Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men

Schon im jet­zi­gen Gesetz (BDSG) sind die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOMs) defi­niert. Die EU hat die TOMs um eini­ge Punk­te erwei­tert.

Die Bun­des­re­gie­rung hat die TOMs aus der EU‐Verordnung in das natio­na­le Bun­des­da­ten­schutz­ge­setz über­nom­men — und ver­weist dar­auf in 10 Para­gra­phen.

Im §64 BDSG‐Neu fin­den Sie ihre Pflich­ten.

Was hier als Min­dest­stan­dard defi­niert ist, soll­ten sie auch als Chan­ge sehen. Sie haben einen ech­ten Nut­zen aus dem Gesetz. Wenn ihre IT nach die­sen Regeln auf­ge­baut ist und ent­spre­chend Betreut wird, sind sie ein paar gro­ße Sor­gen los.

Es wird immer und zu jeder Zeit, vor­nehm­lich Frei­tags, eine Kom­po­nen­te sei­nen Dienst ver­sa­gen.

Daten­ver­lust kann sich heu­te kei­ner mehr leis­ten und die IT übers Wochen­en­de flott zu machen bedeu­tet für alle betei­lig­ten Stress — vor allem für Sie.

Ihre Pflich­ten und damit auch Ihre Sicher­heit

§64 BDSG‐Neu — Anfor­de­run­gen an die Sicher­heit der Daten­ver­ar­bei­tung

(1)

Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter haben unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten, der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der Ein­tritts­wahr­schein­lich­keit und der Schwe­re der mit der Ver­ar­bei­tung ver­bun­de­nen Gefah­ren für die Rechts­gü­ter der betrof­fe­nen Per­so­nen die erfor­der­li­chen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zu tref­fen, um bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten, ins­be­son­de­re im Hin­blick auf die Ver­ar­bei­tung beson­de­rer Kate­go­ri­en per­so­nen­be­zo­ge­ner Daten. Der Ver­ant­wort­li­che hat hier­bei die ein­schlä­gi­gen Tech­ni­schen Richt­li­ni­en und Emp­feh­lun­gen des Bun­des­am­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik zu berück­sich­ti­gen.

(2)

Die in Absatz 1 genann­ten Maß­nah­men kön­nen unter ande­rem die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten umfas­sen, soweit sol­che Mit­tel in Anbe­tracht der Ver­ar­bei­tungs­zwe­cke mög­lich sind. Die Maß­nah­men nach Absatz 1 sol­len dazu füh­ren, dass

1. die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicher­ge­stellt wer­den und

2. die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und der Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wie­der­her­ge­stellt wer­den kön­nen.

(3)

Im Fall einer auto­ma­ti­sier­ten Ver­ar­bei­tung haben der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter nach einer Risi­ko­be­wer­tung Maß­nah­men zu ergrei­fen, die Fol­gen­des bezwe­cken:

1. Ver­weh­rung des Zugangs zu Ver­ar­bei­tungs­an­la­gen, mit denen die Ver­ar­bei­tung durch­ge­führt wird, für Unbe­fug­te
(Zugangs­kon­trol­le),

2. Ver­hin­de­rung des unbe­fug­ten Lesens, Kopie­rens, Ver­än­derns oder Löschens von Daten­trä­gern
(Daten­trä­ger­kon­trol­le),

3. Ver­hin­de­rung der unbe­fug­ten Ein­ga­be von per­so­nen­be­zo­ge­nen Daten sowie der unbe­fug­ten Kennt­nis­nah­me, Ver­än­de­rung und Löschung von gespei­cher­ten per­so­nen­be­zo­ge­nen Daten
(Spei­cher­kon­trol­le),

4. Ver­hin­de­rung der Nut­zung auto­ma­ti­sier­ter Ver­ar­bei­tungs­sys­te­me mit Hil­fe von Ein­rich­tun­gen zur Daten­über­tra­gung durch Unbe­fug­te
(Benut­zer­kon­trol­le),

5. Gewähr­leis­tung, dass die zur Benut­zung eines auto­ma­ti­sier­ten Ver­ar­bei­tungs­sys­tems Berech­tig­ten aus­schließ­lich zu den von ihrer Zugangs­be­rech­ti­gung umfass­ten per­so­nen­be­zo­ge­nen Daten Zugang haben
(Zugriffs­kon­trol­le),

6. Gewähr­leis­tung, dass über­prüft und fest­ge­stellt wer­den kann, an wel­che Stel­len per­so­nen­be­zo­ge­ne Daten mit Hil­fe von Ein­rich­tun­gen zur Daten­über­tra­gung über­mit­telt oder zur Ver­fü­gung gestellt wur­den oder wer­den kön­nen
(Über­tra­gungs­kon­trol­le),

7. Gewähr­leis­tung, dass nach­träg­lich über­prüft und fest­ge­stellt wer­den kann, wel­che per­so­nen­be­zo­ge­nen Daten zu wel­cher Zeit und von wem in auto­ma­ti­sier­te Ver­ar­bei­tungs­sys­te­me ein­ge­ge­ben oder ver­än­dert wor­den sind
(Ein­ga­be­kon­trol­le),

8. Gewähr­leis­tung, dass bei der Über­mitt­lung per­so­nen­be­zo­ge­ner Daten sowie beim Trans­port von Daten­trä­gern die Ver­trau­lich­keit und Inte­gri­tät der Daten geschützt wer­den
(Trans­port­kon­trol­le),

9. Gewähr­leis­tung, dass ein­ge­setz­te Sys­te­me im Stö­rungs­fall wie­der­her­ge­stellt wer­den kön­nen
(Wie­der­her­stell­bar­keit),

10. Gewähr­leis­tung, dass alle Funk­tio­nen des Sys­tems zur Ver­fü­gung ste­hen und auf­tre­ten­de Fehl­funk­tio­nen gemel­det wer­den
(Zuver­läs­sig­keit),

11. Gewähr­leis­tung, dass gespei­cher­te per­so­nen­be­zo­ge­ne Daten nicht durch Fehl­funk­tio­nen des Sys­tems beschä­digt wer­den kön­nen
(Daten­in­te­gri­tät),

12. Gewähr­leis­tung, dass per­so­nen­be­zo­ge­ne Daten, die im Auf­trag ver­ar­bei­tet wer­den, nur ent­spre­chend den Wei­sun­gen des Auf­trag­ge­bers ver­ar­bei­tet wer­den kön­nen
(Auf­trags­kon­trol­le),

13. Gewähr­leis­tung, dass per­so­nen­be­zo­ge­ne Daten gegen Zer­stö­rung oder Ver­lust geschützt sind
(Ver­füg­bar­keits­kon­trol­le),

14. Gewähr­leis­tung, dass zu unter­schied­li­chen Zwe­cken erho­be­ne per­so­nen­be­zo­ge­ne Daten getrennt ver­ar­bei­tet wer­den kön­nen
(Trenn­bar­keit).

Ein Zweck nach Satz 1 Num­mer 2 bis 5 kann ins­be­son­de­re durch die Ver­wen­dung von dem Stand der Tech­nik ent­spre­chen­den Ver­schlüs­se­lungs­ver­fah­ren erreicht wer­den.



Vie­le der auf­ge­führ­ten Punk­te soll­te auch Ihr Anspruch an die eige­ne IT sein und neben­bei kön­nen Sie anhand Ihrer Doku­men­ta­ti­on able­sen, wie es bei Ihnen im Hau­se um die eige­ne IT bestellt ist — auch ohne ein Crack auf dem Gebiet der IT zu sein.