mirror of
https://git.ludikovsky.name/git/gesetze.git
synced 2024-09-29 02:15:27 +02:00
87 lines
4.2 KiB
Markdown
87 lines
4.2 KiB
Markdown
§14 - Datensicherheitsmaßnahmen
|
||
===============================
|
||
|
||
1. Für alle Organisationseinheiten eines Auftraggebers oder
|
||
Dienstleisters, die Daten verwenden, sind Maßnahmen zur
|
||
Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der
|
||
Art der verwendeten Daten und nach Umfang und Zweck der Verwendung
|
||
sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten
|
||
und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die
|
||
Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust
|
||
geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß
|
||
die Daten Unbefugten nicht zugänglich sind.
|
||
|
||
2. Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz
|
||
erforderlich ist,
|
||
|
||
1. die Aufgabenverteilung bei der Datenverwendung zwischen den
|
||
Organisationseinheiten und zwischen den Mitarbeitern
|
||
ausdrücklich festzulegen,
|
||
|
||
2. die Verwendung von Daten an das Vorliegen gültiger Aufträge der
|
||
anordnungsbefugten Organisationseinheiten und Mitarbeiter zu
|
||
binden,
|
||
|
||
3. jeder Mitarbeiter über seine nach diesem Bundesgesetz und nach
|
||
innerorganisatorischen Datenschutzvorschriften einschließlich
|
||
der Datensicherheitsvorschriften bestehenden Pflichten zu
|
||
belehren,
|
||
|
||
4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers
|
||
oder Dienstleisters zu regeln,
|
||
|
||
5. die Zugriffsberechtigung auf Daten und Programme und der Schutz
|
||
der Datenträger vor der Einsicht und Verwendung durch Unbefugte
|
||
zu regeln,
|
||
|
||
6. die Berechtigung zum Betrieb der Datenverarbeitungsgeräte
|
||
festzulegen und jedes Gerät durch Vorkehrungen bei den
|
||
eingesetzten Maschinen oder Programmen gegen die unbefugte
|
||
Inbetriebnahme abzusichern,
|
||
|
||
7. Protokoll zu führen, damit tatsächlich durchgeführte
|
||
Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und
|
||
Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen
|
||
Ausmaß nachvollzogen werden können,
|
||
|
||
8. eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen
|
||
zu führen, um die Kontrolle und Beweissicherung zu erleichtern.
|
||
|
||
Diese Maßnahmen müssen unter Berücksichtigung des Standes der
|
||
Technik und der bei der Durchführung erwachsenden Kosten ein
|
||
Schutzniveau gewährleisten, das den von der Verwendung ausgehenden
|
||
Risiken und der Art der zu schützenden Daten angemessen ist.
|
||
|
||
3. Nicht registrierte Übermittlungen aus Datenanwendungen, die einer
|
||
Verpflichtung zur Auskunftserteilung gemäß § 26 unterliegen, sind so
|
||
zu protokollieren, daß dem Betroffenen Auskunft gemäß § 26 gegeben
|
||
werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6) oder in der
|
||
Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen bedürfen
|
||
keiner Protokollierung.
|
||
|
||
4. Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet
|
||
werden, die mit ihrem Ermittlungszweck – das ist die Kontrolle der
|
||
Zulässigkeit der Verwendung des protokollierten oder dokumentierten
|
||
Datenbestandes – unvereinbar sind. Unvereinbar ist insbesondere die
|
||
Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren
|
||
Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck
|
||
der Kontrolle jener Personen, die auf den protokollierten
|
||
Datenbestand zugegriffen haben, aus einem anderen Grund als jenem
|
||
der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um
|
||
die Verwendung zum Zweck der Verhinderung oder Verfolgung eines
|
||
Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines
|
||
Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre
|
||
übersteigt, handelt.
|
||
|
||
5. Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind
|
||
Protokoll- und Dokumentationsdaten drei Jahre lang aufzubewahren.
|
||
Davon darf in jenem Ausmaß abgewichen werden, als der von der
|
||
Protokollierung oder Dokumentation betroffene Datenbestand
|
||
zulässigerweise früher gelöscht oder länger aufbewahrt wird.
|
||
|
||
6. Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung
|
||
zu halten, daß sich die Mitarbeiter über die für sie geltenden
|
||
Regelungen jederzeit informieren können.
|
||
|
||
|