Die Datensicherheit

In § 9 BDSG macht der Gesetzgeber deutlich, dass er unter einem funktionierenden Datenschutz neben der Befolgung der datenschutzrechtlichen Vorschriften insbesondere die Datensicherheit versteht. In der Anlage zu § 9 BDSG hat er acht Regeln der Datensicherheit aufgestellt, die bei der innerbetrieblichen automatisierten Datenverarbeitung zwingend zu beachten sind.

8 Regeln der Datensicherheit

Verantwortliche Stellen müssen nach § 9 BDSG technische und organisatorische Maßnahmen für die Datensicherheit treffen. Darunter versteht man diejenigen Maßnahmen, die erforderlich sind, um die Ausführung der Vorschriften des BDSG angemessen zu gewährleisten. Dabei verweist die Norm auf eine Anlage zum BDSG, welche die 8 Regeln der Datensicherheit wie folgt benennt und konkretisiert:

  1. Die Zutrittskontrolle soll Unbefugte räumlich von der Datensammlung abschirmen. Mehr zur Zutrittskontrolle...
  2. Die Zugangskontrolle soll die unbefugte Nutzung der Daten verhindern. Mehr zur Zugangskontrolle...
  3. Die Zugriffskontrolle sorgt dafür, dass der einzelne Sachbearbeiter nur auf die Daten zugreifen kann, die er zur Erledigung seiner Aufgaben benötigt. Mehr zur Zugriffskontrolle...
  4. Die Weitergabekontrolle soll das unbefugte Lesen, Entfernen, Verändern und die unbefugte Vervielfältigung von Daten verhindern. Mehr zur Weitergabekontrolle...
  5. Im Wege der Eingabekontrolle soll nachvollzogen werden, wer wann und wo auf welche Art und Weise auf die Datensammlung zugegriffen, diese ausgelesen oder bearbeitet hat. Mehr zur Eingabekontrolle...
  6. Die Auftragskontrolle wird in Fällen der Auftragsdatenverarbeitung relevant. Mehr zur Auftragskontrolle...
  7. Die Verfügbarkeitskontrolle soll als Prophylaxemaßnahme vor zufälligem Datenverlust schützen. Mehr zur Verfügbarkeitskontrolle...
  8. Das Trennungsgebot soll die zweckfremde Verwendung von Daten unterbinden. Mehr zur Trennungsgebot...

Als allgemein gängiges Mittel, um die Datensicherheit im Sinne der Zutritts-, Zugangs-, Zugriffs- und Weitergabekontrolle zu gewährleisten schlägt der Gesetzgeber in Satz 3 der Anlage zu § 9 BDSG die Verschlüsselung der Daten in einer dem Stand der Technik entsprechenden Weise vor. Damit meint der Gesetzgeber solche praxiserprobte Verfahren, die zwar nach den technischen Möglichkeiten einen hohen, nicht aber den technisch höchstmöglichen Sicherheitsstandard erfüllen.

Datenschutzkontrolle

Damit die gesetzlichen Anforderungen eingehalten werden, aber vorallem der verfassungsrechtlich gebotene Schutz des Rechts auf informationelle Selbstbestimmung umfassend gewährleistet wird, hat der Gesetzgeber Aufsichts- und Kontrollorgane geschaffen. Solche bestehen in der Form der Fremdkontrolle, d.h. einer externen, unabhängigen Kontrollinstanz, mittels derer der Staat die Einhaltung des Datenschutzes überwacht und durchsetzt, und der der Selbstkontrolle, d.h. durch interne Datenschutzbeauftragte. 

Datenschutz durch Fremdkontrolle

Für den öffentlichen Bereich auf Bundesebene erfolgt eine Fremdkontrolle durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bzw. durch den jeweiligen Landesdatenschutzbeauftragten. Hingegen unterliegen Unternehmen, Verbände, Selbstständige und natürliche Personen der Kontrolle der Aufsichtsbehörden. Diese haben das Recht jederzeit, ihren Aufgaben entsprechende, unentgeltliche Auskünfte von der verantwortlichen Stelle zu bekommen. Daneben bestehen auch Zutritts-und Einsichtsrechte, um die erforderliche Kontrolle vornehmen zu können. Die Behörde kann bei der Feststellung eines Verstoßes gegen den Datenschutz auch die erforderlichen Maßnahmen erlassen, beispielsweise durch Beseitigungsanordnung oder bei erfolgloser Anordnung mittels eines Zwangsgeldes. 

Datenschutz durch Selbstkontrolle

Meldepflichten: § 4d Abs.1 BDSG sieht vor, dass die verantwortliche Stelle vor der Inbetriebnahme eines automatisierten Verarbeitungsverfahren, ihr Vorhaben bei der zuständigen Behörde zu melden hat. Jedoch sieht das Gesetz weitrechende Ausnahmetatbestände gegen diese Pflicht vor. So entfällt die Meldepflicht beispielsweise dann, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat, wozu sie in den meisten Fällen gesetzlich ohnehin verpflichtet ist. 

Weitere Schutzmaßnahmen im Rahmen der Selbstkontrolle sind:

Ähnliche Beiträge

Unverbindliche Anfrage

Kontaktieren Sie uns kostenfrei und unverbindlich bei Fragen zu Wirtschaftsrecht, Medienrecht und Steuerrecht. Wir melden uns kurzfristig zurück.

Achtung! Bei Fristabläufen oder anderem sofortigen Handlungsbedarf kontaktieren Sie uns für eine Bearbeitung am selben Tag bitte ausschließlich telefonisch Montag bis Freitag vor 17 Uhr: +49 30 39 88 53 860