Checkliste Technische und organisatorische Maßnahmen

Aus Datenschutz-Wiki
Wechseln zu: Navigation, Suche
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

Diesem einleitenden Satz der Anlage zu § 9 Satz 1 BDSG folgt ein Anforderungskatalog mit einer Reihe von Maßnahmen, um die Datensicherheit je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien gewährleisten zu können.


Die nachfolgende Übersicht beruht auf der Checkliste zur Erfüllung der Aufgaben nach § 9 BDSG und Anlage, die anhand von Prüflisten der Datenschutzaufsichtsbehörden erstellt und angepasst wurde. Als Quellen dienten die Regierung von Mittelfranken, die Bayerische Datenschutz-Aufsichtsbehörde für den nicht-öffentlichen Bereich (Stand: 7/2005) sowie der Hamburgische Datenschutzbeauftragte (Stand: 5/2007). Die Checkliste erschien erstmals 2006 in der Fachzeitschrift Recht der Datenverarbeitung (RDV 2006, 272, 280) und wird regelmäßig im GDD-Jahrbuch veröffentlicht. Ihr Autor, Dr. Münch[1], stellte sie dem Datenschutz-Wiki dankenswerterweise zur Verfügung. Des Umfangs halber wurden die Übersicht in einzelne Listen aufgeteilt, des weiteren teilweise angepasst bzw. ergänzt. Bei der Verwendung des Prüfkatalogs im Rahmen verschiedener Landesdatenschutzgesetze bitte die evtl. andere Nummerierung beachten.


Hilfsmittel zur Durchführung

Die Erfüllung der Aufgaben nach § 9 BDSG und Anlage beinhaltet

  1. Organisationskontrolle (im BDSG nicht mehr als eigenständige Nr. in der Anlage aufgeführt)
    "die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird"
  2. Zutrittskontrolle (Anlage Nr.1)
    "Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren"
  3. Zugangskontrolle (Anlage Nr.2)
    "zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können"
  4. Zugriffskontrolle (Anlage Nr.3)
    "zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können"
  5. Weitergabekontrolle (Anlage Nr.4)
    "zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist"
  6. Eingabekontrolle (Anlage Nr.5)
    "zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind"
  7. Auftragskontrolle (Anlage Nr.6)
    "zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können"
  8. Verfügbarkeitskontrolle (Anlage Nr.7)
    "zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind"
  9. Trennungskontrolle (Anlage Nr.8)
    "zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können"

sowie

  1. Internetauftritt
  2. WLAN


Checkliste

Für die zu prüfenden Stellen werden sofort die Prüfschwerpunkte erkennbar, die auch zur eigenen Auditierung des Standes der technisch-organisatorischen Maßnahmen verwendet werden können. Die Checkliste kann auch zur Prüfung der Dienstleister vor Auftragsvergabe (§ 11 BDSG) verwendet werden; z.B. durch Zusendung und Verpflichtung zur wahrheitsgemäßen Ausfüllung.“ - Dr. Peter Münch, Vorbemerkung Coaching Workshop Datenschutzpraxis


Abkürzungen: erf. = erfüllt, nicht erf. = nicht erfüllt, nicht erfdl. = nicht erforderlich / nicht zutreffend

Vorgabe erf. nicht erf. nicht erfdl. Bemerkungen
Organisationskontrolle
Betriebsrat vorhanden?
Feststellung des Schutzbedarfs der personenbezogenen Daten:
Kundendaten x
Lieferantendaten x
Mitarbeiterdaten x
Besondere personenbezogene Daten gem. § 3 Abs. 9 BDSG ...
Risikoanalyse liegt vor?
Wird der BSI IT-Grundschutz umgesetzt?
Schriftliche Regelungen über den Betrieb und die Abläufe der Datenverarbeitung sowie zu den verschiedenen Datensicherheitsmaßnahmen
IT-Sicherheitskonzeption
IT-Sicherheitsrichtlinien
Arbeits- und Verfahrensanweisungen
Stellenbeschreibungen
Mitbenutzung der DV-Anlagen durch Fremdfirmen
Mitbenutzung der TK-Anlagen durch Fremdfirmen
Urlaubs-/Krankheitsvertretung des DV-Verantwortlichen
DV-Revision, interne Revision
Ausreichende Funktionstrennung, 4-Augen-Prinzip
Regelungen zur Beschaffung von Hard- und Software
Schriftliches Programmfreigabeverfahren
Regelungen über Sicherung des Datenbestandes
Regelmäßige Hinweise, Ermahnungen um das Problembewusstsein zu fördern
Gelegentliche, unvermutete Kontrolle der Einhaltung von Datenschutz- und Datensicherungsmaßnahmen
IT-Versicherungen
Ist ein Datenschutzbeauftragter (DSB) bestellt (§ 4f BDSG)? Begründung, wenn „nicht erforderlich“
Schriftliche Bestellung des DSB 1.17.1 bis 1.17.8 entfallen, wenn „nicht erforderlich"
Betriebliche Stellung
hauptamtlich
nebenamtlich Haupttätigkeit?

...

Wie viel Zeit zur Aufgabenerfüllung?

...

extern
freiwillig bestellt (ohne gesetzlichen Zwang)
der Geschäftsleitung direkt unterstellt Wenn „Nein“, wem?
weisungsfrei
Sind die Kündigungsregeln bekannt und werden sie umgesetzt?
Liegt Kurzbeschreibung des beruflichen Werdeganges vor? Ist der Aufsichtsbehörde vorzulegen
Welche Fortbildungsmaßnahmen sind abgeschlossen? Ist der Aufsichtsbehörde vorzulegen
Welche Fortbildungsmaßnahmen sind geplant?
Werden Fortbildungsmaßnahmen ermöglicht und entsprechende Kosten geplant/übernommen?
Stellen-/Aufgabenbeschreibung vorhanden? Ist der Aufsichtsbehörde vorzulegen
Tätigkeitsberichte des DSB Ist der Aufsichtsbehörde vorzulegen
Datenschutzordnung Ist der Aufsichtsbehörde vorzulegen
Verpflichtung nach § 5 BDSG Ist der Aufsichtsbehörde vorzulegen
Verpflichtung nach § 88 TKG Ist der Aufsichtsbehörde vorzulegen
Schulungs-/Informationsnachweise (§ 4g BDSG) Ist der Aufsichtsbehörde vorzulegen
Verfahrensübersicht für jedermann (§ 4g BDSG) Ist der Aufsichtsbehörde vorzulegen
Interne Verfahrensübersichten (§ 4d, § 4e, § 4g BDSG) Ist der Aufsichtsbehörde vorzulegen
Verfahren zur Sicherung der Rechte von Betroffenen Ist der Aufsichtsbehörde vorzulegen

Checkliste als RTF-Datei


2. Zutrittskontrolle

Einzelnachweise

  1. ^ Dr. Peter Münch, Checklisten zur Betriebsprüfung gem. § 38 BDSG, RDV 2006, 272, 280; Coaching Workshop Datenschutzpraxis; Dr. Münch ist Berater für Datenschutz und IT-Sicherheit und Mitglied des Präsidiums der GDD-Datenschutzakademie. Als langjähriges Mitglied des GDD-Vorstandes zeichnete er für den Bereich IT-Sicherheit, Wissenschaft und Lehre sowie das Gesundheitswesen verantwortlich.


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.