Vorbeugende Maßnahmen

Im Umgang mit Datenverarbeitungsanlagen, Software und Datenbanken müssen spezielle Sicherheitsmaßnahmen beachtet werden:

Zutrittskontrolle

Mit speziellen Maßnahmen soll Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, verwehrt werden.

Beispielsweise erhalten die Mitarbeiterinnen und Mitarbeiter Betriebsausweise und Schlüssel, an die entsprechende Zugangsberechtigungen gekoppelt sind. Besucher müssen sich am Empfang anmelden, erhalten einen Besucherausweis und werden auf dem Gelände begleitet.

Besonders sensible Bereiche wie zum Beispiel die IT-Abteilung oder die Serverräume dürfen nur von besonders autorisierten Personen oder nach Klingelzeichen in deren Begleitung betreten werden.

Zugangskontrolle

Die Zugangskontrolle soll verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden.

Durch die Vergabe von individuellen Benutzerprofilen wird sichergestellt, dass nur autorisierte Benutzer Zugang zu den jeweiligen Datenverarbeitungssystemen haben. Durch das Benutzerprofil erkennen die DV-Systeme, wer sich jeweils einschaltet.

Zu jedem Benutzerprofil gehört zusätzlich ein Passwort, das immer verdeckt eingegeben wird. Bitte beachten Sie bei der Vergabe die Sicherheitsbestimmungen für Passwörter!

Jeder Benutzer muss sein Passwort geheim halten! Es darf in keinem Fall weitergegeben werden - weder temporär, etwa bei Krankheit oder Urlaub, noch dauerhaft zur parallelen Nutzung durch andere Personen. Bekannt gewordene oder bekannt gegebene Passwörter müssen sofort geändert werden!

Beim Verlassen des Arbeitsplatzes muss sichergestellt werden, dass kein Unbefugter über das angemeldete Benutzerprofil Zugang zu aktiven Anwendungsprogrammen und Datenbanken haben kann. Um das zu erreichen, können Sie einen passwortgeschützten Bildschirmschoner aktivieren und den Raum abschließen, wenn Sie ihn kurz verlassen; und bei längerer Abwesenheit sollten Sie sich ganz aus den Anwendungen abmelden.

Zutrittskontrolle

Über die Benutzerprofile werden die entsprechenden Zugriffsberechtigungen für Datenbanken und Anwendungsprogramme geregelt.

Jedem Benutzerprofil sollen nur die Funktionsteile zur Verfügung stehen, die der Träger dieses Profils zur Abwicklung seiner Aufgaben benötigt.

Die Freigabe der jeweiligen Programmteile und Datenbanken darf nur durch besonders autorisierte Personen erfolgen.

Je nach Status sollte ein Benutzer innerhalb einer Anwendungsfunktion personenbezogene Daten nur lesen oder zusätzlich ändern und/oder auch kopieren und/oder löschen dürfen.

Weitergabekontrolle

Weil immer mehr Daten per Netz (beispielsweise über das Internet) vermittelt werden, wird die Weitergabekontrolle zunehmend wichtiger. Diese Maßnahme verlangt Folgendes:

Es soll protokolliert werden, wann welche personenbezogenen Daten zu welchem Zweck an Dritte weitergegeben werden. Bei einer Weitergabe muss sichergestellt sein, dass die Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Bitte erkundigen Sie sich, ob in Ihrem Unternehmen spezielle Verhaltensregeln für den Umgang mit Internet und E-Mail existieren und halten Sie die entsprechenden Regeln ein.

Eingabekontrolle

Es muss nachträglich festgestellt werden können, ob und von wem welche personenbezogenen Daten in DV-Systeme eingegeben, dort verändert oder daraus entfernt wurden. Dazu werden Protokolle angefertigt:

Über sein Benutzerprofil hinterlässt jeder Benutzer Spuren im System. Es wird protokolliert, wer sich wann auf einem System an- bzw. abgemeldet hat, wer wann welche Daten hinzugefügt, geändert oder gelöscht hat.

Auch in diesem Zusammenhang ist es wichtig, dass Sie Ihr Passwort stets geheim halten, denn Sie können für Schäden haftbar gemacht werden, die andere unter Ihrer Zugangsberechtigung verursacht haben. Schließlich kann bei Datenschutzverletzungen der Verursacher leicht über das Protokoll rückverfolgt werden.

