Sicherheitsrechtliche Regelungen zum Datenschutz

Sicherheitsrechtliche Regelungen zum Datenschutz

Nach der zentralen Norm des § 9 BDSG haben die betroffenen öffentlich-rechtlichen oder privaten Stellen geeignete technische und organisatorische Maßnahmen zu treffen, die erforderlich sind. Der Begriff der Erforderlichkeit bedeutet, daß das Kosten/ Nutzenverhältnis in einem angemessen Rahmen stehen muß. Was muß man also tun, um einen sicheren Umgang mit den personenbezogenen Daten zu gewährleisten? Die Anlage zum § 9 gibt allgemeine Regelungen für den Umgang mit sicherheitsbezogenen Daten wieder.

Namentlich

– Zutrittskontrolle: Körperlicher Zugang zu den System, wie z.B. Zugangsregelungen und Begrenzung der Zugangswege.

– Zugangskontrolle: Verhinderung des Zugangs durch Unbefugte durch Nutzung von Passwörtersystemen unsw.

– Zugriffskontrolle: Überprüfung der Nutzungsberechtigung. Diejenigen Personen, die die Zugang zu den Bereichen haben, sollen nur die Daten nutzen können, für die sie auch autorisiert sind.

– Weitergabekontrolle: Kontrolle der Übertragung per DFÜ oder der Punkte, mittels derer die Daten körperlich kontrolliert werden. An welchen Stellen werden Daten übergeben, wer ist mit in der Übergabe involviert und welche Wege sind die Daten vom Ort der Erhebung bis zu dem Ort der Bearbeitung gegangen.

– Eingabekontrolle: Es muß überprüft werden können, wer wann welche Daten eingegeben hat und welche Daten wann von wem bearbeitet oder gelöscht wurden. Eine ständige Überwachung ist grundsätzlich nicht angezeigt.

– Auftragskontrolle: Es kann nur nach Anweisung des Herrs der Daten gearbeitet werden.

– Verfügbarkeitskontrolle: Sicherung vor Unglücksfällen und Katastrophen.

– Datentrennungskontrolle: Die Daten, die mit unterschiedlichen Zweckbestimmungen erhoben wurden, dürfen nicht miteinander vermischt werden.

Deren genaue Ausgestaltung bleibt Sache des Einzelfalles.

Folgende Schritte werden von Praktikern empfohlen:

– Um welche Daten geht es, wie sensibel sind die einzelnen Daten?

– Für welche Zwecke wurden die Daten erhoben?

– Welche Risiken bestehen für die einzelnen Daten im Hinblick

o Auf die Abhängigkeiten für die laufenden Prozesse?

o Schwachstellen

o Und die Zugriffssicherheit

Und im letzten Schritt: Welches Kosten/ Nutzenverhältnis besteht für die einzelnen Maßnahmen im Hinblick auf die Wichtigkeit der einzelnen Daten.

Weitere Beiträge

„Pablo Escobar“ nicht als Marke eintragungsfähig, da sittenwidrig

Das Gericht der Europäischen Union (EuGH) hat kürzlich in der Rechtssache T-255/23 (Pressemitteilung, PDF) entschieden, dass der Name „Pablo Escobar“ nicht als Unionsmarke eingetragen werden kann. Diese Entscheidung, die auf einem Antrag der Gesellschaft Escobar Inc. mit Sitz in Puerto

Inge Seher 3. Mai 2024

Vertragliche Gestaltung der Vergütung Teil I: Die Vergütung für die Leistungen der Einführung eines Systems werden auf die Vergütung für den Betrieb umgelegt

Wir haben mal wieder einige schwierige Fälle auf dem Tisch, die ich nachfolgend in Fallbeispielen beschreiben möchte. Abstrakt geht es darum, dass die IT Unternehmen versuchen, den Kunden mit bestimmten Vergütungsmodellen zu locken. Die Kosten für die Vergütung der Leistungen

Stefan G. Kramer 3. Mai 2024

Cookie-Banner mal wieder rechtswidrig, OLG Köln vom 19.01.2024

Das Urteil des OLG Köln vom 19.01.2024 reiht sich an die Urteile anderer Gerichte ein und hat entschieden, dass ein Cookie-Banner so gestaltet sein muss, dass die Ablehnung von Cookies ebenso einfach sein muss, wie das Akzeptieren. Kurz zum Sachverhalt

Inge Seher 30. April 2024

Sicherheitsrechtliche Regelungen zum Datenschutz

Weitere Beiträge

„Pablo Escobar“ nicht als Marke eintragungsfähig, da sittenwidrig

Vertragliche Gestaltung der Vergütung Teil I: Die Vergütung für die Leistungen der Einführung eines Systems werden auf die Vergütung für den Betrieb umgelegt

Rechtliches

Kontakt