Bundesamt für Sicherheit in der Informationstechnik

M 2.505 Festlegung von technisch-organisatorischen Maßnahmen entsprechend dem Stand der Technik bei der Verarbeitung personenbezogener Daten

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Datenschutzbeauftragter, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Datenschutzbeauftragter, Fachverantwortliche, IT-Sicherheitsbeauftragter

Ein sehr wichtiger Bereich des Datenschutzes sind die technischen und organisatorischen Maßnahmen, die getroffen werden müssen, damit das Recht auf informationelle Selbstbestimmung gewährleistet ist und die personenbezogenen Daten vor Missbrauch, Fehlern und Unglücksfällen möglichst sicher sind.

Welche Maßnahmen notwendig sind, hängt nicht nur von der Art der Daten und der Aufgabe ab, für die sie verwendet werden sollen, sondern ebenso von den organisatorischen Bedingungen, den räumlichen Verhältnissen, der personellen Situation und anderen Rahmenbedingungen.

Die Gesetze verzichten deshalb darauf, bestimmte einzelne Maßnahmen zwingend vorzuschreiben, sondern verlangen nur allgemein, "die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieser Gesetze zu gewährleisten".

Welche Wirkung diese Maßnahmen im Bereich der automatisierten Verarbeitung haben müssen, legen die Datenschutzgesetze katalogmäßig fest. Nach §9 BDSG müssen die Maßnahmen geeignet sein,

  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
  2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
  3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
  4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
  5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
  6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Diese Anforderungen weichen in den Formulierungen und Konsequenzen der einzelnen Landesdatenschutzgesetze voneinander ab.

Entscheidend bei Planung und Durchführung der technischen und organisatorischen Maßnahmen ist, dass sie als ein zusammenwirkendes Schutzsystem verstanden werden. Ein solches Schutzsystem sichert neben dem rechtlich erforderlichen Datenschutz auch die ordnungsgemäße Aufgabenerfüllung und einen ordentlichen Betriebsablauf. Deshalb ist es wichtig, das Datenschutzkonzept jeweils in Abstimmung mit den Fachkonzepten der betreffenden Organisationseinheiten und den sonstigen Sicherheitskonzepten, z. B. dem Informationssicherheitskonzept, zu entwickeln und anzuwenden.

Der Aufwand für die notwendigen Maßnahmen sollte in einem angemessenen Verhältnis zum angestrebten Schutzzweck stehen (zu den Schutzstufen siehe BSI -Standard 100-2 bzw. landesspezifische Regelungen zum Datenschutz). Je schwerer die den Betroffenen drohende Rechtsverletzung und je größer das Risiko eines Schadenseintritts ist, umso höher ist der angemessene Aufwand. Ein Ermessen besteht zwar bei der Auswahl der einzelnen Maßnahmen, nicht aber bei der Festlegung des Schutzniveaus. Als notwendig erkannte Maßnahmen sind auch dann zu treffen, wenn sie die Entwicklung und den Einsatz einer IT-Anwendung erschweren. Ist dies mit den vorgesehenen Maßnahmen nicht zu gewährleisten, muss entweder ein höherer Aufwand in Kauf genommen werden oder eine andere, mit weniger Aufwand verbundene Verfahrensgestaltung in Betracht gezogen werden. Diese Maßnahmen sind entsprechend dem aktuellen Stand der Technik fortzuschreiben.

Ebenso ist sicherzustellen, dass die gesetzlichen Datenschutzvorschriften durch Informationssicherheits- und Datenschutz-Regelungen umgesetzt werden.

Soweit ein behördlicher bzw. betrieblicher Datenschutzbeauftragter (bDSB) institutionalisiert ist (in einigen Datenschutzgesetzen bestehen hierzu gesetzliche Vorgaben), sollten Richtlinien, Rundschreiben o. ä., die die Hausleitung als Querschnittsregelung zum Umgang mit personenbezogenen Daten in der gesamten Dienststelle erlässt, mit seiner Beteiligung erarbeitet werden.

Er sollte stets bei der Behandlung von Dienst- bzw. Betriebsvereinbarungen zwischen Dienststelle bzw. Betrieb und Personal- bzw. Betriebsrat über den Umgang mit personenbezogenen Daten hinzugezogen werden. Die Einhaltung der Regelungen sollte kontrolliert werden.

Beispiele für technisch-organisatorische Maßnahmen sind

Eine Übersicht der Maßnahmen der IT-Grundschutz-Kataloge, die zur Erreichung der oben genannten Anforderungen geeignet sind, wird in der Tabelle zu Baustein B 1.5 Datenschutz unter den Hilfsmitteln zum IT-Grundschutz dargestellt.

Prüffragen:

  • Sind alle technischen und organisatorischen Maßnahmen getroffen, die erforderlich sind, um ausreichenden Datenschutz zu gewährleisten?

  • Existieren geeignete Vorgaben zum Umgang mit personenbezogenen Daten in der gesamten Institution?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK