Bundesamt für Sicherheit in der Informationstechnik

G 2.164 Überschreitung des Erforderlichkeitsgrundsatzes bei der Verarbeitung personenbezogener Daten

Personenbezogene Daten dürfen nur verarbeitet werden, wenn dies zur Erfüllung der rechtmäßigen Aufgaben der dafür zuständigen datenverarbeitenden Stelle erforderlich ist.

Bei der Datenverarbeitung muss im Interesse des Betroffenen die sein Persönlichkeitsrecht am wenigsten beeinträchtigende Verarbeitung gewählt werden (Verhältnismäßigkeit).

Der Erforderlichkeitsgrundsatz ist immer dann verletzt, wenn Bearbeiter Zugriffsbefugnisse auf komplette Datenbestände erhalten, obwohl sie diese weit reichenden Zugriffsmöglichkeiten für ihre Aufgabenerfüllung nicht brauchen.

Ein sehr kritischer Punkt sind auch die weit reichenden Zugriffsrechte der Systemverwalter und Netzadministratoren. Gängige Betriebssysteme, insbesondere PC- und Netz-Betriebssysteme lassen noch immer allumfassende Zugriffsberechtigungen zu, die es erlauben, beliebige Dateien zu lesen, zu schreiben und insbesondere Protokolldateien, die eigentlich zur datenschutzrechtlichen Kontrolle und Revision der Datenverarbeitung gedacht sind, zu manipulieren oder sogar zu löschen. Somit können mögliche Spuren unerkannt beseitigt werden.

Auch eine fehlende Funktionstrennung zwischen Systemtechnik, Programmierung, Anwendung und Kontrolle und eine fehlende Abschottung von Programmen und Datenbeständen kann eine Überschreitung des Erforderlichkeitsgrundsatzes begünstigen.

Beispiele:

  • Ein Versicherungssachbearbeiter ist ausschließlich zuständig für Versicherte mit den Anfangsbuchstaben A bis G, kann aber auf die Daten aller Versicherten zugreifen.
  • Zugriffsrechte werden entsprechend der Hierarchie der datenverarbeitenden Stelle nach oben durchgereicht, so dass letztendlich der Leiter der Stelle Kraft seines Amtes alle Daten lesen und verändern kann.

Stand: 9. EL Stand 2007

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK