ds-gvo adv auftragsdatenverarbeitung

Technische und organisatorische Maßnahmen gem. § 9 BDSG

Jedes Unternehmen, das personenbezogene Daten speichert und/oder verarbeitet ist verpflichtet, diese Daten zu schützen. Hierfür definiert das BDSG in § 9 sog. technische und organisatorische Maßnahmen. Wer nun glaubt, vom Gesetz einen konkreten Maßnahmenkatalog zu erhalten, liegt falsch. Vielmehr wird verwiesen auf die Anlage zum BDSG, in der die Anforderungen an die zu treffenden Maßnahmen beschrieben sind.

Angemessenheitsprinzip

Des Weiteren wird klar gestellt, dass die Maßnahmen in einem angemessenen Verhältnis zum Schutzbedarf der betroffenen Daten stehen müssen. Jedes Unternehmen ist also in der Pflicht, die verarbeiteten Daten im Hinblick auf den Schutzbedarf zu bewerten. In der Regel ist das ein laufender Prozess, denn im Laufe der Zeit kommen neue Verfahren mit ggf. neuen Daten hinzu und bestehende Verfahren ändern sich.

Die acht Gebote

Die Anforderungen, die der Gesetzgeber in der Anlage zum BDSG definiert hat, bezeichne ich gerne als die acht Gebote der Datensicherheit. Es handelt sich hierbei um

  1. Zutrittskontrolle
  2. Zugangskontrolle
  3. Zugriffskontrolle
  4. Weitergabekontrolle
  5. Eingabekontrolle
  6. Auftragskontrolle
  7. Verfügbarkeitskontrolle
  8. Trennungsgebot

Individuelle Ausgestaltung

Der Gesetzgeber liefert zu jedem der Gebote eine kurze Erläuterung, was er sich darunter vorstellt. Unstrittig dürfte für jedes Unternehmen gelten, dass sämtliche Rechner (Server erst recht) mit Passwortschutz zu versehen sind und dass regelmäßige Datensicherungen durchzuführen sind. Auch Schutzmaßnahmen, wie Firewalls und Virenscanner dürften zu den Mindestanforderungen gehören. Nach oben hin dürfte es bei den Maßnahmen keine Grenze geben, wobei es eben jedem Unternehmen selbst überlassen ist, zu entscheiden, welche Maßnahmen wie umgesetzt werden.

Vorsicht, Straftat!

Die Erfahrung zeigt allerdings, dass gerade diejenigen Unternehmen, die Daten mit besonders hohem Schutzbedarf verarbeiten, häufig eine nur mangelhafte Umsetzung der technischen und organisatorischen Maßnahmen haben. Gemeint sind hier insebesondere Ärzte, Anwälte und Steuerberater, die als Einzelunternehmer oder in kleineren Kanzleien, bzw. Praxen agieren. Auch viele Angehörige der sozialen Berufe haben hier Nachbesserungsbedarf. Alle diese Berufe (und weitere) unterliegen den besonderen Verschwiegenheitsverpflichtungen gem. § 203 StGB. Bedauerlicherweise wird häufig von Anhängern genau dieser Berufe übersehen, dass die IT ein gefährliches Einfallstor sein kann. Geht hier etwas schief, liegt neben einem Verstoß gegen § 9 BDSG häufig auch gleich ein Straftatbestand nach § 203 StGB vor.

Ich biete allen Unternehmen als Beratungsleistung auch ohne Bestellung zum Datenschutzbeauftragten Analysen des Schutzbedarfs an, damit geeignete Maßnahmen getroffen werden können.

Sprechen Sie mich an, ich unterstütze Sie bei der Ausgestaltung Ihrer technischen und organisatorischen Maßnahmen.