pludi/gesetze
1
0
Fork 0
mirror of https://git.ludikovsky.name/git/gesetze.git synced 2024-05-19 00:05:33 +02:00
Code Issues Releases Activity
gesetze/dsg2000/art02-par14.md
Peter f4eed9d7c8
Cleanup Markdown DSG2000
2017-03-27 10:41:48 +02:00

87 lines
4.2 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

§14 - Datensicherheitsmaßnahmen
===============================
1. Für alle Organisationseinheiten eines Auftraggebers oder
Dienstleisters, die Daten verwenden, sind Maßnahmen zur
Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der
Art der verwendeten Daten und nach Umfang und Zweck der Verwendung
sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten
und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die
Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust
geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß
die Daten Unbefugten nicht zugänglich sind.
2. Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz
erforderlich ist,
1. die Aufgabenverteilung bei der Datenverwendung zwischen den
Organisationseinheiten und zwischen den Mitarbeitern
ausdrücklich festzulegen,
2. die Verwendung von Daten an das Vorliegen gültiger Aufträge der
anordnungsbefugten Organisationseinheiten und Mitarbeiter zu
binden,
3. jeder Mitarbeiter über seine nach diesem Bundesgesetz und nach
innerorganisatorischen Datenschutzvorschriften einschließlich
der Datensicherheitsvorschriften bestehenden Pflichten zu
belehren,
4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers
oder Dienstleisters zu regeln,
5. die Zugriffsberechtigung auf Daten und Programme und der Schutz
der Datenträger vor der Einsicht und Verwendung durch Unbefugte
zu regeln,
6. die Berechtigung zum Betrieb der Datenverarbeitungsgeräte
festzulegen und jedes Gerät durch Vorkehrungen bei den
eingesetzten Maschinen oder Programmen gegen die unbefugte
Inbetriebnahme abzusichern,
7. Protokoll zu führen, damit tatsächlich durchgeführte
Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und
Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen
Ausmaß nachvollzogen werden können,
8. eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen
zu führen, um die Kontrolle und Beweissicherung zu erleichtern.
Diese Maßnahmen müssen unter Berücksichtigung des Standes der
Technik und der bei der Durchführung erwachsenden Kosten ein
Schutzniveau gewährleisten, das den von der Verwendung ausgehenden
Risiken und der Art der zu schützenden Daten angemessen ist.
3. Nicht registrierte Übermittlungen aus Datenanwendungen, die einer
Verpflichtung zur Auskunftserteilung gemäß § 26 unterliegen, sind so
zu protokollieren, daß dem Betroffenen Auskunft gemäß § 26 gegeben
werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6) oder in der
Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen bedürfen
keiner Protokollierung.
4. Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet
werden, die mit ihrem Ermittlungszweck das ist die Kontrolle der
Zulässigkeit der Verwendung des protokollierten oder dokumentierten
Datenbestandes unvereinbar sind. Unvereinbar ist insbesondere die
Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren
Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck
der Kontrolle jener Personen, die auf den protokollierten
Datenbestand zugegriffen haben, aus einem anderen Grund als jenem
der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um
die Verwendung zum Zweck der Verhinderung oder Verfolgung eines
Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines
Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre
übersteigt, handelt.
5. Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind
Protokoll- und Dokumentationsdaten drei Jahre lang aufzubewahren.
Davon darf in jenem Ausmaß abgewichen werden, als der von der
Protokollierung oder Dokumentation betroffene Datenbestand
zulässigerweise früher gelöscht oder länger aufbewahrt wird.
6. Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung
zu halten, daß sich die Mitarbeiter über die für sie geltenden
Regelungen jederzeit informieren können.
Reference in a new issue View git blame Copy permalink