Home / Leitfaden / 2. Datenschutz / 2.2 Organ Sicherheit / 2.2.1 Schutz vor Zugriff durch nicht-berechtigte Personen
  

2.2.1 Schutz vor Zugriff durch nicht-berechtigte Personen
 

Achtung, der Schutz vor unberechtigtem Zugriff hat auch die Sicherungskopien zu umfassen.


Für den Schutz des Zugriffes auf Daten ist auf den Umgang mit Passwörtern, die Art der Authentifizierung, die Zugriffsregelungen sowie die Klassifizierung der Daten nach Vertraulichkeit und Integrität zu achten. Nicht vergessen werden darf, dass diese Schutzmaßnahmen immer auch die Sicherungskopien zu umfassen haben.

 

Zu klären ist vorrangig,

•   wer wann welchen Zugriff auf welche Daten hat,

•   ob es eine „F SECURITY POLICY“ gibt (die intern bekannt ist),

•   ob Log-Daten über jeden Zugriff vorliegen und

•   welche Schutzmaßnahmen gegen Zugriff durch Dritte getroffen werden.

 

Zugriffsberechtigungen sind transparent und eindeutig zu regeln. Dies gilt auch für die Mitarbeiter des Kunden!


Wie in -> 1.2.5   dargestellt, unterliegen die meisten Daten eines Unternehmens dem DSG 2000 auch dann, wenn sie keine Daten von physischen Personen sind, sondern z.B. nur die Anlagenbuchhaltung umfassen. Es sind daher praktisch alle verarbeiteten Informationen ei- nes Unternehmens datenschutzrechtlich relevant und damit schutzwür- dig und geheimhaltungspflichtig. Entsprechend transparent und ein- deutig ist der Datenzugriff zu regeln. Dies betrifft auch die Mitarbeiter des   Kunden!   Zugriffsberechtigungen sind   durch   entsprechende Maßnahmen (z.B. sichere Authentifizierung und Protokollierung durch digitale Signaturen) zu sichern. Ein entsprechendes Gesamtkonzept, das sowohl den Zugriff und die Authentifizierung durch Mitarbeiter des Kunden als auch durch die Mitarbeiter des Anbieters darstellt und über- prüfbar macht, ist zwingend notwendig.

 

Zur Verdeutlichung sei an dieser Stelle § 14 Abs. 1 und Abs. 2 DSG 2000 vollständig zitiert:

 

Datensicherheitsmaßnahmen

 

§ 14 (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden,  sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten vor zufälliger oder unrechtmä- ßiger Zerstörung und vor Verlust geschützt sind, daß ihre Verwendung ord- nungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich sind.

(2) Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz erforderlich ist,

1.       die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festzulegen,

2.   die Verwendung von Daten an das Vorliegen gültiger Aufträge der an- ordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden,

3.   jeder Mitarbeiter über seine nach diesem Bundesgesetz und nach in- nerorganisatorischen   Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten zu belehren,

4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters zu regeln,

5.   die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte zu regeln,

6.   die Berechtigung zum Betrieb der Datenverarbeitungsgeräte fest- zulegen und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abzusichern,

7.   Protokoll zu führen, damit tatsächlich durchgeführte Verwendungs- vorgänge, wie insbesondere Änderungen, Abfragen und Übermit- tlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können,

8.   eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen zu

führen, um die Kontrolle und Beweissicherung zu erleichtern

 

Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei der Durchführung erwachsenden Kosten ein Schutzniveau gewährleisten, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.






Metainfo:
Autor: Eike Wolf, Gunter Ertl und Paul Meinl; Publiziert von: Paul Meinl (pmeinl)
factID: 5563684.2 (...Archiv); Publiziert am 07 Jan. 2013 16:40
 
Verweis(e) (3):
1.2.5 Datensicherung und Datenschutz07 Jan. 2013factlink
2.3.2 Löschung von Daten07 Jan. 2013factlink
2.3.3 Datenschutz07 Jan. 2013factlink