M 2.205 Übertragung und Abruf personenbezogener Daten
Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Datenschutzbeauftragter
Verantwortlich für Umsetzung: Leiter IT, Datenschutzbeauftragter
Erfolgt eine Übertragung personenbezogener Daten vom Standort des Arbeit- bzw. Auftraggebers zu einem "entfernten" Arbeitsplatz (z. B. eines Telearbeiters), so müssen die datenschutzrechtlichen Bestimmungen Beachtung finden. Gemäß § 9 BDSG muss in solchen Fällen insbesondere verhindert werden, dass Unbefugte mit Hilfe von Einrichtungen zur Datenübertragung IT-Systeme nutzen (Benutzerkontrolle). Weiterhin ist zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle).
Der Transportweg bzw. die Übertragungsmethode sollten so gewählt sein, dass sowohl die Vertraulichkeit und Integrität als auch die Authentizität (Herkunftsnachweis) der personenbezogenen Daten gewährleistet werden kann.
Erfolgt die Übertragung personenbezogener Daten im Rahmen eines automatisierten Abrufverfahrens, sind die besonderen Zulässigkeitsvoraussetzungen in den einschlägigen Gesetzen zu beachten:
Allgemeine Aspekte
- Anlass und Zweck sowie beteiligte Stellen am Abrufverfahren sind festzulegen.
- Abrufberechtigungen sind festzulegen und zu kontrollieren.
- Art und Umfang der bereitgehaltenen Daten sind festzulegen.
- Sperr- und Löschfristen für Daten sind zu definieren.
- Es ist festzulegen, in welchen Fällen die speichernde Stelle von der abrufenden Stelle zu informieren ist.
- Der Transportweg ist festzulegen, z. B. Zugriff über ISDN-Wählleitung, gesichert über Callback basierend auf CLIP bzw. COLP (siehe M 5.49 Callback basierend auf CLIP/COLP).
- Es sollten geeignete kryptographische Verfahren (z. B. symmetrische und asymmetrische Verschlüsselung, digitale Signatur) eingesetzt werden, um Verletzungen des Datenschutzes beim Transport schutzwürdiger Daten zu verhindern. Wie entsprechende Verfahren und Produkte ausgewählt werden können, ist in Baustein B 1.7 Kryptokonzept beschrieben.
- Werden über einen Transportweg regelmäßig oder dauerhaft personenbezogene Daten ausgetauscht, sollte die Übertragung mit Hilfe eines virtuellen privaten Netzes (VPN) gesichert werden (siehe M 5.76 Einsatz geeigneter Tunnel-Protokolle für die RAS-Kommunikation und M 5.83 Sichere Anbindung eines externen Netzes mit Linux FreeS/WAN
Maßnahmen gegen unbefugten Abruf
Der Abruf von Daten durch nicht Abrufberechtigte ist durch geeignete Vorkehrungen zu verhindern:
- Jeder Benutzer muss sich gegenüber den IT-Systemen, von denen die personenbezogenen Daten abgerufen werden, eindeutig identifizieren und authentisieren.
- Nach einer festgelegten Anzahl von Fehlversuchen ist die Berechtigung zu sperren.
- Passwörter müssen in regelmäßigen Abständen gewechselt werden. Soweit möglich, ist dies durch die entsprechenden Programme zu erzwingen.
- Zur Überprüfung der Protokolldateien sollten programmgesteuerte Prüfungsverfahren eingesetzt werden.
- Art und Umfang der Protokollierung müssen festgelegt werden (siehe auch M 2.110 Datenschutzaspekte bei der Protokollierung).
- Es sollten zufallsgesteuerte Stichprobenkontrollen oder eine Dauerprotokollierung durchgeführt werden.
- Es ist festzulegen, an welcher Stelle die Protokollierungen durchgeführt werden (abrufende und/oder speichernde Stelle).
- Die Protokollierung muss so konzipiert sein, dass nachträglich festgestellt werden kann, aufgrund wessen Abrufberechtigung Daten abgerufen wurden.
- Die Gründe des Abrufs müssen protokolliert werden.
- Beim Abruf von Daten sollte protokolliert werden, über welchen Anschluss und welche Endgeräte die Übertragung stattfindet.
Maßnahmen zur Organisationskontrolle
- Alle Mitarbeiter, insbesondere die der abrufenden Stelle, sind auf das Datengeheimnis zu verpflichten.
- Eine Weitergabe von Daten an Dritte ist vertraglich zu untersagen.
Ergänzende Kontrollfragen:
- Wurden die umgesetzten technischen und organisatorischen Maßnahmen dokumentiert?
- Liegt ein Konzept zur Überprüfung und Feststellung der Zulässigkeit der im Rahmen automatisierter Abrufe erfolgten Datenübertragungen vor?