Bundesamt für Sicherheit in der Informationstechnik

M 2.547 Ermittlung und Dokumentation der Rechtsgrundlagen für Anwendungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Organisation

Verantwortlich für Umsetzung: Fachverantwortliche

Um sicherstellen zu können, dass Geschäftsprozesse oder Verwaltungsverfahren, die die Anwendungen unterstützen sollen, rechtskonform betrieben werden, wird zu Planungs- (und später auch zu Audit-/Prüfungszwecken) eine vollständige Übersicht über einschlägige Rechtsgrundlagen benötigt (siehe B 1.16 Anforderungsmanagement ). Diese Übersicht ist auch hilfreich für die Erstellung eines Verfahrensverzeichnisses nach Bundesdatenschutzgesetz (BDSG). Wenn in der Institution ein Justiziariat vorhanden ist, kann es bei der Erstellung dieser Zusammenstellung unterstützen. Die Rechtsgrundlagen sollten in einer Übersicht zusammengefasst werden, die als Anlage für das Lastenheft, das Datenschutzkonzept und das Sicherheitskonzept verwendet werden kann.

Aus den für die jeweiligen Institutionen geltenden Rechtsgrundlagen können sich konkrete Vorgaben für die Informationssicherheit ergeben, zum Beispiel:

  • Zum Schutzbedarf (zum Beispiel Verarbeitung besonderer Arten personenbezogener Daten nach § 3 Absatz 9 BDSG , bereichsspezifische Amtsgeheimnisse wie das Steuer- oder Sozialgeheimnis etc. )
  • Vorgaben zur inhaltlichen Ausrichtung und Ausgestaltung von Sicherheitsmaßnahmen. Insbesondere bei der Verarbeitung personenbezogener Daten sind rechtliche Vorgaben wie die Einhaltung der Zweckbindung (wirkt sich zum Beispiel auf die Anforderungen zur Gestaltung und Absicherung von externen Schnittstellen und Berichten aus) oder der Datenminimierung und Datensparsamkeit (wirkt sich zum Beispiel auf die Anforderung an die Gestaltung von Löschfristen aus) zu beachten.
  • Vorgaben zu konkreten Sicherheitsmaßnahmen, wie zum Beispiel der Einsatz von Spiegeldatenbanken, der Qualifizierten Elektronischen Signatur (QES), zur Pseudonymisierung oder Anonymisierung der zu verarbeitenden Daten oder zur Gestaltung der Protokollierung
  • Vorgaben zu Speicher- oder Archivierungsfristen

Prüffragen:

  • Besteht eine Übersicht über die Rechtsgrundlagen zur Verarbeitung von Daten mit den Anwendungen?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK