Grundregeln zum Datenschutz (Anlage zu §9 Satz 1 des BDSG)

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
  2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
  3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
  4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
  5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
  6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
    Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

 

Praktische Umsetzung

zu 1.   Zutrittskontrolle                                                                                                                                

Unbefugte sollen keinen Zutritt zu Datenverarbeitungsanlagen, mit denen Personenbezogene Daten verarbeitet werden, erhalten. Mögliche Maßnahmen könnten sein:

  • Festlegung von Sicherungsbereichen,
  • Festlegung von befugten Personen (Mitarbeiter, Fremdbehörden, Fremdfirmen, Wartungsdienste, Anwendungsbetreuung),
  • Festlegung von Besucherregelungen,
  • Sicherung von Gebäuden und Räumen,
  • Anwesenheitsaufzeichnungen,

 

zu 2.    Zugangskontrolle

Nur Befugte Personen dürfen Zugang zu Datenverarbeitungsanlagen (DV-Anlagen) erhalten. Zu diesem Zweck sind DV-Anlagen grundsätzlich mit zweistufigen Zugangskennungen zu schützen. Nachfolgende Hinweise müssen beachtet werden:

  • Nutzerkennungen, d.h. Nutzername und Passwort sind an den jeweiligen Nutzer gebunden und dürfen nicht weiter gegeben werden - ein Vorstoß gegen dieses Gebot ist mehr, als lediglich ein Fahrlässigkeitsdelikt und zieht im Schadensfall arbeitsrechtliche Maßnahmen und eventuell einen Strafantrag nach sich
  • Passwörter sollten mindestens 7 Zeichen lang sein, sowie Sonderzeichen und Ziffern enthalten
  • bei eventuellem Bekanntwerden des Passwortes muss dieses umgehend geändert werden

 

zu 3.    Zugriffskontrolle

Diese Maßnahme ist eng an die Zugangskontrolle gebunden. Berechtigte Personen, die sich mit ihrer Nutzerkennung ordnungsgemäß am DV-System identifiziert haben, besitzen entsprechend ihrer Nutzerrechte differenzierte und damit abgestufte Berechtigungen in den jeweiligen Software-Systemen. DerVersuch, sich weitere, nicht vergebene Nutzerrechte zu erschleichen, ist eine Straftat gemäß § 202a StGB (Ausspähen von Daten) und zieht arbeitsrechtliche und strafrechtliche Konsequenzen nach sich.

 

zu 4.    Weitergabekontrolle

Personenbezogene Daten und vertrauliche dienstliche Informationen dürfen nur über sichere Kommunikationswege übertragen werden. Eine Sendung per Email (insbesondere außerhalb des FZD) ist nur in verschlüsselter Form zulässig. Soll die Exaktheit und Originalität des Dokumentes für den Empfänger nachvollziehbar sein, empfiehlt sich die Verwendung der digitalen Signatur. Der Umgang mit externen Datenträgern, wie z.B. USB-Sticks, externe Festplatten, SD-Speicherkarten u.ä. muss mit großer Sorgfalt erfolgen. Personenbezogene und vertrauliche Inhalte sollen verschlüsselt sein. Die Weitergabe oder elektronische Übermittlung personenbezogener und vertraulicher Daten und Datenträger muss nachvollziehbar sein.

 

zu 5.     Eingabekontrolle

Über die Werkzeuge der Nutzerverwaltung und der damit verbundenen Rechteverwaltung muss nachvollziebar sein, wer Neueingaben, Änderungen oder das Löschen personenbezogener und vertraulicher Informationen veranlasst hat. Deshalb wird an dieser Stelle nochmals auf das hohe Risiko der Weitergabe von Nutzerkennungen hingewiesen. Verantwortlich bleibt in jedem Falle der angemeldete Nutzer, nicht der geduldete Fremdnutzer im Vertretungsfalle.

 

zu 6.    Auftragskontrolle

Bei personenbezogener Datenverarbeitung im Auftrag (z.B. Fremdwartung von Datenverarbeitungseinrichtungen, mit denen personenbezogene Informationen verarbeitet werden oder Entsorgung von Papier mit vertraulichen oder personenbezogenen Inhalten durch Fremdfirmen) müssen entsprechende vertragliche Regelungen getroffen sein, um die Tätigkeit dieser externen Auftragnehmer transparent zu halten.

 

zu 7.    Verfügbarkeitskontrolle

Personenbezogene und andere vertrauliche Informationen müssen derart abgelegt werden, dass ein Verlust nicht möglich ist oder, dass im Falle eines Verlustes eine Rekonstruktion der Daten, mit einem vertretbaren technisch-organisatorischen Aufwand, möglich ist. Deshalb sind lokale Datenablagen nicht als hinreichend sicher einzustufen. Nur zentrale Ressourcen können hinreichend gesichert und im Schadensfall wieder hergestellt werden.

 

zu 8.    Prinzip der Zweckbindung

Personenbezogene Daten dürfen nur für den Zweck genutzt werden, für den sie ursprünglich erhoben wurden. Die Verwendung derartiger Daten in Verbunddateien (Nutzung eines ursprünglichen Datenbestandes auch für andere Zwecke) muss innerbetrieblich definiert und festgeschrieben sein.

Diese technisch - organisatorischen Maßnahmen müssen in den Bereichen, in denen personenbezogene Daten erhoben, verarbeitet, genutzt und übermittelt werden konkret untersetzt werden.