Facebook Twitter Instagram
    SOLCOM Freiberufler Blog
    • Steuer
    • Recht
    • Versicherung
    • Business
    • Marktstudien
    • Tipps
    • Über uns
    • Redaktion
    • Freiberufler Magazin
    • Servicebereich
    SOLCOM Freiberufler Blog
    Sicherheit:Anforderungen an IT-Freelancer
    Sicherheit:Anforderungen an IT-Freelancer

    Sicherheit:Anforderungen an IT-Freelancer (Teil 1)

    0
    Unser Autor: Markus Timm am 11. Oktober 2011 Recht

    Sicherheit im Datenschutz ist wichtig. Das BDSG bestimmt, dass Unternehmen ab 5 Mitarbeitern einen Datenschutzbeauftragten zu bestellen haben. Dabei handelt es sich um den so genannten betrieblichen Datenschutzbeauftragten. Ihm kommt die Aufgabe zu, für die Einhaltung der Vorschriften im BDSG und anderen Vorschriften über den Datenschutz zu sorgen (vgl. §§ 4f und 4g BDSG).

    Viele IT-Freelancer haben zur Aufgabe, die EDV-Umgebung eines Unternehmens auf die datenschutzrechtlichen Anforderungen hin zu prüfen und (zumeist) umzustellen. Dabei muss der IT-Freelancer dem Umstand Rechnung tragen, dass der betriebliche Datenschutzbeauftragte (strikt zu trennen vom Leiter der IT-Abteilung; diese beiden Funktionen sind unvereinbar!) im IT-Bereich ungeschult ist und auf das Fachwissen des IT-Freelancers angewiesen ist. Somit muss auch dieser wissen, welche Grundsätze im Datenschutzrecht zur Anwendung kommen und wie diese umgesetzt werden. Hierzu sollen die v. a. in der Anlage zu § 9 BDSG aufgeführten Schutzzwecke in ihrer praktischen Relevanz aufgezeigt werden.

    A. Grundsatz des § 9 BDSG

    Zu der Frage, wie der Schutz von personenbezogenen Daten technisch und organisatorisch zu gestalten ist, sagt § 9 BDSG:

    „Öffentliche und nicht-öffentliche Stellen, die (…) personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“

    Die technischen und organisatorischen Maßnahmen werden in der Anlage zu § 9 BDSG detailliert konkretisiert. Die darin enthaltenen allgemeinen Sicherheitsregeln bedürfen einer genauen Ausgestaltung durch die so genannte Daten verarbeitende Stelle, wie es in § 3 Abs. 7 BDSG heißt.

    Aus dem Inhalt der Anlage zu § 9 BDSG ergeben sich insgesamt acht Gruppen, denen verschiedene Schutzzwecke zugedacht werden (siehe in einem anderen Zusammenhang bereits „IT-Sicherheit im Unternehmen: Chefsache und Haftungspotential“):

    1. Zutrittskontrolle
    2. Zugangskontrolle
    3. Zugriffskontrolle
    4. Weitergabekontrolle
    5. Eingabekontrolle
    6. Auftragskontrolle
    7. Verfügbarkeitskontrolle
    8. Datentrennungskontrolle

    B. Die Schutzzwecke im Einzelnen

    1. Zutrittskontrolle

    Die Zutrittskontrolle soll verhindern, dass Unbefugte körperlichen Zugang zu den Datenverarbeitungsanlagen haben, mit denen personenbezogene Daten verarbeitet werden. In der Praxis bedeutet das die Festlegung und Dokumentation von Zugangsberechtigungen sowie die Kontrolle des Zugangs und der Absicherung der Zugangswege durch:

    • Aufstellung von Anlagen und Terminals in Räumen, die nur dem Berechtigten zugänglich sind
    • Verpflichten der Benutzer, das Terminal bei Verlassen des Arbeitsplatzes abzumelden
    • Automatische Abmeldung des Terminals bei längerer Untätigkeiten des Benutzers
    • Einrichtung von Sicherheitsbereichen
    • Vergabe von Berechtigungsausweisen an Bedienstete sowie Vergabe von Besucherausweisen
    • Regelungen des Zugangs für Besucher, Reinigungsdienst, Wartung, An- und Ablieferung
    • Abschließung der Geräte, verschlossene Aufbewahrung der Datenträger
    • Objektsicherung (z. B. Fenster- und Türensicherung durch Spezialglas, Einbruch hemmende Türen, Installation von Überwachungsanlagen, Überwachungspersonal)

