Die acht goldenen Regeln der Anlage zu § 9 BDSG (Teil 3)


Nr. 3 - Zugriffskontrolle


Mitarbeiter und Dritte mit entsprechenden Berechtigungen sollen natürlich nur auf Daten zugreifen können, die für Ihre Abreit relevant und erforderlich sind. Bei der Zugriffskontrolle geht es daher darum die berechtigten Zugriffe auf Daten insoweit zu beschränken als es für die zugreifenden Personen möglich und nötig ist.


Die verschiedenen Berechtigung können dabei den Zugriff auf bestimmt Teile des Netzwerkes, bestimmte Programme und/oder bestimmte Bearbeitungsrechte (Fußnote) regeln. Darüberhinaus kann es sich auch hier anbieten berechtigte Zugriffe zu protokollieren um später nachvollziehen zu können, wer wann auf welche Daten zugegriffen und diese eventuell verändert hat.

Maßnahmen der Zugriffskontrolle können sein:

- Einrichtung verschiedener Berechtigungsstufen und Zuteilung derselben auf die Nutzer
- Zentrale Rechteverwaltung durch Administrator
- Einrichtung und Auswertung von Zugriffsprotokollen
- Lagerung von Datenträgern in speziellen Räumen mit Zutrittsbeschränkungen
- Festlegung von Zugriffsrechten auf Datenträger
- Vernichtung von Datenträgern nach DIN 32757#
- Vernichtung von Ausdrucken durch Aktenvernichter
- Protokollierung der Vernichtung von Datenträgern
- Verschlüsselung von Festplatten

Nr. 4 - Weitergabekontrolle


Die in Nummer 4 der Anlage geregelte Weitergabekontrolle betrifft im Grunde zwei verschiedene Szenarien. Zum einen wird auf die Sicherung der Übertragungswege von personenbezogenen Daten gleich ob per Datenträger oder elektronisch abgezielt. Zum anderen betrifft die Weitergabekontrolle auch Revisionsfähigkeit von Datenübermittlungsvorgängen an unternehmensfremde Dritte.
Hinsichtlich des ersten Szenarios müssen Unternehmen Maßnahmen treffen um zu verhindern, dass Unbefugte während eines Übertragungsvorgangs Zugriff – gleich welcher Art – auf personenbezogene Daten haben. Umfasst werden dabei aber nicht nur die elektronische Übermittlung, sondern beispielsweise auch die Verbringung eines Back-Up-Datenträgers in einen Archivraum. In jedem Fall der Datenübermittlung sind entsprechende Sicherheitsmaßnahmen zu treffen. Dies gilt auch für die Auftragsdatenverarbeitung und dort die Weitergabe von Daten an den Auftragnehmer.


Das zweite Szenario verlangt eine „vorbeugende“ Dokumentation darüber, welche Empfänger personenbezogene Daten durch Datenübertragung erhalten sollen. Die Regelung verlangt dabei keine ständige Protokollierung sämtlicher Datenübertragungen, sondern vielmehr soll nur die vorgesehene Übermittlung dokumentiert werden. Für diese Dokumentation müssen alle Übermittlungsadressaten inklusive der an sie zu übermittelnden Datenmenge bezeichnet werden. Des Weiteren müssen die möglichen Übermittlungen in zeitlicher Hinsicht (Fußnote) überprüfbar sein. Die entsprechenden Dokumentationsunterlagen müssen auch für Dritte einsehbar und in einem entsprechend allgemein lesbaren Format vorhanden sein.

Folgende Maßnahmen sollen beispielhaft für eine Umsetzung der Weitergabekontrolle genannt werden:

- Verschlüsselung von Daten vor der Weitergabe
- Verschlüsselung von Datenträgern
- Wenn möglich Weitergabe von Daten in anonymisierter Form
- Benutzung sicherer Transportbehälter (Fußnote)
- Identitätsüberprüfung beim Empfänger
- Dokumentation der Übermittlungsprogramme
- Revisionssichere aktuelle Übersicht



Kontakt: info@brennecke-rechtsanwaelte.de
Stand: 18.07.2007


Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.


Das Referat IT-Recht wird bei Brennecke & Partner Rechtsanwälte betreut von:

Portrait Tilo-Schindele Tilo Schindele, Rechtsanwalt, Stuttgart

Rechtsanwalt Schindele begleitet IT-Projekte von der Vertragsgestaltung und Lastenheftdefinition über die Umsetzung bis hin zur Abnahme oder Gewährleistungs- und Rückabwicklungsfragen.

Tilo Schindele ist Dozent für IT-Recht und Datenschutz bei der DMA Deutsche Mittelstandsakademie.

Er bietet Seminare und Vorträge unter anderem zu folgenden Themen an:

  • Praxistipps zum rechtssicheren Einsatz von E-Mails im Unternehmen
  • Rechtssicherheit im Internet: - Praktische Rechtstipps für Unternehmer von AGB über Disclaimer und E-Mails bis zu web2.0
  • Allgemeine Geschäftsbedingungen zu Vertragsschluss, Laufzeit und Umzug in Telekommunikationsverträgen


Kontaktieren Sie Rechtsanwalt Tilo Schindele unter: 
Mail: tilo.schindele@brennecke-rechtsanwaelte.de 
Telefon: 0721-20396-28

Normen: § 9 BDSG

Mehr Beiträge zum Thema finden Sie unter:

RechtsinfosDatenschutzrecht
RechtsinfosIT-RechtIT-SecurityDatenschutzrechtBundesdatenschutzgesetz