Cybersecurity Navigator Login

PolDVG - Gesetz über die Datenverarbeitung der Polizei

PolDVG - Gesetz über die Datenverarbeitung der Polizei

Sektor Staat und Verwaltung
Branche Regierung u. Verwaltung
Ebene Landesrecht
Bundesland Hamburg
Rechtsakt Gesetzlich

  • Gesetz über die Datenverarbeitung der Polizei
    PolDVG

    §§ 3; 4; 6; 10; 11; 24; 30; 52; 54; 55; 56; 59-62; 69

     
    § 3 Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten

    Personenbezogene Daten

    1. müssen auf rechtmäßige Weise verarbeitet werden,

    2. müssen für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden,

    3. müssen dem Verarbeitungszweck entsprechen, für das Erreichen des Verarbeitungszwecks erforderlich sein und ihre Verarbeitung darf nicht außer Verhältnis zu diesem Zweck stehen,

    4. müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden,

    5. dürfen nicht länger, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht,

    6. müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet; hierzu gehört auch ein durch geeignete technische und organisatorische Maßnahmen zu gewährleistender Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

     

    § 4 Verarbeitung besonderer Kategorien personenbezogener Daten

    (1) Die Verarbeitung besonderer Kategorien personenbezogener Daten ist zulässig, wenn dies

    1. zur Erfüllung polizeilicher Aufgaben oder

    2. zu Zwecken der Eigensicherung,

    unbedingt erforderlich ist.

    (2) Werden besondere Kategorien personenbezogener Daten verarbeitet, sind geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorzusehen. Geeignete Garantien können insbesondere sein

    1. spezifische Anforderungen an die Datensicherheit oder die Datenschutzkontrolle,

    2. die Festlegung von besonderen Aussonderungsprüffristen,

    3. die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,

    4. die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle,

    5. die von anderen Daten getrennte Verarbeitung,

    6. die Pseudonymisierung personenbezogener Daten,

    7. die Verschlüsselung personenbezogener Daten oder

    8. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Rechtmäßigkeit der Verarbeitung sicherstellen.

     

    § 6 Datengeheimnis

    Denjenigen Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, solche Daten unbefugt zu verarbeiten. Dieses Verbot besteht auch nach Beendigung der Tätigkeit fort.

     

    § 10 Grundsätze der Datenverarbeitung

    (1) Die Polizei darf personenbezogene Daten nur verarbeiten, soweit dies durch dieses Gesetz zugelassen ist. Anderweitige besondere Rechtsvorschriften über die Datenverarbeitung bleiben unberührt.

    (2) Personenbezogene Daten sollen bei der betroffenen Person oder öffentlichen Stellen erhoben werden. Ohne deren Kenntnis dürfen sie bei anderen nichtöffentlichen Stellen erhoben werden, wenn die Erhebung bei den betroffenen Personen oder bei öffentlichen Stellen

    1. nicht oder nicht rechtzeitig möglich ist,

    2. nur mit unverhältnismäßig hohem Aufwand möglich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Person beeinträchtigt werden, oder

    3. die Erfüllung der Aufgaben gefährden würde.

    (3) Personenbezogene Daten sollen offen erhoben werden. Eine Datenerhebung, die nicht als polizeiliche Maßnahme erkennbar ist, ist zulässig, wenn durch anderes Handeln die Erfüllung einer bestimmten polizeilichen Aufgabe erheblich erschwert oder gefährdet würde und die Maßnahme nicht gezielt verdeckt wird. Eine Datenerhebung, die nicht als polizeiliche Maßnahme erkennbar sein soll (verdeckte Datenerhebung), ist außer in den in diesem Gesetz ausdrücklich zugelassenen Fällen nur zulässig, wenn die Erfüllung einer bestimmten polizeilichen Aufgabe bei anderem Handeln aussichtslos wäre oder wenn dies den überwiegenden Interessen der betroffenen Person entspricht.

