In den vergangenen Artikeln ging es vorrangig um die datenschutzgerechte Verwendung personenbezogener Daten. Nach dem Bundesdatenschutzgesetz sind allerdings alle Maßnahmen zu ergreifen, um die Sicherheit der Datenverarbeitung zu gewährleisten. Hier wird in § 9 zwischen technischen und organisatorischen Maßnahmen unterschieden.

Technische Maßnahmen sind Sicherheitsmaßnahmen durch technische Einstellungen und Vorkehrungen: Hierzu zählen Maßnahmen zur IT-Sicherheit, wie Zugangssicherung (Passwortschutz), Datensicherung (Backup) und der Sicherung vor unbefugten Zugriffen Dritter (Firewall). Der Administrator baut entsprechende Sicherheitsstandards auf und überwacht diese.

Organisatorische Maßnahmen sind Regeln über die Zuständigkeit und Verantwortung der Datenverarbeitung, wie Dienstanweisungen oder Betriebsvereinbarungen. Hier wird bspw. der Umgang mit Kommunikationsmitteln (Internet, E-Mail und Telefon), aber auch die Vergabe von Rechten bei der Nutzung von Anwendungen geregelt.

Datensicherheit wird nicht nur durch Technik und auch nicht nur durch Organisation erreicht, vielmehr führt das Zusammenwirken aller Maßnahmen zu einem angemessenen Sicherheitsniveau. Notwendig ist nicht jeder mögliche Aufwand, sondern nur derjenige, der wirklich erforderlich ist. Der Aufwand muss dabei in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen.

Tipp | In der Anlage zu § 9 BDSG werden eine Reihe von Maßnahmen genannt, die "insbesondere" zu ergreifen sind. Es handelt sich um Regelbeispiele, die einen Leitfaden darstellen. Weitergehende Maßnahmen zur Datensicherheit werden im IT-Grundschutzhandbuch des Bundesamts für die Sicherheit in der Informationstechnologie (BSI) vorgeschlagen.

Für die Anwender werden die von ihnen zu beachtenden Regeln der Datensicherheit wie Passwortsicherheit, Raumschutz u.a. in gesonderten Dienst- und Arbeitsanweisungen festgehalten und verbindlich gemacht.

<< zurück _______________________________________________________ weiter >>