Als Datenschützer müssen Sie, um den gesetzlichen Anforderungen gerecht zu werden, die nachstehenden 8 Grundregeln regelmäßig in “Ihrem” Unternehmen überprüfen. Sie ergeben sich aus der Anlage zu § 9 Satz 1 des BDSG, und stellen die Leitlinie für jeden DSB dar.
Nachstehende “Checkliste” mit Erläuterungen sollten Sie regelmäßig und gemeinsam mit dem IT-Leiter bei einem Rundgang durchgehen:
Zutrittskontrolle
Zuerst muss festgelegt werden, welche Gebäudeteile, Räume oder Etagen besonders zu sichern sind. Ist das definiert, müssen Sie bestimmen, welche Personen Zugang zu welchen Räumen bzw. Abteilungen haben sollen. Auch an das Personal für die Reinigung der Räume müssen Sie dabei denken! Über die Aufteilung der Räume leiten Sie nun eine entsprechende Besucherregelung ab.
Zugangskontrolle
Die Zugangskontrolle regelt, wie sich Benutzer am System anmelden müssen. Prüfen Sie hier die Komplexität eines Passwortes. Muss es eine bestimmte Länge haben? Muss es aus Zahlen, Buchstaben und Sonderzeichen bestehen? Sie sollten ebenfalls festlegen, dass das Passwort in einem vorgegebenen Zeitraum geändert werden muss und sich bei dieser Änderung nicht wiederholen darf.
Zugriffskontrolle
Zugriffskontrolle und Zugangskontrolle hängen sehr eng zusammen. Bei der Zugriffskontrolle muss sichergestellt sein, dass Personen nicht die Möglichkeit haben, über ihre Berechtigungen hinaus auf personenbezogene Daten zuzugreifen. Prüfen Sie, ob Datenbanken oder schützenswerte Verzeichnisse mit personenbezogenen Daten ohne Authentifizierung aufrufbar sind.
Weitergabekontrolle
Als Datenschützer müssen Sie ausschließen können, dass personenbezogene Daten auf externe Datenträger (USB-Stick o. ä.) kopiert werden können. Liegen die Daten in einzelnen Dateien vor, oder beinhalten E-Mails personenbezogene Daten, müssen diese verschlüsselt werden.
Als Datenschützer müssen Sie ausschließen können, dass personenbezogene Daten auf externe Datenträger (USB-Stick o. ä.) kopiert werden können. Liegen die Daten in einzelnen Dateien vor, oder beinhalten E-Mails personenbezogene Daten, müssen diese verschlüsselt werden.
Eingabekontrolle
Mittels Protokollen muss jederzeit überprüfbar sein, welcher Benutzer Daten in Programmen zur Erfassung von personenbezogenen Daten geändert oder gelöscht hat. Auch die Änderung und das Anlegen von Berechtigungen für die Zugangskontrolle fällt darunter und muss jederzeit überprüfbar sein.
Auftragskontrolle
Die Auftragskontrolle regelt, dass personenbezogene Daten nur nach den Weisungen des Auftraggebers verarbeitet werden (Auftrgasdatenverarbeitung). Als Datenschutzbeauftragter sind Sie bei dem beauftragten Dienstleister zur Überprüfung verpflichtet, ob personenbezogene Daten korrekt verarbeitet werden!
Verfügbarkeitskontrolle
Personenbezogene Daten dürfen nur für den Zweck verarbeitet und genutzt werden, für den sie erhoben wurden. Diese Daten müssen demnach logisch separat behandelt und physisch separat gespeichert werden.
Zweckbindung
Personenbezogene Daten dürfen nur für den Zweck verarbeitet und genutzt werden, für den sie erhoben wurden. Diese Daten müssen demnach logisch separat behandelt und physisch separat gespeichert werden.