Erläuterungen zu §9 BDSG
Im Folgenden möchten wir Ihnen die in §9 BDSG geforderten Angaben (Technische und organisatorische Datenschutzmaßnahmen) näher erläutern.
Zunächst finden Sie hier den Wortlaut der Anlage zu §9 BDSG. Die aufgeführten Punkte müssen in der Schilderung der ergriffenen Maßnahmen zur Sicherheit der Datenverarbeitung beschrieben werden. Wir haben zu jedem Punkt Anmerkungen gemacht, die Ihnen helfen sollen, diesbezüglich etwas über Ihre Einrichtung/Firma zu schreiben.
Wichtige Anmerkung zu Beginn: Wenn Sie beranet für die Durchführung von Online-Beratung und/oder für die Verwaltung von Klientendaten verwenden, können Sie als “technische Maßnahme” die Nutzung von beranet angeben. In diesem Fall weisen Sie darauf hin, dass Ihre Einrichtung/Firma beranet nutzt und schildern Sie, wie die Beratungslösung von Ihnen eingesetzt wird. Dies bezieht sich auf die Punkte 2,3,4,5 und 7.
Generell sollten Sie darauf Wert legen, dass Sie alle Maßnahmen transparent und verständlich darstellen.
Anlage (zu § 9 Satz 1 BDSG):
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
(Anm.: Hier sollte dargestellt werden, dass nur befugte Mitarbeiter Zutritt zu den Räumlichkeiten haben, in denen die Datenverarbeitung stattfindet. Allgemeine Angaben sind ausreichend, Sie müssen hier nicht erklären, mit welcher Art von Sicherheitsschloss Ihre Eingangstür gesichert ist oder dergleichen. Es sind hier nur physische Schutzmaßnahmen gemeint.)
2. zu verhindern, daß Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
(Anm.: Hier sollte geschildert werden, dass Passwörter benutzt werden, evtl. noch, wie diese verwahrt werden. Wenn Sie darüber hinaus Vorkehrungen zur Zugangskontrolle (Chipkarten, biometrische Daten usw.) treffen, schreiben Sie dies bitte hier rein.)
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
(Anm.: Stellen Sie hier dar, wie intern der Zugriff auf verschiedenen Datenkategorien geregelt ist. Wer auf welche Datenkategorien Zugriff hat, geht bereits aus dem öVV hervor, nicht aber, WIE die Zugriffskontrolle geregelt ist. Beispielsweise könnte es sein, dass bestimmte Datenkategorien exportiert und dann an die Verwaltung oder die IT weitergegeben werden. Derartige Vorgänge und Strukturen sollten hier beschrieben werden. Hierbei sind innerbetriebliche organisatorische Maßnahmen gemeint.)
4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
(Anm.: Dieser Punkt betrifft den Verkehr mit erhobenen personenbezogenen Daten. Transferieren Sie beispielsweise Daten mittels Datenträgern, schreiben Sie hier rein, nach welchem Schema dies erfolgt. Bitte schildern Sie hier auch, wie ggf. die Weitergabe von Daten vonstatten geht. Wer die Daten erhält, ist an dieser Stelle nicht wesentlich (es geht aus dem öVV hervor), vielmehr geht es um das WIE. Netzwerkprotokolle, Verschlüsselungen, all dies gehört hier rein.)
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
(Anm.: Dieser Punkt betrifft die Nachvollziehbarkeit von Datenzugriffen und Änderungen. Je nach eingesetzter Softwarelösung ist es z.B. möglich, detailliert nachzuvollziehen, wer wann zuletzt Zugriff auf welche Daten hatte und was geändert wurde.)
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
(Anm.: Dieser Punkt spielt nur dann eine Rolle, wenn Sie Daten zur Verarbeitung an externe Personen weitergeben. Sie als Auftraggeber müssen dafür Sorge tragen, dass die von Ihnen übermittelten Daten nur so verarbeitet werden können, wie Sie es beabsichtigt haben.)
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
(Anm.: Dies bezieht sich auf Schutzmaßnahmen wie Datensicherung, Virenschutz, Pläne für Notfälle usw. Bitte geben Sie hier an, wie Sie die Verfügbarkeit Ihrer erhobenen Daten zu garantieren versuchen.)
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
(Anm.: Daten, die zu unterschiedlichen Zwecken erhoben wurden, dürfen nur getrennt voneinander verarbeitet werden. Somit soll vermieden werden, dass sich aus dem Zusammenbringen von Daten und deren Verarbeitung Zwecke ergeben könnten, die zum Zeitpunkt der Datenerhebung den betroffenen Personen nicht bekannt waren.)
Unser Beauftragter für den Datenschutz: Herr Markus Pleyer. Er stellt Ihnen seine Kompetenz und sein Fachwissen zur Verfügung. Profitieren Sie davon und nutzen Sie den 
Einfach und schnell zum eigenen öVV, mit dem 