Die in der Anlage zu § 9 Satz 1 BDSG in Nr. 1 bis Nr. 8 genannten Gebote sind auch für den Bereich der Auftragsdatenverarbeitung relevant. Sie geben gemäß § 11 Absatz 2 Nr. 3 BDSG die in den Verträgen zur Auftragsdatenverarbeitung zu treffenden technischen und organisatorischen Maßnahmen (sogenannte TOMs) vor. Ohne deren Kenntnis ist somit auch ein rechtssicherer Vertrag zur Auftragsdatenverarbeitung nicht möglich.

Die acht Gebote des BDSG
Bei den einzelnen in der Anlage zu § 9 BDSG normierten acht Geboten handelt es sich um:

1. Zutrittskontrolle: Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
2. Zugangskontrolle: Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
3. Zugriffskontrolle: Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
4. Weitergabekontrolle: Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
5. Eingabekontrolle: Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
6. Auftragskontrolle: Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
7. Verfügbarkeitskontrolle: Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
8. Trennungskontrolle: Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Zutrittskontrolle umsetzen
Das erste Gebot lautet: Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Hierbei geht es um den physischen, also unmittelbaren Zutritt zu den DV-Anlagen. Unbefugten Personen soll es nicht möglich sein, auch nur in die Nähe von DV-Anlagen zu gelangen. Hierbei ist zu berücksichtigen, dass die Zutrittskontrolle nicht nur die unbefugte Datenverarbeitung, sondern auch deren vorsätzliche Zerstörung verhindern soll (hier ergeben sich Parallelen zur Verfügbarkeitskontrolle).

                                                Seite 1 von 2                     Nächste Seite>>

Giovanni Brugugnone/jp/ln