Technische und organisatorische Maßnahmen: Unterschied zwischen den Versionen

Aus Datenschutz
Zur Navigation springen Zur Suche springen
 
(5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 35: Zeile 35:
 
* [https://www.kostenlose-urteile.de/KG-Berlin_5-U-918_Facebook-verstoesst-mit-Voreinstellungen-zur-Privatsphaere-gegen-Datenschutzrecht.news28352.htm Kein "Privacy by Default" bei Facebook].
 
* [https://www.kostenlose-urteile.de/KG-Berlin_5-U-918_Facebook-verstoesst-mit-Voreinstellungen-zur-Privatsphaere-gegen-Datenschutzrecht.news28352.htm Kein "Privacy by Default" bei Facebook].
 
* [https://www.datenschutz-praxis.de/fachartikel/der-stand-der-technik-unter-der-datenschutz-grundverordnung/ Der "Stand der Technik" nach Art. 32 EU-DSGVO].
 
* [https://www.datenschutz-praxis.de/fachartikel/der-stand-der-technik-unter-der-datenschutz-grundverordnung/ Der "Stand der Technik" nach Art. 32 EU-DSGVO].
 +
* [https://www.dr-datenschutz.de/was-bedeutet-privacy-by-design-privacy-by-default-wirklich/ PbDes/PbDef] bei Dr. Datenschutz.
 
* Zur [https://www.datenschutz-praxis.de/fachartikel/wie-sich-der-zutritt-zum-serverraum-besser-sichern-laesst/?newsletter=ds/i/datenschutz-praxis-aktuell/9100/2020/20/02091536/Artikel_2&va=02091536&chorid=02091536&vkgrp=354 Sicherheit von Serverräumen].
 
* Zur [https://www.datenschutz-praxis.de/fachartikel/wie-sich-der-zutritt-zum-serverraum-besser-sichern-laesst/?newsletter=ds/i/datenschutz-praxis-aktuell/9100/2020/20/02091536/Artikel_2&va=02091536&chorid=02091536&vkgrp=354 Sicherheit von Serverräumen].
 
* Beispiele für [https://www.datenschutz-notizen.de/anonym-pseudonym-ja-was-denn-nun-3025859/ Anonymisierung und Pseudonymisierung].
 
* Beispiele für [https://www.datenschutz-notizen.de/anonym-pseudonym-ja-was-denn-nun-3025859/ Anonymisierung und Pseudonymisierung].
 
* Fachartikel der "[https://www.datenschutz-praxis.de/fachnews/checkliste-technische-organisatorische-massnahmen/?newsletter=ds/i/datenschutz-praxis-aktuell/9100/2020/44/02091536/News_3&va=02091536&chorid=02091536&vkgrp=354 Datenschutzpraxis] zum Thema.
 
* Fachartikel der "[https://www.datenschutz-praxis.de/fachnews/checkliste-technische-organisatorische-massnahmen/?newsletter=ds/i/datenschutz-praxis-aktuell/9100/2020/44/02091536/News_3&va=02091536&chorid=02091536&vkgrp=354 Datenschutzpraxis] zum Thema.
 
* Technische und organisatorische Maßnahmen in der [https://www.dr-datenschutz.de/technisch-und-organisatorische-massnahmen-nach-dsgvo/ Praxis].
 
* Technische und organisatorische Maßnahmen in der [https://www.dr-datenschutz.de/technisch-und-organisatorische-massnahmen-nach-dsgvo/ Praxis].
 +
* Zur [https://www.datenschutz-praxis.de/tom/was-heisst-integritaet-im-zusammenhang-mit-dem-datenschutz/ Integrität].
 +
* TOM bei [https://www.dr-datenschutz.de/was-sind-technisch-und-organisatorische-massnahmen-tom/ Dr. Datenschutz].
 +
* Checkliste Zugriffskontrolle: Wer bekommt welche Daten? ([https://www.datenschutz-praxis.de/tom/checkliste-pruefung-der-zugriffsberechtigungen/?icomefrom=/praxishilfen/checkliste-pruefung-der-zugriffsberechtigungen/ Checkliste]).

Aktuelle Version vom 5. Mai 2022, 12:26 Uhr

Datensicherheit

Verantwortliche und Auftragsverarbeiter haben ein angemessenes Schutzniveau zu gewährleisten. Das schließt u. U. die Pseudonymisierung und Verschlüsselung personenbezogener Daten ein, die Fähigkeit, Daten integer, vertraulich und verfügbar zu halten und belastbare Systeme einzusetzen.

Werden besondere Kategorien personenbezogene Daten verarbeitet, schreibt das DSG NW besondere Garantien zu ihrem Schutz vor:

  • Der EU-DSGVO entsprechende technische und organisatorische Maßnahmen
  • Die Erfassung, Änderung und Löschung muss protokolliert werden.
  • Die Beteiligten müssen sensibilisiert werden
  • Der Zugang muss (auch gegenüber dem Auftragsverarbeiter) beschränkt werden
  • Die Daten müssen anonymisiert oder wenigstens pseudonymisiert werden
  • Die Daten müssen verschlüsselt werden
  • Vertraulichkeit und Integrität müssen sichergestellt werden
  • Eine Datenwiederherstellung muss unverzüglich möglich sein
  • Die technischen und organisatorischen Maßnahmen müssen regelmäßig überprüft werden
  • Illegale Übermittlungen und Zweckänderungen müssen verhindert werden

Datensicherung

Verantwortliche und Auftragsverarbeiter sollen die Fähigkeit besitzen, die Verfügbarkeit personenbezogener Daten rasch wiederherzustellen.

In aller Regel ist dies durch ein (automatisches, aber kontrolliertes) Datensicherungsprogramm möglich. Die Medien, auf denen die Datensicherung erfolgt, sollten dabei natürlich gegen Vernichtung geschützt werden, also u. a. in einem anderen Brandabschnitt als die Server aufbewahrt werden.

Datensicherungsmedien sind vom „Recht auf Vergessen“ auch betroffen. Personenbezogene Daten, die gelöscht werden müssen, dürfen sich auch nicht mehr auf Datensicherungsmedien befinden.

Kontrollen

Verantwortliche und Auftragsverarbeiter sollen ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit aller Maßnahmen einsetzen.

Es sollen nur Personen eingesetzt werden, die personenbezogene Daten nur auf Anweisung des Verantwortlichen verarbeiten. Die Personen müssen geschult und sensibilisiert sein.

DSG NW: Die Unterlagen über die technischen und organisatorischen Maßnahmen unterliegen nicht dem IFG NW. Sie dürfen also aufgrund einer Anfrage nach Informationsfreiheit nicht übermittelt werden.

Weitere Informationen