Fachartikel

Die acht Gebote des Datenschutzes: Zutrittskontrolle (1)

In den Medien wird inzwischen fast täglich über Datenpannen und Hackerangriffe berichtet. Und immer wieder geht es um den 'Datenschutz', dem – so scheint es – ein immer höherer Stellenwert zu Teil wird. Bei einem genauen Blick in die Unternehmen kommen häufig eklatante Verstöße gegen den Datenschutz zu Tage. Grund hierfür ist nicht zuletzt die Unkenntnis über elementare Gebote des Datenschutzes, die der Gesetzgeber in den acht Geboten des Datenschutzes festgelegt hat und als Basiswissen im Datenschutz voraussetzt. Unsere neue Serie von Artikeln zum IT-Recht bringt Ihnen die acht Gebote und ihre Konsequenzen näher. Im ersten Teil lernen Sie die Anforderungen an die Zutrittskontrolle.
Du sollst nicht unbefugt in meinem Serverraum wandeln - wer dieses Gebot vernachlässigt, kommt schnell mit dem Gesetz in Konflikt
Die in der Anlage zu § 9 Satz 1 BDSG in Nr. 1 bis Nr. 8 genannten Gebote sind auch für den Bereich der Auftragsdatenverarbeitung relevant. Sie geben gemäß § 11 Absatz 2 Nr. 3 BDSG die in den Verträgen zur Auftragsdatenverarbeitung zu treffenden technischen und organisatorischen Maßnahmen (sogenannte TOMs) vor. Ohne deren Kenntnis ist somit auch ein rechtssicherer Vertrag zur Auftragsdatenverarbeitung nicht möglich.

Die acht Gebote des BDSG
Bei den einzelnen in der Anlage zu § 9 BDSG normierten acht Geboten handelt es sich um:
  1. Zutrittskontrolle: Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
  2. Zugangskontrolle: Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
  3. Zugriffskontrolle: Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  4. Weitergabekontrolle: Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
  5. Eingabekontrolle: Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
  6. Auftragskontrolle: Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
  7. Verfügbarkeitskontrolle: Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
  8. Trennungskontrolle: Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Zutrittskontrolle umsetzen
Das erste Gebot lautet: Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Hierbei geht es um den physischen, also unmittelbaren Zutritt zu den DV-Anlagen. Unbefugten Personen soll es nicht möglich sein, auch nur in die Nähe von DV-Anlagen zu gelangen. Hierbei ist zu berücksichtigen, dass die Zutrittskontrolle nicht nur die unbefugte Datenverarbeitung, sondern auch deren vorsätzliche Zerstörung verhindern soll (hier ergeben sich Parallelen zur Verfügbarkeitskontrolle).




                                                Seite 1 von 2                     Nächste Seite>>


9.01.2012/Giovanni Brugugnone/jp/ln

Nachrichten

BSI gewinnt Kryptowettbewerb [14.11.2018]

Die jährlich stattfindende CHES ist mit über 400 Teilnehmern eine der größten internationalen Konferenzen im Bereich der kryptographischen Forschung. Ein Team des Bundesamts für Sicherheit in der Informationstechnik hat nun im Rahmen der Hardware-Sicherheitskonferenz an zwei Einzeldisziplinen des Kryptowettbewerbs 'CHES 2018 Challenge' zu AES-Implementierungen teilgenommen und beide mit Hilfe von Künstlicher Intelligenz gewonnen. [mehr]

Angreifern einen Schritt voraus [9.11.2018]

Angreifer suchen permanent nach Schwachstellen, um in Unternehmensnetze zu kommen. Das deutsche Start-up Vulidity möchte IT-Verantwortliche in die gleiche Ausgangslage versetzen, um so Sicherheitslücken zu schließen, bevor Hacker diese ausnutzen. Hierfür untersucht Vulidity das interne Netzwerk, hilft bei der Mitarbeiterschulung und sucht nach für Angreifer verwertbaren Informationen im Internet. [mehr]

Gefahr aus der Luft [8.11.2018]

Tipps & Tools

ICA-Sitzung problemlos abmelden [11.11.2018]

Viele Firmen nutzen Citrix Virtual Apps & Desktops (früher XenApp & XenDesktop), um eine zentrale Arbeitsumgebung bereitzustellen. Wer sich dabei aus betriebstechnischen Gründen für vSphere (ESXi) als Hypervisor entschieden hat, um VMs zu hosten, steht dann eventuell vor einem Problem: Es erscheint die Fehlermeldung "Verbindung unterbrochen" während des Abmeldens von der ICA-Sitzung. Das Problem lässt sich jedoch recht leicht beheben. [mehr]

Erstes Sonderheft 2019 zum Thema Virtualisierung [5.11.2018]

Es gibt heute kaum noch Unternehmen, in denen in der IT-Abteilung nicht virtualisiert wird. Die 180 Seiten des ersten IT-Administrator Sonderhefts 2019 'Virtualisierung in KMUs' liefern IT-Verantwortlichen deshalb Best Practices zur Planung und Umsetzung virtualisierter Server, Netze, Speicher, Anwendungen und Clients. Das Sonderheft erscheint im März 2019, Sie können es jedoch schon jetzt vorbestellen. Wie immer profitieren Abonnenten von einem besonderen Vorzugspreis. [mehr]

Buchbesprechung

Praxisbuch IT-Dokumentation

von Manuela und Georg Reiss

Anzeigen