1
Eine Bearbeitung
Technische und organisatorische Maßnahmen: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
K
Technische und organisatorische Maßnahmen (Quelltext anzeigen)
Version vom 11. September 2018, 10:40 Uhr
, 11. September 2018tippo
(BfDI Vorlage eingefügt) |
K (tippo) |
||
| Zeile 64: | Zeile 64: | ||
* Berechtigungskonzept | * Berechtigungskonzept | ||
* Benutzerkennung mit Passwort | * Benutzerkennung mit Passwort | ||
* gesicherte Schnittstellen (USB, Firewire, Netzwerk | * gesicherte Schnittstellen (USB, Firewire, Netzwerk etc.) | ||
* Datenträgerverwaltung | * Datenträgerverwaltung | ||
* zertifikatsbasierte Zugriffsberechtigung | * zertifikatsbasierte Zugriffsberechtigung | ||
| Zeile 70: | Zeile 70: | ||
=== Weitergabekontrolle === | === Weitergabekontrolle === | ||
Es muss verhindert werden, dass personenbezogenen Daten bei der elektronischen Übertragung | Es muss verhindert werden, dass personenbezogenen Daten bei der elektronischen Übertragung, beim Transport oder bei der Speicherung auf Datenträgern unbefugt gelesen, kopiert, verändert oder gelöscht werden können und dass festgestellt werden kann, an welchen Stellen eine Übermittlung solcher Daten im DV-System vorgesehen ist. | ||
* Sicherung bei der elektronischen Übertragung | * Sicherung bei der elektronischen Übertragung | ||
| Zeile 93: | Zeile 93: | ||
=== Auftragskontrolle === | === Auftragskontrolle === | ||
Es muss sichergestellt werden, dass personenbezogene Daten die [[Auftragsdatenverarbeitung|im Auftrag verarbeitet]] werden, gemäß den Weisungen des Auftraggebers verarbeitet werden. | Es muss sichergestellt werden, dass personenbezogene Daten, die [[Auftragsdatenverarbeitung|im Auftrag verarbeitet]] werden, gemäß den Weisungen des Auftraggebers verarbeitet werden. | ||
* Weisungsbefugnisse festlegen | * Weisungsbefugnisse festlegen | ||
* Vor-Ort Kontrollen | * Vor-Ort-Kontrollen | ||
* Datenschutzvertrag gemäß den Vorgaben nach {{bdsgl|11}} BDSG | * Datenschutzvertrag gemäß den Vorgaben nach {{bdsgl|11}} BDSG | ||
* Stichprobenprüfung | * Stichprobenprüfung | ||
| Zeile 114: | Zeile 114: | ||
=== Trennungsgebot === | === Trennungsgebot === | ||
Es ist sicher zu Stellen, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden getrennt verarbeitet werden können. | Es ist sicher zu Stellen, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeitet werden können. | ||
* Trennung von Produktiv- und Testsystemen | * Trennung von Produktiv- und Testsystemen | ||
| Zeile 125: | Zeile 125: | ||
== Prinzip der Verhältnismäßigkeit == | == Prinzip der Verhältnismäßigkeit == | ||
Das BDSG schränkt sich in den zu treffenden Schutzmaßnahmen selbst ein. Für TOM gilt ein | Das BDSG schränkt sich in den zu treffenden Schutzmaßnahmen selbst ein. Für TOM gilt ein [[Verhältnismäßigkeit]]sprinzip. Demnach müssen personenbezogene Daten nicht unendlich stark geschützt werden, wenn die Maßnahmen dafür wirtschaftlich unangemessen hoch ausfallen würden. Daraus lässt sich ableiten, dass bei einer Auftragsdatenverarbeitung (ADV) der Dienstleister, welcher nur einen Teil der Daten zur Bearbeitung erhält, nicht zwingend die gleichen Schutzmaßnahmen treffen muss, wie sie etwa die verantwortliche Stelle ausführt. | ||
Beispiel: | Beispiel: | ||
Der EDV-Dienstleister einer Bank kann (aus wirtschaftlicher Sicht) nicht die gleichen Sicherheitsmaßnahmen gewährleisten wie die Bank selbst. Da er in aller Regel nur auf einen Teilbereich der Daten Zugriff hat (oder zur Verfügung) ist dies gesetzlich auch nicht geboten, selbst wenn die Daten als | Der EDV-Dienstleister einer Bank kann (aus wirtschaftlicher Sicht) nicht die gleichen Sicherheitsmaßnahmen gewährleisten wie die Bank selbst. Da er in aller Regel nur auf einen Teilbereich der Daten Zugriff hat (oder zur Verfügung), ist dies gesetzlich auch nicht geboten, selbst wenn die Daten als sensibel zu betrachten sind (Kontonummern, Kredikartenumsätze). | ||
== Kritik == | == Kritik == | ||
Aus der IT-Sicherheit besteht Kritik an den Formulierungen in der Anlage zu {{bdsg|9}} BDSG diesbezüglich, dass die genannten Schutzzwecke mit den "drei Säulen der IT-Sicherheit" (Verfügbarkeit, Vertraulichkeit, Integrität) übereinstimmen aber unnötig auseinander gerissen werden. Dadurch wird die gemeinsame Sprache zwischen IT-Sicherheitsverantwortlichen und Datenschutzbeauftragten zersplittert. | Aus der IT-Sicherheit besteht Kritik an den Formulierungen in der Anlage zu {{bdsg|9}} BDSG diesbezüglich, dass die genannten Schutzzwecke mit den "drei Säulen der IT-Sicherheit" (Verfügbarkeit, Vertraulichkeit, Integrität) übereinstimmen, aber unnötig auseinander gerissen werden. Dadurch wird die gemeinsame Sprache zwischen IT-Sicherheitsverantwortlichen und Datenschutzbeauftragten zersplittert. | ||