg_1990/__9.html § 9 BDSG] gibt vor, in welchen Kategorien Schutzmaßnahmen sichergestellt sein müssen. | ||
Nachfolgend werden die einzelnen Anforderungen nebst Beispielen beschrieben. | Nachfolgend werden die einzelnen Anforderungen nebst Beispielen beschrieben. | ||
=== Zutrittskontrolle === | === Zutrittskontrolle === | ||
Zeile 49: | Zeile 47: | ||
** Sicherheitsverglasung | ** Sicherheitsverglasung | ||
** Alarmanlagen | ** Alarmanlagen | ||
=== Zugangskontrolle === | === Zugangskontrolle === | ||
Zeile 58: | Zeile 55: | ||
** biometrische Benutzeridentifikation | ** biometrische Benutzeridentifikation | ||
** Firewall | ** Firewall | ||
=== Zugriffskontrolle === | === Zugriffskontrolle === | ||
Zeile 85: | Zeile 81: | ||
** Verfahrensverzeichnis | ** Verfahrensverzeichnis | ||
** Protokollierungsmaßnahmen | ** Protokollierungsmaßnahmen | ||
=== Eingabekontrolle === | === Eingabekontrolle === | ||
Zeile 92: | Zeile 87: | ||
* Protokollierung | * Protokollierung | ||
* Benutzeridentifikation | * Benutzeridentifikation | ||
=== Auftragskontrolle === | === Auftragskontrolle === | ||
Zeile 99: | Zeile 93: | ||
* Weisungsbefugnisse festlegen | * Weisungsbefugnisse festlegen | ||
* Vor-Ort Kontrollen | * Vor-Ort Kontrollen | ||
* Datenschutzvertrag gemäß den Vorgaben nach [http://bundesrecht.juris.de/bdsg_1990/__11.html | * Datenschutzvertrag gemäß den Vorgaben nach [http://bundesrecht.juris.de/bdsg_1990/__11.html § 11 BDSG] | ||
* Stichprobenprüfung | * Stichprobenprüfung | ||
* Kontrollrechte | * Kontrollrechte | ||
Zeile 114: | Zeile 108: | ||
* Virenschutzkonzept | * Virenschutzkonzept | ||
* Schutz vor Diebstahl | * Schutz vor Diebstahl | ||
=== Trennungsgebot === | === Trennungsgebot === | ||
Zeile 124: | Zeile 117: | ||
* getrennte Datenbanken | * getrennte Datenbanken | ||
Insbesondere sind allgemein Verschlüsselungsverfahren nach aktuellem Stand der Technik zu berücksichtigen. | |||
== Kritik == | == Kritik == | ||
Aus der IT-Sicherheit besteht Kritik an den Formulierungen in der Anlage zu [http://www.gesetze-im-internet.de/bdsg_1990/__9.html | Aus der IT-Sicherheit besteht Kritik an den Formulierungen in der Anlage zu [http://www.gesetze-im-internet.de/bdsg_1990/__9.html § 9 BDSG] diesbezüglich, dass die genannten Schutzzwecke mit den "drei Säulen der IT-Sicherheit" (Verfügbarkeit, Vertraulichkeit, Integrität) übereinstimmen aber unnötig auseinander gerissen werden. | ||
Dadurch wird die gemeinsame Sprache zwischen IT-Sicherheitsverantwortlichen und Datenschutzbeauftragten zersplittert. | Dadurch wird die gemeinsame Sprache zwischen IT-Sicherheitsverantwortlichen und Datenschutzbeauftragten zersplittert. | ||
== | == Literaturhinweis == | ||
1. Technisch-organisatorischer Datenschutz - Leitfaden für Praktiker - von Peter Münch (ISBN 978-89577-487-4) | 1. Technisch-organisatorischer Datenschutz - Leitfaden für Praktiker - von Peter Münch (ISBN 978-89577-487-4) | ||
== Links == | == Links == | ||
*[http://www.demal-gmbh.de/datenschutz/info/glossar/technisch-organisatorische-massnahmen.htm demal GmbH] | *[http://www.demal-gmbh.de/datenschutz/info/glossar/technisch-organisatorische-massnahmen.htm demal GmbH] | ||
*[http://www.gesetze-im-internet.de/bdsg_1990/__9.html Volltext | *[http://www.gesetze-im-internet.de/bdsg_1990/__9.html Volltext § 9 BDSG] | ||
*[http://www.gesetze-im-internet.de/bdsg_1990/anlage_79.html Volltext zur Anlage | *[http://www.gesetze-im-internet.de/bdsg_1990/anlage_79.html Volltext zur Anlage § 9 BDSG] | ||
[[Kategorie:Themen]] | [[Kategorie:Themen]] |
Bearbeitungen