Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Die Zugriffskontrolle kann unter anderem gewährleistet werden durch geeignete Berechtigungskonzepte, die eine differenzierte Steuerung des Zugriffs auf Daten ermöglichen. Dabei gilt, sowohl eine Differenzierung auf den Inhalt der Daten vorzunehmen als auch auf die möglichen Zugriffsfunktionen auf die Daten. Weiterhin sind geeignete Kontrollmechanismen und Verantwortlichkeiten zu definieren, um die Vergabe und den Entzug der Berechtigungen zu dokumentieren und auf einem aktuellen Stand zu halten (z.B. bei Einstellung, Wechsel des Arbeitsplatzes, Beendigung des Arbeitsverhältnisses). Besondere Aufmerksamkeit ist immer auch auf die Rolle und Möglichkeiten der Administratoren zu richten.
Bei zahlreichen technischen Maßnahmen wird Ihnen vermutlich nur Ihr IT-Beauftragte eine Rückmeldung geben können.
Technische Maßnahmen
- Aktenschredder (mind. Stufe 3, cross cut)
- Externer Aktenvernichter (DIN 32757)
- Physische Löschung von Datenträgern
- Protokollierung von Zugriffen auf
- Anwendungen, konkret bei der Eingabe,
- Änderung und Löschung von Daten
Organisatorische Maßnahmen
- Einsatz Berechtigungskonzepte
- Minimale Anzahl an Administratoren
- Datenschutztresor
- Verwaltung Benutzerrechte durch
- Administratoren