Datenverarbeitung

• Verschlüsselung um Vertraulichkeit zu ermöglichen

• Integritätsmaßnahmen um Veränderungen zu erkennen

• Vertraulichkeit

  Zugriffsschutz

• Integrität

  Änderungsschutz

• Authentizität

  Fälschungsschutz

• Zurechenbarkeit

  Nichtabstreitbarkeit

• Geheimhaltung

• Nicht (!): Organisatorische Sicherheit

• Nicht (!): Physische Sicherheit

• SONDERN:

  Kommunikation unter Verwendung geheimer Zusatzinformationen

• Zweckbindung (abgeschwächt)

• Datenvermeidung/-sparsamkeit

• Richtigkeitsgewähr

• Datensicherheit nunmehr ausdrücklich bei den Grundsätzen genannt!

Verbot mit Erlaubnisvorbehalt

Unterscheidung sensible/ nicht sensible Daten

Verbot automatisierter Entscheidungen

“Rechenschaftspflicht”

Der Verantwortliche ist für die Einhaltung des Absatzer 1 verantwortlich und muss dessen Einhaltung nachweisen können

Kein unbefugter Zutritt zu Datenverarbeitungsanlagen (räumlich)

Maßnahmen:

Zutrittsüberwachungs- und kontrollsystem

• Magnet- oder Chipkarten, Schlüssel

• Register von Schlüsselinhabern

• Vorgaben für Externe (Besucherausweise)

Keine unbefugte Systembenutzung

Maßnahmen:

Benutzer-Identifikation und Authentifizierung

• (sichere) Kennwörter / 2 Faktor Authentifizierung

• Genehmigungs- und Monitoringsysteme

• automatische Speermechanismen an Arbeitsplätzen

Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Daten innerhalb des Systems

Maßnahmen:

Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte

• Protokollierung von Zugriffen

• Arbeitsplätze mit funktionsgebundenen Zugriffsschlüsseln

• Regelmäßige Prüfung des Berechtigungskonzeptes