    (4) Werden personenbezogene Daten bei der betroffenen Person oder bei Dritten erhoben, sind diese in geeigneter Weise hinzuweisen auf

    1. die Rechtsgrundlage der Datenerhebung,

    2. eine im Einzelfall bestehende Auskunftspflicht oder die Freiwilligkeit der Auskunft und

    3. die beabsichtigte Verwendung der Daten.

    Dieser Hinweis kann unterbleiben, wenn er wegen der besonderen Umstände offenkundig nicht erforderlich ist oder wenn hierdurch die Erfüllung der polizeilichen Aufgabe oder die schutzwürdigen Belange Dritter beeinträchtigt oder gefährdet würden.

     
    § 11 Voraussetzungen der Datenverarbeitung

    (1) Die Polizei darf personenbezogene Daten verarbeiten,

    1. soweit es im Einzelfall erforderlich ist zur Abwehr einer bevorstehenden Gefahr, zur Wahrnehmung grenzpolizeilicher Aufgaben oder in Erfüllung einer Verpflichtung zur Amts- oder Vollzugshilfe,

    2. wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können und dies zur Erfüllung ihrer Aufgaben erforderlich ist,

    3. wenn dies zur Vorbereitung und Durchführung eines Einsatzes erforderlich ist, bei dem erfahrungsgemäß eine besondere Gefährdungslage besteht,

    4. wenn tatsächliche Anhaltspunkte die Annahme rechtfertigen, dass die Person Opfer einer Straftat werden wird, und dies zur Wahrnehmung der Schutzaufgabe erforderlich ist,

    5. wenn die Person sich im räumlichen Umfeld einer Person aufhält, die auf Grund ihrer beruflichen Tätigkeit oder ihrer Stellung in der Öffentlichkeit besonders gefährdet erscheint, und dies zum Schutz der gefährdeten Person erforderlich ist,

    6. wenn tatsächliche Anhaltspunkte die Annahme rechtfertigen, dass die Person künftig Straftaten begehen wird, und die Erhebung zur vorbeugenden Bekämpfung von Straftaten mit erheblicher Bedeutung erforderlich ist,

    7. über Kontakt- oder Begleitpersonen, wenn dies zur vorbeugenden Bekämpfung von Straftaten mit erheblicher Bedeutung erforderlich ist.

    (2) Die Polizei darf personenbezogene Daten verarbeiten, wenn die Person in Kenntnis des Zwecks der Erhebung in diese nach § 5 eingewilligt hat.

     

    § 24 Telekommunikationsüberwachung an informationstechnischen Systemen

    (1) Zur Durchführung einer Maßnahme nach § 23 Absatz 1 darf durch den verdeckten Einsatz technischer Mittel in die vom Betroffenen genutzten informationstechnischen Systeme eingegriffen werden, wenn

    1. durch technische Maßnahmen sichergestellt ist, dass ausschließlich laufende Telekommunikation überwacht und aufgezeichnet wird, und

    2. der Eingriff in das informationstechnische System notwendig ist, um die Überwachung und Aufzeichnung von Telekommunikation insbesondere auch in unverschlüsselter Form zu ermöglichen.

    (2) Es ist technisch sicherzustellen, dass

    1. an dem informationstechnischen System nur Veränderungen vorgenommen werden, die für die Datenerhebung unerlässlich sind, und

    2. die vorgenommenen Veränderungen bei Beendigung der Maßnahme soweit technisch möglich automatisiert rückgängig gemacht werden.

    Das eingesetzte Mittel ist nach dem Stand der Technik gegen unbefugte Nutzung zu schützen.

    (3) Die Maßnahme darf sich nur gegen die für eine Gefahr Verantwortlichen richten. Sie darf auch durchgeführt werden, wenn andere Personen unvermeidbar betroffen werden.

