„Welche gesetzliche Anforderungen gibt es für die Sicherung personenbezogener Daten?“

2 min.

PlastikschlüsselDie 8 Gebote der Datensicherung personenbezogener Daten

Für die Sicherung personenbezogener Daten (wie Name, Adresse, Kennzeiche, etc.) hat der Gesetzgeber einen besonderen Katalog erstellt, der genau beschreibt, welche technischen und organisatorischen Maßnahmen getroffen werden müssen, um einen Mindestschutz gewährleisten zu können. In der inhaltlichen Konkretisierung jedoch steht es jedem Unternehmen frei, wie es diese Maßnahmen umsetzt.

Jedes Unternehmen, das personenbezogene Daten verarbeitet, ist verpflichtet, technische oder organisatorische Maßnahmen umzusetzen, mit diesen folgende Ziele erreicht werden:

1. Zutrittskontrolle (nur räumlich zu verstehen)

Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden,  zu verwehren

Beispiel für die Umsetzung:   Abgeschlossener Serverraum, keine Kennzeichnung desselben, Schlüsselbuch etc.

2. Zugangskontrolle

Unbefugte dürfen Datenverarbeitungssysteme nicht nutzen können; sie dürfen erst gar keine Möglichkeit erhalten, in diese Systeme eindringen zu können.

Beispiel für die Umsetzung: Nutzerkennung, Sichtbarkeit von Netzlaufwerken oder bestimmter Programme

3. Zugriffskontrolle

Berechtigte eines Datenverarbeitungssystems dürfen ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. Personenbezogene Daten dürfen bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden.

Beispiel für die Umsetzung: Rollenkonzept, Verwaltung von Zugriffsrechte (Überwachung und Protokollierung derselben)

4. Weitergabekontrolle

Personenbezogene Daten dürfen bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. Es muss überprüft und festgestellt werden können, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Beispiel für die Umsetzung: Verschlüsselte USB-Stifte (beziehungsweise die Sperrung von USB-Schnittstellen), Daten-DVDs beziehungsweise CDs, verschlüsselte externe Festplatten und Festplatten in Laptops, verschlüsselte Speicher(chips) auf mobile Endgeräte, wie Smartphones etc.; Übermittlungsprotokolle, Logfiles, elektronische Signatur, Tunnelverschlüsselung (VPN).

5. Eingabekontrolle

Es muss nachträglich überprüft und festgestellt werden können, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Beispiel für die Umsetzung: Nachvollziehbare Dokumentation der Datenverwaltung und Pflege durch Logfiles.

6. Auftragskontrolle

Personenbezogene Daten, die im Auftrag verarbeitet werden, dürfen nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Beispiel für die Umsetzung: Regelung der Weisungsbefugnis in der Auftragsdatenverarbeitungsvereinbarung (ADV, gem. §11 BDSG); Kontrolle der vertraglich vereinbarten Prozesse.

7. Verfügbarkeitskontrolle

Personenbezogene Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.

Beispiel für die Umsetzung: Datenspiegelung (RAID-Verfahren), Recoverysystem, unabhängige Stromversorgung (USV), getrennte Aufbewahrung, Notfallplan, Virenschutz etc.

8. Gebot der Datentrennung

Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt voneinander zu verarbeiten.

Beispiel für die Umsetzung: CRM-Systeme; Funktionstrennung (Produktion und Testsystem)

Fazit:

Wichtig: Konkrete Umsetzungsmaßnahmen werden bewusst nicht genannt. Diese obliegen allein den Unternehmen selbst. An dieser Stelle räumt der Gesetzgeber einen nicht unwesentlichen Gestaltungsspielraum ein! Es gibt kein Absolutum! Folge: Der Unternehmer kann den Schutzzweck in Relation zum Umfang der Datensicherungsmaßnahmen setzen. D. h. ist der Schutzzweck relativ niedrig, so bedarf es auch geringere Aufwände bei der Datensicherung, was bei einem intelligenten Konzept enorme Kosten für das Unternehmen sparen kann.

Ein zweiter Tipp: Erheben Sie ausschließlich die Daten, die Sie unbedingt benötigen. Je mehr Daten Sie erheben, desto höher steigen die gesetzlichen Anforderungen an die Datensicherheit! Ein Pseudonym ist z. B. weniger schützenswert als z. B. ein Klarnamen.

Beitrag gelesen: 6.812
Über den Autor

Mein Name ist Julius S. Schoor. Ich bin Rechtsanwalt und spezialisiert auf IT-Vertragsrecht. Seit 2011 bin ich als Datenschutzbeauftragter TÜV-zertifiziert und bereits für mehrere Unternehmen als solcher offiziell bestellt.

Kommentieren Sie diesen Beitrag!

Die Daten werden nur dafür verarbeitet, die Kommentarfunktion des Blogs zu ermöglichen.
Soweit Sie mir eine persönliche Nachricht schreiben wollen, nutzen Sie bitte die Seite Kontakt.
Im Übrigen gelten meine Datenschutzhinweise.