2.817
Bearbeitungen
Technische und organisatorische Maßnahmen: Unterschied zwischen den Versionen
Technische und organisatorische Maßnahmen (Quelltext anzeigen)
Version vom 3. Dezember 2014, 02:51 Uhr
, 3. Dezember 2014Links korrigiert
K (Prüfung Bearbeitungsmöglichkeit) |
K (Links korrigiert) |
||
| Zeile 1: | Zeile 1: | ||
Gemäß | Gemäß {{bdsgl|9}} [[Bundesdatenschutzgesetz]] (BDSG) sind alle Stellen, welche [[personenbezogene Daten]] [[verarbeiten]], [[erheben]] oder [[nutzen]] verpflichtet, | ||
technische und/oder organisatorische Maßnahmen (kurz: TOM) zu treffen um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen des BDSG erfüllt sind. Die Spezifizierung dieser Anforderungen ergibt sich aus der | technische und/oder organisatorische Maßnahmen (kurz: TOM) zu treffen um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen des BDSG erfüllt sind. Die Spezifizierung dieser Anforderungen ergibt sich aus der [[9_Satz1_Anlage|Anlage (zu § 9 Satz 1)]] BDSG. | ||
| Zeile 28: | Zeile 28: | ||
== TOM gemäß Anlage zu | == TOM gemäß Anlage zu {{bdsg|9}} BDSG == | ||
Die Anlage zu | Die Anlage zu gibt vor, in welchen Kategorien Schutzmaßnahmen sichergestellt sein müssen. | ||
Nachfolgend werden die einzelnen Anforderungen nebst Beispielen beschrieben. | Nachfolgend werden die einzelnen Anforderungen nebst Beispielen beschrieben. | ||
| Zeile 49: | Zeile 49: | ||
=== Zugangskontrolle === | === Zugangskontrolle === | ||
Gemeint sind Maßnahmen um zu verhindern, dass Datenverarbeitungsanlagen von Unbefugten benutzt werden können, wobei allerdings das Wort "nutzen" sich nicht auf die Legaldefinition des | Gemeint sind Maßnahmen um zu verhindern, dass Datenverarbeitungsanlagen von Unbefugten benutzt werden können, wobei allerdings das Wort "nutzen" sich nicht auf die Legaldefinition des {{bdsgl|3|5}} BDSG beschränkt. | ||
* Zugang zu Rechnern/Systemen (Authentifizierung) | * Zugang zu Rechnern/Systemen (Authentifizierung) | ||
| Zeile 58: | Zeile 58: | ||
=== Zugriffskontrolle === | === Zugriffskontrolle === | ||
Es muss gewährleistet werden, dass die zur Benutzung von DV-Anlagen berechtigten Nutzer ausschließlich auf Inhalte zugreifen können für welche sie berechtigt sind '''und''' das personenbezogene Daten bei der Verarbeitung und Nutzung und nach dem Speichern nicht unbefugt kopiert, verändert oder gelöscht werden können. | Es muss gewährleistet werden, dass die zur Benutzung von DV-Anlagen berechtigten Nutzer ausschließlich auf Inhalte zugreifen können für welche sie berechtigt sind '''und''' das personenbezogene Daten bei der Verarbeitung und Nutzung und nach dem [[Speichern]] nicht unbefugt kopiert, verändert oder [[löschen|gelöscht]] werden können. | ||
* Berechtigungskonzept | * Berechtigungskonzept | ||
| Zeile 91: | Zeile 91: | ||
=== Auftragskontrolle === | === Auftragskontrolle === | ||
Es muss sichergestellt werden, dass personenbezogene Daten die im Auftrag verarbeitet werden, gemäß den Weisungen des Auftraggebers verarbeitet werden. | Es muss sichergestellt werden, dass personenbezogene Daten die [[Auftragsdatenverarbeitung|im Auftrag verarbeitet]] werden, gemäß den Weisungen des Auftraggebers verarbeitet werden. | ||
