Sichere Datenübertragung Gewährleistung der Vertraulichkeit und der Integrität der Daten bspw

5. Tätigkeitsbericht des 2002/2003 netze soweit möglich zu verhindern. Da meist keine absolute Sicherheit zu erreichen ist, müssen derartige Versuche erkannt werden. Technische Komponenten, die u. a. in Betracht kommen, sind Firewalls oder Intrusion Detection Systeme.

· Sichere Datenübertragung: Gewährleistung der Vertraulichkeit und der Integrität der Daten bspw. mittels Verschlüsselung und elektronischer Signatur.

· Beweissicherung: Protokollierung der Aktivitäten von Benutzer und Administrator.

In § 5 des Vertrags sollten die konkreten Maßnahmen übernommen werden. Dabei handelt es sich bei den folgenden Ausführungen nicht um einen abschließenden Katalog:

a) zur Gewährleistung der Vertraulichkeit Maßnahmen, dass nur Befugte personenbezogene Daten zur Kenntnis nehmen können sind u. a. Zutritts-, Zugangs- und Zugriffskontrolle, nachvollziehbare Rechteverwaltung/Berechtigungskonzept, Datenverschlüsselung.

Am Beispiel der Vernichtung von Unterlagen mit personenbezogenen Daten:

· Einwurf der Unterlagen in besonders gesicherte Behältnisse, die nicht unbefugt entfernt werden können und die eine Entnahme der Unterlagen verhindern

· auch während des Transports müssen die Unterlagen so gesichert sein, dass Unbefugte sich keinen Zugang verschaffen können

· die Unterlagen müssen möglichst so dem Aktenvernichter zugeführt werden, dass keine Unbefugten zugreifen können

· ist eine Kenntnisnahme von personenbezogenen Daten durch Mitarbeiter der beauftragten Firma nicht gänzlich auszuschließen, sind diese auf das Datengeheimnis und nach dem Verpflichtungsgesetz zu verpflichten.

b) zur Gewährleistung der Integrität Maßnahmen, damit personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben sind u. a. Prüfsummenverfahren/Hashverfahren, elektronische Signatur, Einsatz von elektronischen Speichermedien mit Fehlererkennung und -korrektur.

c) zur Gewährleistung der Verfügbarkeit Maßnahmen, damit personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können sind u. a. Datensicherung, Notfallkonzept, unterbrechungsfreie Stromversorgung/Notstromversorgung, redundante Hardwarekomponenten/RAIDTechnologie, Alarmanlagen (Brand-/Wassermelder), Virenschutz.

d) zur Gewährleistung der Authentizität Maßnahmen, damit personenbezogene Daten jederzeit ihrem Ursprung zugeordnet werden können sind u. a. elektronische Signatur oder bei Schriftgut konventionelle Dokumentation der Herkunft.

e) zur Gewährleistung der Revisionssicherheit Maßnahmen, damit festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat sind u. a. Protokollierung von An- und Abmeldevorgängen, der Zugriffe auf Dateien und Datenfelder, beim Einfügen/Ändern/Löschen von Daten, von Aktivitäten der System- und Datenbankverwalter.

Am Beispiel der Aktenvernichtung:

· Übergabeprotokoll bei Entgegennahme des zu vernichtenden Materials

· Bestätigung der ordnungsgemäßen Vernichtung

f) zur Gewährleistung der Transparenz Maßnahmen, damit die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können sind u. a. Dokumentation der Verarbeitungs-, Hilfs- und Sicherheitsprogramme, der Rechteverwaltung, der Schnittstellen Betriebssystem/Anwendungsprogramme.