Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 27.7.2009

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

Schutz personenbezogener Daten

Welche technisch-organisatorischen Maßnahmen muss ich zum Schutz personenbezogener Daten ergreifen?

Der Art. 7 Abs. 1 Bayerisches Datenschutzgesetz (BayDSG) legt fest, dass öffentliche Stellen (z. B. Behörden und Kommunen), die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen haben, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten.

Das Bayerische Datenschutzgesetz (BayDSG) möchte gemäß Art. 1 den Einzelnen davor schützen, dass er bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch öffentliche Stellen in unzulässiger Weise in seinem Persönlichkeitsrecht beeinträchtigt wird.

Diese Verpflichtung zur Wahrung des Persönlichkeitsrechtes ist von allen öffentlichen Stellen zu beachten, egal ob sie die Daten manuell oder unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben.

Dies bedeutet im Umkehrschluss, dass – neben der manuellen Datenverarbeitung – auch die automatisierte Datenverarbeitung und ihr Betrieb so zu gestalten ist, dass sie den Anforderungen des Datenschutzes und der Datensicherheit entspricht.

Zur Gewährleistung dieser Anforderungen müssen entsprechende technisch-organisatorische Maßnahmen ergriffen werden.

Konkret wird diese Forderung im Art. 7 Satz 1 BayDSG angesprochen, wobei der Gesetzgeber nicht zwischen automatisierter und nicht automatisierter Datenverarbeitung unterscheidet.

Demgemäß haben öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften des BayDSG zu gewährleisten.

Erforderlich bedeutet in diesem Zusammenhang, dass die Maßnahmen notwendig sein müssen und ohne sie der angestrebte Schutzzweck nicht erreicht werden kann.

Erforderlich sind Maßnahmen gemäß Art. 7 Satz 2 BayDSG nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Das Verhältnis zwischen dem Aufwand, den Maßnahmen

verursachen und dem angestrebten Schutzzweck, dem sie dienen, kann am Besten im Rahmen einer Kosten-/Nutzenanalyse ermittelt werden. Dabei gilt:

Die Quote des Aufwand ist abhängig von:

  • Empfindlichkeit der Daten
  • Umfang der Daten
  • Nutzungsmöglichkeit.

Während für die manuelle Datenverarbeitung insbesondere Maßnahmen zu ergreifen sind, die gewährleisten sollen, dass Unbefugte nicht auf diese personenbezogenen Daten zugreifen können, ist der erforderliche Aufwand für die automatisierte Datenverarbeitung weit höher.

Für den Fall der automatisierten Datenverarbeitung sind im Art. 7 Abs. 2 des Bayrischen Datenschutzgesetzes Sicherheitsziele definiert. Demgemäß sind für personenbezogene Daten, die automatisiert verarbeitet werden, Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,

  • Zugangs-,
  • Datenträger-,
  • Speicher-,
  • Benutzer-,
  • Zugriffs-,
  • Übermittlungs-,
  • Eingabe-,
  • Auftrags-,
  • Transport- und Organisationskontrolle

zu gewährleisten. Welche Maßnahmen dazu im Einzelnen erforderlich sind, darüber gibt das BayDSG keine Auskunft. Bei der schnellen technischen Fortentwicklung der maschinellen Datenverarbeitung wäre es auch wenig hilfreich gewesen, bestimmte Maßnahmen festzuschreiben, die nach kurzer Zeit nicht mehr dem Stand der Technik genügten. In der Fachliteratur sind aber mehr oder weniger umfangreiche Maßnahmenkataloge zu finden.

Weitere Informationen zu diesen "10 Kontrollen des BayDSG" enthält die gleichnamige Orientierungshilfe.