Datenschutz und IT-Sicherheit 2013-02-25T23:50:27+00:00

Die Verbindung zwischen Datenschutz und IT-Sicherheit:

Der Datenschutz legt auf Basis des jeweils gültigen Datenschutzrechts fest, unter welchen Voraussetzungen personenbezogene Daten unter Einhaltung bestimmter organisatorischer und technischer Maßnahmen verarbeitet werden dürfen. Viele dieser Maßnahmen dienen auch der IT-Sicherheit.

IT-Sicherheit trifft organisatorische und technische Maßnahmen, um das von einer Organisation benötigte Maß an Verfügbarkeit, Vertraulichkeit und Integrität von allen zu verarbeitenden Daten – unabhängig vom Personenbezug – sicherzustellen.

Datenschutz und IT-Sicherheit haben also zunächst unterschiedliche Ziele, weisen in der Umsetzung aber  eine große Schnittmenge auf und sind auch aufeinander angewiesen. Der Datenschutz betrachtet die Maßnahmen der IT-Sicherheit als wesentliches Werkzeug, um Datenschutzziele zu erreichen. Umgekehrt betrachtet die IT-Sicherheit den Datenschutz bei Verfahren, in denen personenbezogene Daten verarbeitet werden, als eine wesentliche Quelle für Anforderungen, die sie umzusetzen hat. Datenschutz und IT-Sicherheit weisen eine bedeutende Schnittmenge auf.

DS IT Security §9 BDSGTechnisch-organisatorischer Datenschutz nach der Anlage des §9 Satz 1 BDSG:

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene
    Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
  2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können
    (Zugangskontrolle),
  3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
  4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
  5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
  6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. (Trennungsgebot)

Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand
der Technik entsprechenden Verschlüsselungsverfahren.

(Quellen: Texte des BfDI und BSI, BDSG).

[Quick Intro] [DS u. IT-Security] [Behörden] [Gefährdungen] [Rechte] [Maßnahmen] [DS-Management] [DS-Konzept] [DS-Beauftragter]