    2. Zugangskontrolle

    Durch die Zugangskontrolle soll die Benutzung von Datenverarbeitungssystemen durch Unbefugte verhindert werden, in dem z. B. Benutzerrechte (z. B. „nur lesen“) vergeben, Legitimationsverfahren eingerichtet und die Kontrolle und Dokumentation von Zugriffsberechtigten erfolgt. Folgende Maßnahmen können hierzu ergriffen werden:

    • Einrichtung von Boot-Passwörtern sowie Verschlüsselungen von Daten
    • Verwendung von sicheren Passwort-Verfahren (Kombination aus Zahl und Wort, 5-8 Stellen, Änderung in regelmäßigen Abständen) und Benutzerkennungen
    • Abweisung unberechtigter Nutzer mit Protokollierung der Zugriffsversuche
    • Zuordnung der einzelnen Arbeitsplätze und Identifizierungsmerkmale zu bestimmten Funktionen, zeitliche Beschränkung der Nutzung von Terminals
    • Verzicht auf Zugriff über Wählleitung

    3. Zugriffskontrolle

    Hierdurch soll der Zugriff von Benutzern auf die ihrer Zugriffsberechtigung unterliegenden Daten beschränkt werden. Dies stellt insofern eine differenzierte Eingrenzung der unter 2. aufgeführten Zugangskontrolle dar und bezieht sich auf diejenigen Benutzer, die grundsätzlich zugangsberechtigt sind. Denkbare Maßnahmen hierfür sind:

    • Zugriffskontrolle auf Programme und Daten durch Benutzerkennung und Passwörter
    • Protokollierung unerlaubter Aktivitäten der Benutzer
    • Zuordnung der Benutzer zu bestimmten Terminals, Festlegung der Befugnisse, die den Benutzern dieser Terminals zustehen
    • zeitliche Begrenzung der Zugriffsmöglichkeit

    4. Weitergabekontrolle

    Durch diesen Schutzzweck soll verhindert werden, dass bei der Übertragung personenbezogener Daten sowie bei Transport von Datenträgern die Daten von Unbefugten gelesen, kopiert, verändert oder gelöscht werden können. Um dies zu gewährleisten, muss die Möglichkeit eingeräumt werden, festzustellen und zu prüfen, an welche Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden können. Es genügt, eine entsprechende Verfahrensdokumentation einzurichten, die eine solche Kontrolle ermöglicht. Darin müssten die möglichen Datenempfänger und deren Befugnisse sowie die Einrichtungen zur Datenübertragung und die erteilten Befugnisse festgelegt werden. Als Maßnahmen seien genannt:

    • die Kontrolle der Einrichtungen zur Datenübertragung und der zugehörigen Übermittlungsprogramme
    • die Protokollierung von Datenübertragungen
    • Verschlüsselung der jeweils übertragenen Daten mit Hilfe eines hochwertigen kryptografischen Verfahrens
    • Verwendung von verschlüsselten Transportwegen (Virtual Private Network – VPN)
    • zentrale Ausgabe und Verwaltung von Datenträgern
    • Erlass schriftlicher Regelungen über den Umgang mit Datenträgern
    • Führung von Aufzeichnungen über den Verbleib von Datenträgern mit Kontrolle
    • Einschließen der Datenträger bei Nichtgebrauch
    • Verbot der Verwendung privater Datenträger im Dienst und der Mitnahme dienstlicher Datenträger nach Hause
    • Einführung technischer Kopierschutzmaßnahmen
    • Einrichtung von Arbeitsplatzrechnern ohne wechselbare Datenträger
    • physikalisches Löschen nicht mehr benötigter Daten
    • Vernichtung überflüssiger Ausdrucke und Fehldrucke
    Share. Facebook Twitter Pinterest LinkedIn Tumblr Email
    Markus Timm
    • Website

    Rechtsanwalt und Fachanwalt für IT-Recht Markus Timm ist Partner der Kanzlei Peukert & Timm in Potsdam. Er begleitet und berät Unternehmen sowie Dienstleister in der IT-Branche.