     

    § 30 Elektronische Aufenthaltsüberwachung

    (1) Die Polizei darf eine Person verpflichten, ein technisches Mittel, mit dem der Aufenthaltsort dieser Person elektronisch überwacht werden kann, ständig in betriebsbereitem Zustand am Körper bei sich zu führen und dessen Funktionsfähigkeit nicht zu beeinträchtigen, wenn

    1. bestimmte Tatsachen, die ein wenigstens seiner Art nach konkretisiertes und zeitlich absehbares Geschehen erkennen lassen, die Annahme rechtfertigen, dass diese Person eine terroristische Straftat begehen wird, oder

    2. deren individuelles Verhalten eine konkrete Wahrscheinlichkeit dafür begründet, dass sie in überschaubarer Zukunft eine terroristische Straftat begehen wird,

    und die Datenerhebung und weitere Verarbeitung zur Verhütung dieser Straftaten erforderlich ist oder

    3. dies zur Abwehr einer Gefahr für Leib, Leben oder Freiheit einer Person erforderlich ist und die zu verpflichtende Person für die Gefahr verantwortlich ist.

    Die Anordnung kann insbesondere mit einer Maßnahme nach § 12b Absatz 2 SOG verbunden werden. Eine terroristische Straftat im Sinne des Satz 1 sind die in § 89c Absatz 1 des Strafgesetzbuchs bezeichneten Straftaten sowie §§ 89b, 89c, 129 und 310 des Strafgesetzbuchs im In- und Ausland, wenn diese Straftaten dazu bestimmt sind,

    1. die Bevölkerung auf erhebliche Weise einzuschüchtern,

    2. eine Behörde oder eine internationale Organisation rechtswidrig mit Gewalt oder durch Drohung mit Gewalt zu nötigen oder

    3. die politischen, verfassungsrechtlichen, wirtschaftlichen oder sozialen Grundstrukturen eines Staates oder einer internationalen Organisation zu beseitigen oder erheblich zu beeinträchtigen.

    (2) Die Polizei verarbeitet mit Hilfe der von der betroffenen Person mitgeführten technischen Mittel automatisiert Daten über deren Aufenthaltsort sowie über etwaige Beeinträchtigungen der Datenerhebung. Soweit es technisch möglich ist, ist sicherzustellen, dass innerhalb der Wohnung der betroffenen Person keine über den Umstand ihrer Anwesenheit hinausgehenden Aufenthaltsdaten erhoben werden. Soweit dies zur Erfüllung des Überwachungszweckes erforderlich ist, dürfen die Daten zu einem Bewegungsbild verbunden werden. Die Daten dürfen ohne Einwilligung der betroffenen Person nur verwendet werden, soweit dies erforderlich ist für die folgenden Zwecke:

    1. zur Verhütung oder zur Verfolgung von Straftaten im Sinne von Absatz 1 Satz 3,

    2. zur Feststellung von Verstößen gegen ein Aufenthaltsverbot nach § 12b Absatz 2 SOG,

    3. zur Abwehr einer Gefahr für Leib, Leben oder Freiheit einer Person oder

    4. zur Aufrechterhaltung der Funktionsfähigkeit der technischen Mittel.

    (3) Die Maßnahme nach Absatz 1 bedarf der richterlichen Anordnung. Zuständig ist das Amtsgericht Hamburg. Für das Verfahren findet Buch 1 des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend Anwendung. Von einer Anhörung der betroffenen Person durch das Gericht ist abzusehen, wenn die vorherige Anhörung oder die Bekanntgabe der Entscheidung den Zweck der Maßnahme gefährden würde. Die Erstellung eines Bewegungsbildes ist nur zulässig, wenn dies richterlich besonders gestattet wird.

    (4) Die Anordnung nach Absatz 3 ist auf höchstens drei Monate zu befristen. Sie ist aktenkundig zu machen. Aus der Anordnung müssen sich

    1. die Person, gegen die sich die Maßnahme richtet, mit Name und Anschrift,

    2. Art, Beginn und Ende der Maßnahme,

    3. Tatsachen, die den Einsatz der Maßnahme begründen,

    ergeben.

