Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit

GEWÄHRLEISTUNG DER VERTRAULICHKEIT, INTEGRITÄT, VERFÜGBARKEIT UND WIDERSTANDSFÄHIGKEIT DER SYSTEME UND DIENSTLEISTUNGEN ZUR VERARBEITUNG PERSONENBEZOGENER DATEN

Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Systeme und Dienstleistungen zur Verarbeitung personenbezogener Daten kontinuierlich zu gewährleisten, wird durch Folgendes erreicht:

• – SSL-verschlüsselte Datenflusskanäle
• – Benutzerauthentifizierung – Möglichkeit zur Aktivierung der zweistufigen Anmeldung
• – automatisches Abmeldeverfahren – für den Fall eines Stromausfalls
• – Verwaltung der Zugriffsberechtigungen auf Daten – in der Beziehung zwischen Serviceexperten und Nutzern sollte eine Pseudoanonymisierung der Daten verwendet werden – der Serviceexperte sollte nur den Vornamen und die ID-Nummer sehen (nur Servicemitarbeiter, die dies zur Erfüllung von Serviceaufgaben benötigen, sollten die Berechtigung haben, auf die Liste der IDs zuzugreifen, die den persönlichen Daten bestimmter Nutzer zugeordnet sind)
• – Anwendung der hochgradigen Sicherheit der technischen Infrastruktur
• – ein Verfahren zur Sicherheit des Dienstes, das laufend überwacht (Alarmsystem), überprüft – getestet (je nach Umfang vierteljährlich oder jährlich) und aktualisiert – an die aktuellen gesetzlichen Anforderungen angepasst – werden sollte.

Gewährleistung der Sicherheit des Schutzes personenbezogener Daten – Pseudonymisierung oder Anonymisierung und Verschlüsselung von personenbezogenen Daten

Anonymisierung betrifft einen irreversiblen Prozess, der darauf abzielt, die Verwendung von personenbezogenen Daten zu verhindern. In Buchhaltungssystemen, in denen die Daten für bestimmte Buchhaltungszwecke, d.h. für juristische Tätigkeiten, verwendet werden, ist eine Anonymisierung aufgrund der gesetzlichen Verpflichtung zur Archivierung bis zur Verjährung von steuerlichen Verpflichtungen und/oder vertraglichen Ansprüchen nicht anwendbar.

Pseudonymisierung – dies ist die Umwandlung einer Liste personenbezogener Daten in z. B. Nummern oder Pseudonyme, so dass es nicht ohne weiteres möglich ist zu entschlüsseln, wem die Daten zur Verfügung gestellt werden. Die Pseudonymisierung wird seit langem angewandt, z. B. an Universitäten: In Ergebnislisten erscheint der Student John Smith unter seiner Indexnummer und nicht unter seinem Vor- und Nachnamen – so können nur diejenigen, die die Indexnummern kennen, ein bestimmtes Ergebnis einer bestimmten Person zuordnen. Die Pseudonymisierung wird häufig für die Erstellung von Statistiken verwendet. In der Praxis wird die Pseudonymisierung vor allem dann angewandt, wenn Daten extern und für bestimmte Zwecke und Situationen weitergegeben werden, was bei dem Buchhaltungssystem nicht der Fall ist.

Die Datenverschlüsselung ist eine Sicherheitsmaßnahme, die insbesondere bei der Datenübertragung eingesetzt wird. Durch die Verschlüsselung aller Daten, die in die und aus der Anwendung gehen, wird die Übertragung sicher. Das Verschlüsselungsprotokoll sollte ein hohes Maß an Sicherheit bieten.

Erstellung und Speicherung von Sicherheitskopien

Kopien personenbezogener Daten sollten in verschlüsselter Form gespeichert werden, und zwar an einem anderen Ort als dem Hauptserver und an Orten, die vor unbefugtem Abfangen, Veränderung, Beschädigung oder Zerstörung geschützt sind. Kopien sollten gelöscht werden, sobald sie nicht mehr nützlich sind – die Löschung von Sicherungskopien sollte automatisch nach einer vom Verantwortlichen festgelegten Aufbewahrungsfrist erfolgen.