Die acht Gebote des Datenschutzes: Zutrittskontrolle (1)
In den Medien wird inzwischen fast täglich über Datenpannen und Hackerangriffe berichtet. Und immer wieder geht es um den 'Datenschutz', dem – so scheint es – ein immer höherer Stellenwert zu Teil wird. Bei einem genauen Blick in die Unternehmen kommen häufig eklatante Verstöße gegen den Datenschutz zu Tage. Grund hierfür ist nicht zuletzt die Unkenntnis über elementare Gebote des Datenschutzes, die der Gesetzgeber in den acht Geboten des Datenschutzes festgelegt hat und als Basiswissen im Datenschutz voraussetzt. Unsere neue Serie von Artikeln zum IT-Recht bringt Ihnen die acht Gebote und ihre Konsequenzen näher. Im ersten Teil lernen Sie die Anforderungen an die Zutrittskontrolle.
Die in der Anlage zu § 9 Satz 1 BDSG in Nr. 1 bis Nr. 8 genannten Gebote sind auch für den Bereich der Auftragsdatenverarbeitung relevant. Sie geben gemäß § 11 Absatz 2 Nr. 3 BDSG die in den Verträgen zur Auftragsdatenverarbeitung zu treffenden technischen und organisatorischen Maßnahmen (sogenannte TOMs) vor. Ohne deren Kenntnis ist somit auch ein rechtssicherer Vertrag zur Auftragsdatenverarbeitung nicht möglich.
Die acht Gebote des BDSG
Bei den einzelnen in der Anlage zu § 9 BDSG normierten acht Geboten handelt es sich um:
- Zutrittskontrolle: Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
- Zugangskontrolle: Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
- Zugriffskontrolle: Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
- Weitergabekontrolle: Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
- Eingabekontrolle: Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
- Auftragskontrolle: Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
- Verfügbarkeitskontrolle: Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
- Trennungskontrolle: Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Zutrittskontrolle umsetzen
Das erste Gebot lautet: Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Hierbei geht es um den physischen, also unmittelbaren Zutritt zu den DV-Anlagen. Unbefugten Personen soll es nicht möglich sein, auch nur in die Nähe von DV-Anlagen zu gelangen. Hierbei ist zu berücksichtigen, dass die Zutrittskontrolle nicht nur die unbefugte Datenverarbeitung, sondern auch deren vorsätzliche Zerstörung verhindern soll (hier ergeben sich Parallelen zur Verfügbarkeitskontrolle).
Seite 1 von 2 Nächste Seite>>
Giovanni Brugugnone/jp/ln