Verfügbarkeitskontrolle

Die Verfügbarkeitskontrolle besagt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschütztwerden müssen. Dazu dienen beispielsweise technische Maßnahmen, die einen Systemausfall weitgehend verhindern oder nach einer Störung die Wiederherstellung von Programmen und Daten ermöglichen.

Trennungskontrolle

Die Trennungskontrolle soll gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden. Beispielsweise dürfen bei Versicherungen die verschiedenen Verträge eines Betroffenen nicht allen Abteilungen sichtbar gemacht werden (Stichwort "gläserner Kunde").

Auftragskontrolle

Wenn Datenverarbeitung im Auftrag von Dritten betrieben wird, sind beide Seiten zu besonderen Maßnahmen verpflichtet.

Dazu gehören beispielsweise die klare und eindeutige Formulierung zweckgebundener Verträge, die Wahrung von Kontrollrecht und Kontrollpflicht durch den Auftraggeber sowie die sorgfältige Auswahl weiterer Partner.

Ähnliche Sicherheitsmaßnahmen
gelten natürlich auch
für den Umgang mit Daten in Papierform!

Aktenvernichtung

Wenn die Verarbeitung personenbezogener Daten in Papierform erfolgt, dann müssen Sie mit diesen Schriftstücken ebenso sorgsam umgehen. Sie müssen sie beispielsweise vor der Einsichtnahme Dritter schützen und müssen sie gegebenenfalls datenschutzkonform entsorgen - dürfen sie also keinesfalls einfach in den Papierkorb werfen.

Richtlinien

Weitere vorbeugende Maßnahmen sind in unseren schriftlichen Anweisungen und Richtlinien, die von allen Mitarbeiterinnen und Mitarbeitern befolgt werden müssen, formuliert.

Bitte machen Sie sich mit den Richtlinien und Verhaltensregeln vertraut, die in unserem Unternehmen verpflichtend sind - insbesondere im Hinblick auf die Nutzung von EDV-Equipment und Kommunikationseinrichtungen!

All diese Sicherheitsmaßnahmen schützen nicht nur Ihr Unternehmen, sondern bewahren auch Sie vor unabsichtlichen Datenschutzverstößen und damit vor ernsten Konsequenzen. 

Machen Sie sich mit den Maßnahmen vertraut und wenden Sie sie immer an!

Zusammenfassung

Die meisten Datenschutzverletzungen entstehen durch Unwissenheit, Unachtsamkeit, Fahrlässigkeit oder menschliches Versagen. Deshalb müssen Mitarbeiterinnen und Mitarbeiter zum Thema Datenschutz geschult und fortlaufend sensibilisiert werden.

Spezielle Sicherheitsmaßnahmen gelten für den Umgang mit Datenverarbeitungsanlagen, Programmen und Datenbanken:

  • Zutrittskontrolle: Unbefugten muss der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, verwehrt werden (z. B. über Schlüssel, Ausweise).
  • Zugriffskontrolle: Benutzerprofile regeln die Zugriffsberechtigungen zu Datenbanken und Anwendungsprogramme. Freigegeben werden nur die zur Erfüllung der Aufgaben notwendigen Funktionsteile. Je nach Status darf ein Zugriffsberechtigter personenbezogene Daten lesen und/oder kopieren und/oder löschen.
  • Zugangskontrolle - verhindert, dass Datenverarbeitungssysteme von Unbefugten genutzt werden. Benutzerprofile mit Passwörtern regeln den Zugang. Beim Verlassen Ihres Arbeitsplatzes müssen Sie den Zugang zu aktiven Programmen und Datenbanken verhindern.
  • Weitergabekontrolle: Protokolle erfassen, welche personenbezogenen Daten zu welchem Zweck an Dritte weitergegeben werden. Es muss sichergestellt sein, dass die Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  • Eingabekontrolle: Das System protokolliert, wer welche personenbezogenen Daten in DV-Systeme einträgt, sie verändert oder entfernt.
  • Auftragskontrolle: Datenverarbeitung im Auftrag Dritter muss besonders geschützt und kontrolliert werden. Die Weisungen des Auftraggebers müssen beachtet werden.
 Inhaltsverzeichnis
Lektion erledigt

Wir vertrauen Ihnen und Ihrer Kompetenz!

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>