skip to Main Content
+49 (700) 34778539 info@firstlex.de Login
[layerslider id="6"]

Die Datensicherung gem. § 9

Zugangskontrolle
Personen, die DV betreiben wollen, müssen Zugang zur Hardware haben. Die Zugangskontrolle, Anlage Nr. 1, soll verhindern, dass Personen Zugang erhalten, die nicht befugt sind. Dies kann durch Pförtner, Ausweise, Codierungen etc. geschehen. Voraussetzung ist freilich, dass der Bereich, in dem die DV stattfindet, überhaupt räumlich abgegrenzt ist. Dies ist bei Personalcomputern, die am Tisch des Bearbeiters in dessen Arbeitszimmer aufgestellt, problematisch. Es gibt aber hierfür auf dem Markt neben einfachen Lösungen wie Schlüsseln, Abdeckhauben etc auch Softwareprogramme, die spezielle Benutzercodierungen abfragen.

Eingabekontrolle
Ist der Zugang erreicht, erfolgt zumeist eine Eingabe. Die Eingabekontrolle, Anlage Nr. 7, soll gewährleisten, dass im Nachhinein nachvollzogen werden kann, wer zu welcher Zeit welche Daten eingegeben hat. Dies ist nicht nur durch Softwarelösungen erreichbar, sondern auch durch von den Bearbeitern auszufüllende Protokolle.

Zugriffskontrolle
Der Eingabe kann auch ein Zugriff auf bestimmte Daten vorausgehen, die mitverarbeitet werden sollen oder deren Kenntnis zur Eingabe wichtig ist. Dann soll die Zugriffskontrolle, Anlage Nr. 5,  sicherstellen, dass der Benutzer nur den Ausschnitt von Daten aus dem Rechner oder dem Datenträger abrufen kann, die für seine Arbeit erforderlich sind, aber nicht mehr. Dies geschieht oft durch die programminterne Markierung der Datensätze, die gewöhnlich für diese oder jene Tätigkeit gebraucht werden. Jeder Zugriff kann registriert und unbefugte Zugriffe dadurch offenkundig werden.

Speicherkontrolle
Die eingegebenen Daten werden zumeist auch gespeichert. Die Speicherkontrolle, Anlage Nr. 3, soll verhindern, dass der Benutzer unbefugt Daten eingibt, zur Kenntnis nimmt oder sie bearbeitet. Eingeben ist hier nicht im Sinne der Eingabekontrolle, sondern im Sinne eines Speichervorganges zu verstehen, bei dem die Daten nach Beendigung der Verarbeitung auf einem Träger erhalten bleiben.

Die Speicherkontrolle ist durch Identifizierung des Nutzers und durch Kontrolle seiner angebotenen Identifikationsmerkmale zu gewährleisten. Dies geschieht zumeist durch Softwareprogramme, die Kennwörter oder Codes abfragen.

Benutzerkontrolle

In engem Zusammenhang mit der Speicherung steht die Benutzerkontrolle, Anlage Nr. 4. Sie soll Gefahren im Online-Verkehr eindämmen. Bei der hohen Zahl von Nutzern, die dabei von außerhalb auf die Datenträger zugreifen, soll besonders die Befugnis hierzu kontrolliert werden. Dies geschieht durch Softwaremaßnahmen, die denen der Speicherkontrolle häufig sehr ähneln.

Datenträgerkontrolle

Ein bestimmter Teil der gespeicherten Daten befindet sich auf mobilen Datenträgern, also Bändern oder Disketten, die der Benutzer aus dem Verarbeitungsgerät entfernen kann. Dadurch ergibt sich die Möglichkeit, diese Träger zu kopieren, zu lesen, zu vernichten oder zu bearbeiten. All dies will die Datenträgerkontrolle, Anlage, Nr. 2, verhindern, sofern es unbefugt geschehen soll. Hierfür sind Pläne zu entwickeln, die die Ausgabe (wann, an wen, für welchen Zweck) und die Vernichtung sowie das Kopieren von Datenträgern an bestimmte Berechtigungen knüpfen. Außerdem sind geeignete Sicherungen zur Aufbewahrung der Datenträger vorzusehen.

Übermittlungskontrolle

Werden Daten übermittelt, so muss kontrolliert werden, an welche Empfänger dies vor allem beim online-Betrieb möglich ist. Dafür müssen Pläne bestehen, die zur Übermittlungskontrolle, Anlage Nr. 6, darstellen, welche Empfängerkreise Zugriff auf welche Datensätze haben.

Auftragskontrolle
Nach § 11 muss sich der Auftragnehmer bei der AuftragsDV an § 9 halten, kann also insoweit seine Verantwortung nicht an den Auftraggeber abschieben. Die Auftragskontrolle, Anlage Nr. 8, verlangt, dass nicht eine andere Verarbeitung möglich sein darf, als die vom Auftraggeber in seinen Weisungen vorgeschriebene.
So muss verhindert werden, dass die Daten verschiedener Auftraggeber irgendwie verbunden werden.

Beispiel: Übernimmt ein Konzernmitglied eine Verarbeitung im Auftrag für die anderen Konzernunternehmen, so darf das verarbeitende Unternehmen nicht die Daten der verschiedenen Unternehmen zusammenführen oder abgleichen.  

Transportkontrolle

Werden Daten übermittelt oder körperlich durch Zuschicken von Datenträgern transportiert, so muss gewährleistet sein, dass bei  diesem Vorgang Dritte Kenntnis der Daten erlangen oder sie gar bearbeiten können. Diese Transportkontrolle, Anlage Nr. 9, kann durch besonders sichere Leitungen und abgeschlossene Schaltkästen, durch Verschlüsselungen oder durch Aufbewahrung in ver-schlossenen Behältern erreicht werden.

Organisationskontrolle

Um die Kontrollen möglichst perfekt zu gestalten, sind gute Organisationsstrukturen notwendig. Hierauf weist Anlage Nr. 10 lediglich mit einer gewissen Apell- und Auffangfunktion nochmals ausdrücklich hin.

Datenschutz-Auditing

Neuerdings ist im Gespräch, ein dem Umweltschutzrecht und dem dort installierten Audit-Verfahren nachempfundenes datenschutzrechtliches Audit-Verfahren einzurichten. Dies soll den Zweck haben, aus staatlicher Sicht kostengünstig eine Selbstkontrolle bei den privaten Datenverarbeitern nach den Gesetzen des Marktes zu erreichen. Durch einen unabhängigen Gutachter, der eng mit den betrieblichen Datenschutzbeauftragten zusammenarbeiten könnte, soll ein Zertifikat erteilt werden, mit dem dann die Unternehmen wieder als Qualitätssprung gegenüber ihren Konkurrenten am Markt werben dürfen sollen.
Ein solches Verfahren erfordert eine gesetzliche Einbettung, da es berufsregelnde Tendenzen aufweisen würde.

Diese findet sich jetzt in § 9 a BDSG, ist aber noch sehr unbestimmt, so dass erst künftige weitere Novellierungen erwarten lassen, dass deutlicher wird, in welche Richtung man hier gehen will.
Auch der StVMD sieht in § 17 die Möglichkeit eines Datenschutz-Audits vor, ohne hierzu jedoch nähere Aussagen zu treffen und zielt damit zum gegenwärtigen Zeitpunkt noch ins Leere.

Schreibe einen Kommentar

Back To Top