Gesetzliche Regelung für DASI und Datenverschlüsselung
Hallo Gemeinde,
Sicher, jeder sollte eine DASI durchführen und sensible Daten verschlüsseln. Aber sind diese Maßnahmen gesetzlich verankert?
1. Welcher § regelt z.B. die gesetzliche Pflicht, das jeder Unternehmer seine Unternehmensdaten auf dafür geeignete Medien sichert? (DASI)
1. Sind öffentliche Einrichtungen, z.B. Kindergärten, Schulen, oder auch Nichtöffentliche Betriebe wie Rechtsanwälte, die jeweils mit sensiblen persönlichen Daten hantieren, gesetzlich verpflichtet, ihre Daten auf Mobilen und/oder Nichtmobilen Geräten, digital zu verschlüsseln?
Sicher, jeder sollte eine DASI durchführen und sensible Daten verschlüsseln. Aber sind diese Maßnahmen gesetzlich verankert?
1. Welcher § regelt z.B. die gesetzliche Pflicht, das jeder Unternehmer seine Unternehmensdaten auf dafür geeignete Medien sichert? (DASI)
1. Sind öffentliche Einrichtungen, z.B. Kindergärten, Schulen, oder auch Nichtöffentliche Betriebe wie Rechtsanwälte, die jeweils mit sensiblen persönlichen Daten hantieren, gesetzlich verpflichtet, ihre Daten auf Mobilen und/oder Nichtmobilen Geräten, digital zu verschlüsseln?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 147467
Url: https://administrator.de/forum/gesetzliche-regelung-fuer-dasi-und-datenverschluesselung-147467.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
11 Kommentare
Neuester Kommentar
Hallo Woody,
zu 1.
es gibt meines Wissens keine Gesetz was dich zur DaSi verpflichtet aber es gibt gesetzliche Aufbewahrungsfristen.
§ 147 Ordnungsvorschriften für die Aufbewahrung von Unterlagen
http://www.gesetze-im-internet.de/ao_1977/__147.html
Diese kannst du natürlich nur mit Dasi erfüllen.
zu. 2.
Keine Ahnung.
Grüße vom IT-Frosch
zu 1.
es gibt meines Wissens keine Gesetz was dich zur DaSi verpflichtet aber es gibt gesetzliche Aufbewahrungsfristen.
§ 147 Ordnungsvorschriften für die Aufbewahrung von Unterlagen
http://www.gesetze-im-internet.de/ao_1977/__147.html
Diese kannst du natürlich nur mit Dasi erfüllen.
zu. 2.
Keine Ahnung.
Grüße vom IT-Frosch
Moin,
Du hast sicherzustellen, daß das Finanzamt in Deine Firmenunterlagen auch nach 10 Jahren rankommt, ob Du Deine Daten per Band oder wie auch immer sicherst, oder Deinen Fileserverinhalt periodisch ausdruckst, interessiert keinen, wichtig ist es, das es da ist.
Berufsgeheimnisträger sollten schon wissen, wie sie die Vertraulichkeit Ihrer Kunden sichern, auch da bleibt denen die Wahl, ob sie sich in Fort Knox ein Büro mieten oder ggf. Daten verschlüsseln...
Gruß
24
Du hast sicherzustellen, daß das Finanzamt in Deine Firmenunterlagen auch nach 10 Jahren rankommt, ob Du Deine Daten per Band oder wie auch immer sicherst, oder Deinen Fileserverinhalt periodisch ausdruckst, interessiert keinen, wichtig ist es, das es da ist.
Berufsgeheimnisträger sollten schon wissen, wie sie die Vertraulichkeit Ihrer Kunden sichern, auch da bleibt denen die Wahl, ob sie sich in Fort Knox ein Büro mieten oder ggf. Daten verschlüsseln...
Gruß
24
Hallo Woody,
ich glaube du suchst einen Grund warum du Daten verschlüsselt ablegen solltest oder ein Kunde von dir dies tun sollte.
Da ist das sicherlich geeignet.
Bei der Beantwortung einer Frage ist es immer wichtig zu wissen wo der Fragende eigentlich hin will. Mitunter hat das Ziel mit der Frage gar nichts zu tun.
ich glaube du suchst einen Grund warum du Daten verschlüsselt ablegen solltest oder ein Kunde von dir dies tun sollte.
Da ist das sicherlich geeignet.
Bei der Beantwortung einer Frage ist es immer wichtig zu wissen wo der Fragende eigentlich hin will. Mitunter hat das Ziel mit der Frage gar nichts zu tun.
Hallo Woody,
die Verschlüsselung von Daten wird im Gesetz wahrscheinlich nicht so explizit gefordert sein. Die Technik entwickelt sich ja auch weiter und wenn Verschlüsselung nicht mehr ausreicht , müsste das Gesetzt ja auch wieder geändert werden. Ausserdem: welche Verschlüsselungsmethode soll es denn sein?
Gesetze, die ein IT-Sicherheitsmanagement von Unternehmen verlangen sind daher m. E. allgemein gehalten und - wie es bei Gesetzen so ist - interpretierbar.
