Sicherheitsrechtliche Regelungen zum Datenschutz
Nach der zentralen Norm des § 9 BDSG haben die betroffenen öffentlich-rechtlichen oder privaten Stellen geeignete technische und organisatorische Maßnahmen zu treffen, die erforderlich sind. Der Begriff der Erforderlichkeit bedeutet, daß das Kosten/ Nutzenverhältnis in einem angemessen Rahmen stehen muß. Was muß man also tun, um einen sicheren Umgang mit den personenbezogenen Daten zu gewährleisten? Die Anlage zum § 9 gibt allgemeine Regelungen für den Umgang mit sicherheitsbezogenen Daten wieder.
Namentlich
– Zutrittskontrolle: Körperlicher Zugang zu den System, wie z.B. Zugangsregelungen und Begrenzung der Zugangswege.
– Zugangskontrolle: Verhinderung des Zugangs durch Unbefugte durch Nutzung von Passwörtersystemen unsw.
– Zugriffskontrolle: Überprüfung der Nutzungsberechtigung. Diejenigen Personen, die die Zugang zu den Bereichen haben, sollen nur die Daten nutzen können, für die sie auch autorisiert sind.
– Weitergabekontrolle: Kontrolle der Übertragung per DFÜ oder der Punkte, mittels derer die Daten körperlich kontrolliert werden. An welchen Stellen werden Daten übergeben, wer ist mit in der Übergabe involviert und welche Wege sind die Daten vom Ort der Erhebung bis zu dem Ort der Bearbeitung gegangen.
– Eingabekontrolle: Es muß überprüft werden können, wer wann welche Daten eingegeben hat und welche Daten wann von wem bearbeitet oder gelöscht wurden. Eine ständige Überwachung ist grundsätzlich nicht angezeigt.
– Auftragskontrolle: Es kann nur nach Anweisung des Herrs der Daten gearbeitet werden.
– Verfügbarkeitskontrolle: Sicherung vor Unglücksfällen und Katastrophen.
– Datentrennungskontrolle: Die Daten, die mit unterschiedlichen Zweckbestimmungen erhoben wurden, dürfen nicht miteinander vermischt werden.
Deren genaue Ausgestaltung bleibt Sache des Einzelfalles.
Folgende Schritte werden von Praktikern empfohlen:
– Um welche Daten geht es, wie sensibel sind die einzelnen Daten?
– Für welche Zwecke wurden die Daten erhoben?
– Welche Risiken bestehen für die einzelnen Daten im Hinblick
o Auf die Abhängigkeiten für die laufenden Prozesse?
o Schwachstellen
o Und die Zugriffssicherheit
Und im letzten Schritt: Welches Kosten/ Nutzenverhältnis besteht für die einzelnen Maßnahmen im Hinblick auf die Wichtigkeit der einzelnen Daten.