M 2.205 Übertragung und Abruf personenbezogener Daten

Verantwortlich für Initiierung: Datenschutzbeauftragter, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Datenschutzbeauftragter, Leiter IT

Erfolgt eine Übertragung personenbezogener Daten vom Standort des Arbeit- bzw. Auftraggebers zu einem "entfernten" Arbeitsplatz (z. B. eines Telearbeiters), so müssen die datenschutzrechtlichen Bestimmungen Beachtung finden. Gemäß § 9 BDSG muss in solchen Fällen insbesondere verhindert werden, dass Unbefugte mit Hilfe von Einrichtungen zur Datenübertragung IT-Systeme nutzen (Benutzerkontrolle). Weiterhin ist zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle).

Der Transportweg bzw. die Übertragungsmethode sollte so gewählt sein, dass sowohl die Vertraulichkeit und Integrität als auch die Authentizität (Herkunftsnachweis) der personenbezogenen Daten gewährleistet werden kann.

Erfolgt die Übertragung personenbezogener Daten im Rahmen eines automatisierten Abrufverfahrens, sind die besonderen Zulässigkeitsvoraussetzungen in den einschlägigen Gesetzen zu beachten:

Allgemeine Aspekte

Maßnahmen gegen unbefugten Abruf

Der Abruf von Daten durch nicht Abrufberechtigte ist durch geeignete Vorkehrungen zu verhindern:

Maßnahmen zur Organisationskontrolle

Prüffragen: