Bundesamt für Sicherheit in der Informationstechnik

M 1.30 Absicherung der Datenträger mit TK-Gebührendaten

Verantwortlich für Initiierung: Datenschutzbeauftragter, TK-Anlagen-Verantwortlicher

Verantwortlich für Umsetzung: Administrator

Auf den TK-Anlagen fallen während des Betriebes Gebührendaten an. Diese enthalten Informationen über:

  • Zeit und Datum eines Gespräches,
  • Quell- und Zielrufnummer sowie die
  • Gesprächsdauer.

Gebührendaten sind personenbezogene Daten im Sinne der einschlägigen Bundes- und Landesdatenschutzgesetze. Hieraus folgt, dass auch nach den im folgenden vorgeschlagenen Maßnahmen des IT-Grundschutzes in jedem Fall eine gesonderte Betrachtung im Hinblick auf die Anforderungen der Datenschutzgesetze (z. B. aus der Anlage zum § 9 Bundesdatenschutzgesetz) durchzuführen ist.

Diese Daten können sowohl auf der Festplatte der TK-Anlage selbst als auch auf einem externen Gebührenrechner gespeichert werden. In vielen Fällen wird es eine Kombination beider Varianten geben. Die Rechner sind - wenn möglich - so zu schützen, dass nur Berechtigte auf die Gebührendaten zugreifen können. Dazu ist es erforderlich, den Gebührenrechner in einem besonders geschützten Raum (siehe Baustein B 2.4 Serverraum ) aufzustellen. Für Einrichtungen, auf denen Gebührendaten gespeichert sind, müssen ferner die Maßnahmen M 1.23 Abgeschlossene Türen , M 2.5 Aufgabenverteilung und Funktionstrennung , M 2.6 Vergabe von Zutrittsberechtigungen , M 2.7 Vergabe von Zugangsberechtigungen , M 2.8 Vergabe von Zugriffsrechten , M 2.13 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln und M 2.17 Zutrittsregelung und -kontrolle realisiert werden.

Es ist zu dokumentieren, welche Personen in welchen Rollen Zugriff auf die Gebührendaten haben.

Prüffragen:

  • Können nur Berechtigte auf Gebührendaten zugreifen und sind die Berechtigungen dokumentiert?

  • Existiert eine Regelung zur Dokumentation, welche Personen in welchen Rollen Zugriff auf die Gebührendaten haben?

Stand: 13. EL Stand 2013