2017-03-08 17:14:30 +01:00
|
|
|
|
§14 - Datensicherheitsmaßnahmen
|
|
|
|
|
===============================
|
|
|
|
|
|
2017-03-27 10:41:48 +02:00
|
|
|
|
1. Für alle Organisationseinheiten eines Auftraggebers oder
|
|
|
|
|
Dienstleisters, die Daten verwenden, sind Maßnahmen zur
|
|
|
|
|
Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der
|
|
|
|
|
Art der verwendeten Daten und nach Umfang und Zweck der Verwendung
|
|
|
|
|
sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten
|
|
|
|
|
und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die
|
|
|
|
|
Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust
|
|
|
|
|
geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß
|
|
|
|
|
die Daten Unbefugten nicht zugänglich sind.
|
2017-03-08 17:14:30 +01:00
|
|
|
|
|
2017-03-27 10:41:48 +02:00
|
|
|
|
2. Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz
|
|
|
|
|
erforderlich ist,
|
2017-03-08 17:14:30 +01:00
|
|
|
|
|
2017-03-27 10:41:48 +02:00
|
|
|
|
1. die Aufgabenverteilung bei der Datenverwendung zwischen den
|
|
|
|
|
Organisationseinheiten und zwischen den Mitarbeitern
|
|
|
|
|
ausdrücklich festzulegen,
|
2017-03-08 17:14:30 +01:00
|
|
|
|
|
2017-03-27 10:41:48 +02:00
|
|
|
|
2. die Verwendung von Daten an das Vorliegen gültiger Aufträge der
|
|
|
|
|
anordnungsbefugten Organisationseinheiten und Mitarbeiter zu
|
|
|
|
|
binden,
|
2017-03-08 17:14:30 +01:00
|
|
|
|
|
2017-03-27 10:41:48 +02:00
|
|
|
|
3. jeder Mitarbeiter über seine nach diesem Bundesgesetz und nach
|
|
|
|
|
innerorganisatorischen Datenschutzvorschriften einschließlich
|
|
|
|
|
der Datensicherheitsvorschriften bestehenden Pflichten zu
|
|
|
|
|
belehren,
|
2017-03-08 17:14:30 +01:00
|
|
|
|
|
2017-03-27 10:41:48 +02:00
|
|
|
|
4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers
|
|
|
|
|
oder Dienstleisters zu regeln,
|
2017-03-08 17:14:30 +01:00
|
|
|
|
|
2017-03-27 10:41:48 +02:00
|
|
|
|
5. die Zugriffsberechtigung auf Daten und Programme und der Schutz
|
|
|
|
|
der Datenträger vor der Einsicht und Verwendung durch Unbefugte
|
|
|
|
|
zu regeln,
|
2017-03-08 17:14:30 +01:00
|
|
|
|
|
2017-03-27 10:41:48 +02:00
|
|
|
|
6. die Berechtigung zum Betrieb der Datenverarbeitungsgeräte
|
|
|
|
|
festzulegen und jedes Gerät durch Vorkehrungen bei den
|
|
|
|
|
eingesetzten Maschinen oder Programmen gegen die unbefugte
|
|
|
|
|
Inbetriebnahme abzusichern,
|
2017-03-08 17:14:30 +01:00
|
|
|
|
|
2017-03-27 10:41:48 +02:00
|
|
|
|
7. Protokoll zu führen, damit tatsächlich durchgeführte
|
|
|
|
|
Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und
|
|
|
|
|
Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen
|
|
|
|
|
Ausmaß nachvollzogen werden können,
|
2017-03-08 17:14:30 +01:00
|
|
|
|
|
2017-03-27 10:41:48 +02:00
|
|
|
|
8. eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen
|
|
|
|
|
zu führen, um die Kontrolle und Beweissicherung zu erleichtern.
|
2017-03-08 17:14:30 +01:00
|
|
|
|
|
2017-03-27 10:41:48 +02:00
|
|
|
|
Diese Maßnahmen müssen unter Berücksichtigung des Standes der
|
|
|
|
|
Technik und der bei der Durchführung erwachsenden Kosten ein
|
|
|
|
|
Schutzniveau gewährleisten, das den von der Verwendung ausgehenden
|
|
|
|
|
Risiken und der Art der zu schützenden Daten angemessen ist.
|
2017-03-08 17:14:30 +01:00
|
|
|
|
|
2017-03-27 10:41:48 +02:00
|
|
|
|
3. Nicht registrierte Übermittlungen aus Datenanwendungen, die einer
|
|
|
|
|
Verpflichtung zur Auskunftserteilung gemäß § 26 unterliegen, sind so
|
|
|
|
|
zu protokollieren, daß dem Betroffenen Auskunft gemäß § 26 gegeben
|
|
|
|
|
werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6) oder in der
|
|
|
|
|
Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen bedürfen
|
|
|
|
|
keiner Protokollierung.
|
2017-03-08 17:14:30 +01:00
|
|
|
|
|
2017-03-27 10:41:48 +02:00
|
|
|
|
4. Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet
|
|
|
|
|
werden, die mit ihrem Ermittlungszweck – das ist die Kontrolle der
|
|
|
|
|
Zulässigkeit der Verwendung des protokollierten oder dokumentierten
|
|
|
|
|
Datenbestandes – unvereinbar sind. Unvereinbar ist insbesondere die
|
|
|
|
|
Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren
|
|
|
|
|
Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck
|
|
|
|
|
der Kontrolle jener Personen, die auf den protokollierten
|
|
|
|
|
Datenbestand zugegriffen haben, aus einem anderen Grund als jenem
|
|
|
|
|
der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um
|
|
|
|
|
die Verwendung zum Zweck der Verhinderung oder Verfolgung eines
|
|
|
|
|
Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines
|
|
|
|
|
Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre
|
|
|
|
|
übersteigt, handelt.
|
|
|
|
|
|
|
|
|
|
5. Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind
|
|
|
|
|
Protokoll- und Dokumentationsdaten drei Jahre lang aufzubewahren.
|
|
|
|
|
Davon darf in jenem Ausmaß abgewichen werden, als der von der
|
|
|
|
|
Protokollierung oder Dokumentation betroffene Datenbestand
|
|
|
|
|
zulässigerweise früher gelöscht oder länger aufbewahrt wird.
|
|
|
|
|
|
|
|
|
|
6. Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung
|
|
|
|
|
zu halten, daß sich die Mitarbeiter über die für sie geltenden
|
|
|
|
|
Regelungen jederzeit informieren können.
|
2017-03-08 17:14:30 +01:00
|
|
|
|
|
|
|
|
|
|