    Eine Verlängerung der Maßnahme um jeweils drei Monate ist zulässig, soweit die Voraussetzungen für die Maßnahme noch vorliegen.

    (5) Die über eine Maßnahme nach Absatz 1 erhobenen Daten sind spätestens zwei Monate nach Beendigung der Maßnahme zu löschen, soweit sie nicht für die in Absatz 2 genannten Zwecke erforderlich sind. Bei jedem Abruf der Daten sind der Zeitpunkt, die abgerufenen Daten und die bearbeitende Person zu dokumentieren. Die in der Dokumentation enthaltenen Daten dürfen ausschließlich zur Kontrolle der Zulässigkeit der Abrufe verwendet werden und sind nach zwölf Monaten zu löschen. Werden innerhalb der Wohnung der betroffenen Person über den Umstand ihrer Anwesenheit hinausgehende Aufenthaltsdaten erhoben, dürfen diese nicht verändert, genutzt oder übermittelt werden; sie sind unverzüglich zu löschen. Die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. Die in der Dokumentation enthaltenen Daten dürfen ausschließlich zur Datenschutzkontrolle verwendet werden. Die Dokumentation ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des zweiten Kalenderjahres, das dem Jahr der Dokumentation folgt.

    (6) Auf Ersuchen der Polizei übermitteln die zuständigen Polizeien des Bundes und der Länder sowie sonstige öffentliche Stellen dieser im Rahmen der geltenden Gesetze personenbezogene Daten über die betroffene Person, soweit dies zur Durchführung der Maßnahme nach den Absätzen 1 und 2 erforderlich ist. Die Polizei kann zu diesem Zwecke auch bei anderen Stellen personenbezogene Daten über die betroffene Person erheben.

     

    § 52 Auftragsverarbeitung

    (1) Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Die Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz sind in diesem Fall gegenüber dem Verantwortlichen geltend zu machen.

    (2) Ein Verantwortlicher darf nur solche Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und organisatorischen Maßnahmen sicherstellen, dass die Verarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.

    (3) Auftragsverarbeiter dürfen ohne vorherige schriftliche Genehmigung des Verantwortlichen keine weiteren Auftragsverarbeiter hinzuziehen.

    (4) Zieht ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter hinzu, so hat er diesem dieselben Verpflichtungen aus seinem Vertrag mit dem Verantwortlichen nach Absatz 5 aufzuerlegen, die auch für ihn gelten, soweit diese Pflichten für den weiteren Auftragsverarbeiter nicht schon auf Grund anderer Vorschriften verbindlich sind. Erfüllt ein weiterer Auftragsverarbeiter diese Verpflichtungen nicht, so haftet der ihn beauftragende Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des weiteren Auftragsverarbeiters.

    (5) Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen festlegt. Der Vertrag oder das andere Rechtsinstrument haben insbesondere vorzusehen, dass der Auftragsverarbeiter

    1. nur auf dokumentierte Weisung des Verantwortlichen handelt; ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, hat er den Verantwortlichen unverzüglich zu informieren,

    2. gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden, soweit sie keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen,

    3. den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten,

    4. alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen zurückgibt oder löscht und bestehende Kopien vernichtet, wenn nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der Daten besteht,

    5. dem Verantwortlichen alle erforderlichen Informationen, insbesondere die gemäß § 63 erstellten Protokolle, zum Nachweis der Einhaltung seiner Pflichten zur Verfügung stellt,

    6. Überprüfungen, die von dem Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt,

    7. die in den Absätzen 3 und 4 aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält,

    8. alle gemäß § 54 erforderlichen Maßnahmen ergreift und

    9. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den §§ 54 bis 58 und 60 bis 61 genannten Pflichten unterstützt.

    (6) Der Vertrag im Sinne des Absatzes 5 ist schriftlich oder elektronisch abzufassen.

    (7) Ein Auftragsverarbeiter, der die Zwecke und Mittel der Verarbeitung unter Verstoß gegen diese Vorschrift bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.

