Datenschutz und EDV

Datenschutz ist eng mit der Thematik der Datensicherheit verknüpft; in vielen Bereich ergeben sich Überschneidungen. Aufgrund der ständigen technischen Entwicklung werden in den gesetzlichen Formulierungen zum Datenschutz bewusst keine detailliert ausformulierten Regelungen festgehalten. Nur so kann erreicht werden, dass der Regelungsgehalt mit dem ständigen Fortschritt mithält. Die gesetzlichen Bestimmungen verpflichten jedoch zur Durchführung der im jeweiligen Fall notwendigen Maßnahmen (s. a. BDSG, Anlage zu § 9 Satz 1) und geben Kontrollziele vor. Sie entsprechen im Wesentlichen den Zielen im Bereich der IT-Sicherheit:

  • Vertraulichkeit

    (alle Daten werden vertraulich behandelt)

  • Verfügbarkeit

    (alle Daten stehen zur Verfügung)

  • Integrität

    (logische und inhaltliche Korrektheit)

  • Zurechenbarkeit

    (Daten sind eindeutig Ihrem Verfasser zuzuordnen)

Die aus diesen Ansprüchen abgeleiteten Maßnahmen sind von den Bedingungen des Einzelfalls abhängig und sollten immer in angemessenem Verhältnis zu ihrem Schutzzweck stehen. Je größer das Risiko eines Schadenseintritts im Umgang mit den jeweiligen personenbezogenen Daten ist, desto höher ist der angemessene Aufwand anzusetzen. Dabei sind die technischen und organisatorischen Maßnahmen zu treffen, die geeignet und erforderlich sind, das notwendige Schutzniveau zu erreichen. Zur Orientierung bei der Angemessenheitsprüfung wird der Grad der Schutzbedürftigkeit personenbezogener Daten in fünf Schutzstufen untergliedert. Alle Maßnahmen sollen daher so ausgewählt werden, dass der Datenschutz im Sinne der Schutzstufen ausreichend gewährleistet wird, der Aufwand jedoch nicht unverhältnismäßig groß ist und der Betrieb der IT-Systeme nicht unnötig gestört wird.


Konkret werden in der Anlage zu § 9 BDSG die Anforderungen gestellt:

  • Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

  • zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

  • zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

  • zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

  • zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Systeme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

  • zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

  • zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

  • zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Gebot der Datentrennung).

Datenschutz und EDV zum Download als PDF-Datei Adobe Reader erforderlich