1. Grundprobleme von Datenschutz und Datensicherheit

Die zehn Gebote des Datenschutzes

[Seit 2003 sind es nur noch acht.]

Anlage zu § 9 Satz 1 BDSG

Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,

1. Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle),

2. zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),

3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle),

4. zu verhindern, daß Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle),

5. zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),

6. zu gewährleisten, daß überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle),

7. zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),

8. zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

9. zu verhindern, daß bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),

10. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).


Technische Realisierung der 10 Gebote

1. Zugangskontrolle
Türsicherung, Sicherheitsschloß, abschließen der Räume, Schlüsselregelung, Verschluß von Datenträgern, Wechsel-Festplatten, nicht einsehbare Aufstellung von Geräten, Überwachungs- und Alarmanlagen.
2. Datenträgerkontrolle
Spezielle Räume zur Aufbewahrung, Datensafes, nur kontrolliertes und dokumentiertes Kopieren, Bestandskontrollen, kontrollierte Vernichtung, ordnungsgemäße Verwaltung von Disketten und Druckausgaben.
3. Speicherkontrolle
Trennung von Programm- und Datenbereichen verschiedener Benutzer, Löschen von Speicherbereichen vor Wiederverwendung, Sperrung von Diskettenlaufwerken.
4. Benutzerkontrolle
Nutzung durch Unbefugte verhindern, Paßwortregelungen und sonstige Identifikationsverfahren, Kontrolle der Netzverbindungen, kontrollierter Einsatz der Betriebssystemfunktionen.
5. Zugriffskontrolle
Festlegung und Prüfung der Zugriffsberechtigungen, Protokollierung von Zugriffen, zeitliche Begrenzung von Zugriffen, revisionsfähige Dokumentation der Benutzerprofile.
6. Übermittlungskontrolle
Sender, Definition von Empfänger und Art der zu übermittelnden Daten, Dokumentation von Datum und Ziel, Festlegung von Art und Zweck eines Abrufverfahrens, Verschlüsselung, Netzdokumentation.
7. Eingabekontrolle
Unbefugte Eingabe verhindern, manipulationssichere Protokollierung.
8. Auftragskontrolle
Protokoll über Auftrag und Erledigung, eindeutige Vertragsgestaltung.
9. Transportkontrolle
Festlegung von Boten und Transportwegen, Quittung, Transportkoffer, Verschlüsselung.
10. Organisationskontrolle
Verantwortlichkeiten, Planung, Verpflichtungen und Dienstanweisungen, Verfahrens-, Dokumentations- und Programmierrichtlinien, Funktionstrennung.


Vorlesung Datenschutz und Datensicherheit
Autor: Klaus Pommerening, 31. März 1999; letzte Änderung: 3. Mai 2004
E-Mail an
Pommerening »AT« imbei.uni-mainz.de.