Beispiele:
Gesetz zur Kontrolle und Transparenz -KontraGIT-Sicherheitsmanagement ist Teil der Anforderungen an ordentliche Unternehmensführung gemäß §91 Abs.2 AktG„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“
§9 BDSG„Öffentliche und nicht-öffentliche Stellen, die (…) personenbezogenen Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“
Gesetzliche AnforderungenDem Jahresabschluss ist gemäß §336 HGB ein Lagebericht beizufügen, der Information über die Risiken der künftigen Entwicklung des Unternehmens enthält. bei prüfungspflichtigen Unternehmen kann ein fehlendes oder unzureichendes Risikomanagement zur Folge haben, dass die Wirtschaftsprüfer den Bestätigungsvermerk versagen.Keine GewinnausschüttungProbleme bei Kreditaufnahmen und mit BankenAuswirkungen auf AktienkursePersönliche Haftung des Vorstands
Basel IIVorschriften zum Eigenkapital von Banken.Kreditrisiko wird an Hand von Ratings bestimmt. Dabei wird das operationelle Risiko berücksichtigt. Dies umfasst auch interne Prozesse, wie ein Risikomanagement.Höheres Risiko = höhere ZinsenIndirekter Zwang, ein ausreichendes Risikomanagement einzuführen und umzusetzen.
D.h.: Anforderungen an IT-SicherheitskonzepteGesetze legen sich nicht auf konkrete Konzepte festAnforderungen an Sicherheitskonzepte variieren je nach Unternehmenstyp, Risiko und BedrohungGesetzlich erforderlich ist eine Analyse des bestehenden Risikos sowie angemessene Maßnahmen zur Vermeidungdabei können anerkannte Standards als Maßstab herangezogen werden
die Verschlüsselung von Daten wird im Gesetz wahrscheinlich nicht so explizit gefordert sein. Die Technik entwickelt sich ja auch weiter und wenn Verschlüsselung nicht mehr ausreicht , müsste das Gesetzt ja auch wieder geändert werden. Ausserdem: welche Verschlüsselungsmethode soll es denn sein?
Gesetze, die ein IT-Sicherheitsmanagement von Unternehmen verlangen sind daher m. E. allgemein gehalten und - wie es bei Gesetzen so ist - interpretierbar.
Beispiele:
Gesetz zur Kontrolle und Transparenz -KontraGIT-Sicherheitsmanagement ist Teil der Anforderungen an ordentliche Unternehmensführung gemäß §91 Abs.2 AktG„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“
§9 BDSG„Öffentliche und nicht-öffentliche Stellen, die (…) personenbezogenen Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“
Gesetzliche AnforderungenDem Jahresabschluss ist gemäß §336 HGB ein Lagebericht beizufügen, der Information über die Risiken der künftigen Entwicklung des Unternehmens enthält. bei prüfungspflichtigen Unternehmen kann ein fehlendes oder unzureichendes Risikomanagement zur Folge haben, dass die Wirtschaftsprüfer den Bestätigungsvermerk versagen.Keine GewinnausschüttungProbleme bei Kreditaufnahmen und mit BankenAuswirkungen auf AktienkursePersönliche Haftung des Vorstands
Basel IIVorschriften zum Eigenkapital von Banken.Kreditrisiko wird an Hand von Ratings bestimmt. Dabei wird das operationelle Risiko berücksichtigt. Dies umfasst auch interne Prozesse, wie ein Risikomanagement.Höheres Risiko = höhere ZinsenIndirekter Zwang, ein ausreichendes Risikomanagement einzuführen und umzusetzen.
D.h.: Anforderungen an IT-SicherheitskonzepteGesetze legen sich nicht auf konkrete Konzepte festAnforderungen an Sicherheitskonzepte variieren je nach Unternehmenstyp, Risiko und BedrohungGesetzlich erforderlich ist eine Analyse des bestehenden Risikos sowie angemessene Maßnahmen zur Vermeidungdabei können anerkannte Standards als Maßstab herangezogen werden
Hallo Woody,
das kann ich mir nicht vorstellen.
Du meinst, der Datenschutzbeauftragte hat Dir gesagt, diese sensiblen Daten sind zu verschlüsseln auch im internen Netzwerk?
Dann, so will ich meinen, erfüllen 99% aller Unternehmen diese Anforderung nicht.
M. E. hat er Dir Mist erzählt.
Oder habe ich das falsch verstanden?
Die Daten sind angemessen abzusichern, aber nicht zu verschlüsseln. Diesen Paragraphen, hat er ihn Dir genannt?
das kann ich mir nicht vorstellen.
Du meinst, der Datenschutzbeauftragte hat Dir gesagt, diese sensiblen Daten sind zu verschlüsseln auch im internen Netzwerk?
Dann, so will ich meinen, erfüllen 99% aller Unternehmen diese Anforderung nicht.
M. E. hat er Dir Mist erzählt.
Oder habe ich das falsch verstanden?
Die Daten sind angemessen abzusichern, aber nicht zu verschlüsseln. Diesen Paragraphen, hat er ihn Dir genannt?
Hier die Anlage zu § 9 BDSG
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.
-> Satz 2 § 9 BDSG: Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
Wenn ich also Zugriffskontrolle, Zugangskontrolle und Weitergabekontrolle ordentlich ohne Verschlüsselung geregelt habe, brauche ich m. E. keine zusätzliche Verschlüsselung von lokalen Datenträgern oder Speichermedien. Die Verschlüsselung ist lediglich eine wichtige Maßnahme.
Man kann es aber tatsächlich auch anders herum lesen und die Verschlüsselung als ein Must-have interpretieren.
Ich liebe Gesetzestexte...
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.
-> Satz 2 § 9 BDSG: Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
Wenn ich also Zugriffskontrolle, Zugangskontrolle und Weitergabekontrolle ordentlich ohne Verschlüsselung geregelt habe, brauche ich m. E. keine zusätzliche Verschlüsselung von lokalen Datenträgern oder Speichermedien. Die Verschlüsselung ist lediglich eine wichtige Maßnahme.
Man kann es aber tatsächlich auch anders herum lesen und die Verschlüsselung als ein Must-have interpretieren.
Ich liebe Gesetzestexte...