    Das könnte Sie interessieren

    E-Mail Archivierungspflicht für Freiberufler nach GoBD

    Sichere Passwörter erstellen und verwalten

    IT-Sicherheit für Freiberufler

    Beitrag kommentieren Cancel Reply

    Basiswissen, Guides, Kompendien, Glossar, Tools und Software für jede Lebenslage -
    GRATIS von freiberufler-blog.de

    Zum Servicebereich

    Freiberufler Magazin Abonnieren

    *Datenschutzerklärung

    Für die Anmeldung zu unserem Newsletter verwenden wir das sog. Double-opt-in-Verfahren. Das heißt, dass wir Ihnen nach Angabe Ihrer E-Mail Adresse eine Bestätigungs-E-Mail senden, in welcher wir Sie um Bestätigung bitten, dass Sie den Versand des Newsletters wünschen. Wenn Sie dies nicht innerhalb von 48 Stunden bestätigen, wird Ihre Anmeldung automatisch gelöscht. Durch Anklicken des Bestätigungslinks wird Ihre Anmeldung abgeschlossen. Sie empfangen dann unseren Newsletter unter der von Ihnen angegebenen E-Mail Adresse bis Sie den Newsletter abbestellen. Wenn Sie unseren Newsletter nicht mehr erhalten wollen, können Sie sich über den entsprechenden Link jederzeit abmelden. Pflichtangaben für die Übersendung des Newsletters sind Ihre E-Mail Adresse, sowie, zwecks Personalisierung Anrede und Ihr Nachname. Die Einwilligung in den Versand des Newsletters / Freiberufler Magazins ist freiwillig und kann jederzeit widerrufen werden. Wenn Sie den Newsletter künftig nicht mehr erhalten möchten, können Sie ihn jederzeit über den entsprechenden Link abbestellen.
    zur Datenschutzerklärung

    News Alert abonnieren
    Meistgelesene Beiträge
    • Häusliches Arbeitszimmer: Kosten teilen (Teil 2)
    • Freiberufler können Geschäftshandy von der Steuer absetzen
    • Freiberufler profitieren vom neuen Reisekostenrecht
    • Die 15 besten Steuertipps für Selbstständige und Freiberufler
    • Steuern: Auch gebrauchte Gegenstände können abgeschrieben werden
    Letzte Kommentare
    • Probst Karin zu Scrum aus Zeitmanagement-SichtSehr geehrte Frau Dr. Herrmann, gerade lese ich Ihren Beitrag, den ich sehr…
    • Chiara Cuvillier zu Freelancer-Bewerbung: So überzeugen Ihre UnterlagenHallo vielen Dank zunächst für den tollen Beitrag! Ist wohl die Projektdaue…
    • Otto zu Was Sie als Freelancer über Steuern wissen müssenHier findet man zumindest die Informationen, die man benötigt. Endlich werd…
    • Araceli zu Was Sie als Freelancer über Steuern wissen müssenDieser Artikel könnte für jeden, der Freelancer ist, von Bedeutung sein. Es…
    • Araceli zu Was Sie als Freelancer über Steuern wissen müssenVielen Dank für diesen klaren Beitrag zu Steuern als Freelancer. Sehr gut f…
    Soziale Medien

    Xing
    Linkedin
    Twitter
    Facebook
    Instagram

    RSS SOLCOM Projektportal
    • Projekt-Nr. 82524 - Konstrukteur für Kunststoffspritzguss (m/w/d)
    • Projekt-Nr. 82522 - SPS-Inbetriebnehmer BeckhoffTwinCAT3 (m/w/d)
    • Projekt-Nr. 82531 - Embedded Entwickler C++ (m/w/d)
    • Projekt-Nr. 82527 - SPS Programmierer (m/w/d)
    • Projekt-Nr. 82532 - Gehäuse Konstrukteur (m/w/d)
    Zum SOLCOM Projektportal
    • Impressum
    • Datenschutz
    Links
    • Über uns
    • Redaktion
    • Freiberufler Magazin
    • Servicebereich
    A company  

    Type above and press Enter to search. Press Esc to cancel.

    Zur mobilen Version gehen