* Weisungsbefugnisse festlegen | * Weisungsbefugnisse festlegen | ||
* Vor-Ort Kontrollen | * Vor-Ort Kontrollen | ||
* Datenschutzvertrag gemäß den Vorgaben nach | * Datenschutzvertrag gemäß den Vorgaben nach {{bdsgl|11}} BDSG | ||
* Stichprobenprüfung | * Stichprobenprüfung | ||
* Kontrollrechte | * Kontrollrechte | ||
| Zeile 123: | Zeile 123: | ||
== Prinzip der Verhältnismäßigkeit == | == Prinzip der Verhältnismäßigkeit == | ||
Das BDSG schränkt sich in den zu treffenden Schutzmaßnahmen selbst ein. Für TOM gilt ein sog. | Das BDSG schränkt sich in den zu treffenden Schutzmaßnahmen selbst ein. Für TOM gilt ein sog. [[Verhältnismäßigkeit]]sprinzip. Demnach müssen personenbezogene Daten nicht unendlich stark geschützt werden, wenn die Maßnahmen dafür wirtschaftlich unangemessen hoch ausfallen würden. Daraus lässt sich ableiten dass bei einer Auftragsdatenverarbeitung (ADV) der Dienstleister, welcher nur einen Teil der Daten zur Bearbeitung erhält, nicht zwingend die gleichen Schutzmaßnahmen treffen muss, wie sie etwa die verantwortliche Stelle ausführt. | ||
Demnach müssen personenbezogene Daten nicht unendlich stark geschützt werden, wenn die Maßnahmen dafür wirtschaftlich unangemessen hoch ausfallen würden. | |||
Daraus lässt sich ableiten dass bei einer ADV der Dienstleister, welcher nur einen Teil der Daten zur Bearbeitung erhält, nicht zwingend die gleichen Schutzmaßnahmen treffen muss, wie sie etwa die verantwortliche Stelle ausführt. | |||
Beispiel: | Beispiel: | ||
Der EDV-Dienstleister einer Bank kann (aus wirtschaftlicher Sicht) nicht die gleichen Sicherheitsmaßnahmen gewährleisten wie die Bank selbst. | Der EDV-Dienstleister einer Bank kann (aus wirtschaftlicher Sicht) nicht die gleichen Sicherheitsmaßnahmen gewährleisten wie die Bank selbst. Da er in aller Regel nur auf einen Teilbereich der Daten Zugriff hat (oder zur Verfügung) ist dies gesetzlich auch nicht geboten, selbst wenn die Daten als Sensibel zu betrachten sind (Kontonummern, Kredikartenumsätze). | ||
Da er in aller Regel nur auf einen Teilbereich der Daten Zugriff hat (oder zur Verfügung) ist dies gesetzlich auch nicht geboten, selbst wenn die Daten als Sensibel zu betrachten sind (Kontonummern, Kredikartenumsätze). | |||
== Kritik == | == Kritik == | ||
Aus der IT-Sicherheit besteht Kritik an den Formulierungen in der Anlage zu | Aus der IT-Sicherheit besteht Kritik an den Formulierungen in der Anlage zu {{bdsg|9}} BDSG diesbezüglich, dass die genannten Schutzzwecke mit den "drei Säulen der IT-Sicherheit" (Verfügbarkeit, Vertraulichkeit, Integrität) übereinstimmen aber unnötig auseinander gerissen werden. Dadurch wird die gemeinsame Sprache zwischen IT-Sicherheitsverantwortlichen und Datenschutzbeauftragten zersplittert. | ||
Dadurch wird die gemeinsame Sprache zwischen IT-Sicherheitsverantwortlichen und Datenschutzbeauftragten zersplittert. | |||
| Zeile 140: | Zeile 136: | ||
1. Technisch-organisatorischer Datenschutz - Leitfaden für Praktiker - von Peter Münch (ISBN 978-89577-487-4) | 1. Technisch-organisatorischer Datenschutz - Leitfaden für Praktiker - von Peter Münch (ISBN 978-89577-487-4) | ||
[[Kategorie:Themen]] | [[Kategorie:Themen]] | ||