     

    § 54 Anforderungen an die Sicherheit der Datenverarbeitung

    (1) Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Die Höhe des Risikos soll anhand einer objektiven Beurteilung festgestellt werden, bei der die Eintrittswahrscheinlichkeit und Schwere der Verletzung nach der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung bestimmt werden.

    (2) Die in Absatz 1 genannten Maßnahmen können unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind. Die Maßnahmen nach Absatz 1 sollen dazu führen, dass

    1. die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden und

    2. die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.

    (3) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:

    1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),

    2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),

    3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),

    4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),

    5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),

    6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),

    7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),

    8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),

    9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),

    10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),

    11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),

    12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

    13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

    14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).

    Ein Zweck nach Satz 1 Nummern 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden.

     

    § 55 Verzeichnis von Verarbeitungstätigkeit

    (1) Der Verantwortliche hat ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die in seine Zuständigkeit fallen. Dieses Verzeichnis hat die folgenden Angaben zu enthalten:

    1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie die Kontaktdaten der oder des Datenschutzbeauftragten,

    2. die Zwecke der Verarbeitung,

    3. die Kategorien von Empfängern gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen,

    4. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,

    5. gegebenenfalls die Verwendung von Profiling,

    6. gegebenenfalls die Kategorien von Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation,

    7. Angaben über die Rechtsgrundlage der Verarbeitung,

    8. die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit der Speicherung der verschiedenen Kategorien personenbezogener Daten und

    9. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 54.

    (2) Der Auftragsverarbeiter hat ein Verzeichnis aller Kategorien von Verarbeitungen zu führen, die er im Auftrag eines Verantwortlichen durchführt, das Folgendes zu enthalten hat:

    1. den Namen und die Kontaktdaten des Auftragsverarbeiters, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls die Kontaktdaten der oder des Datenschutzbeauftragten,

    2. gegebenenfalls Übermittlungen von personenbezogenen Daten an Stellen in einem Drittstaat oder an eine internationale Organisation unter Angabe des Staates oder der Organisation und

    3. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 54.

    (3) Die in den Absätzen 1 und 2 genannten Verzeichnisse sind schriftlich oder elektronisch zu führen.

    (4) Verantwortliche und Auftragsverarbeiter haben auf Anforderung ihre Verzeichnisse der oder dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zur Verfügung zu stellen.

     

    § 56 Technikgestaltung und datenschutzfreundliche Voreinstellung

    (1) Der Verantwortliche hat sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der Verarbeitung selbst angemessene Vorkehrungen zu treffen, die geeignet sind, die Datenschutzgrundsätze wie etwa die Datensparsamkeit wirksam umzusetzen, und die sicherstellen, dass die gesetzlichen Anforderungen eingehalten und die Rechte der betroffenen Personen geschützt werden. Er hat hierbei den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen zu berücksichtigen. Insbesondere sind die Verarbeitung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu verarbeiten. Personenbezogene Daten sind zum frühestmöglichen Zeitpunkt zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verarbeitungszweck möglich ist.

    (2) Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellungen grundsätzlich nur solche personenbezogenen Daten verarbeitet werden können, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Dies betrifft die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die Maßnahmen müssen insbesondere gewährleisten, dass die Daten durch Voreinstellungen nicht automatisiert einer unbestimmten Anzahl von Personen zugänglich gemacht werden können.

     

    § 59 Berichtigung, Löschung und Einschränkung der Verarbeitung

    (1) Personenbezogene Daten sind unverzüglich zu berichtigen, wenn sie unrichtig sind. Insbesondere im Fall von Aussagen oder Beurteilungen betrifft die Frage der Richtigkeit nicht den Inhalt der Aussage oder der Beurteilung, sondern die Tatsache, dass die Aussage oder Beurteilung so erfolgt ist. Wenn die Richtigkeit oder Unrichtigkeit der Daten nicht festgestellt werden kann, tritt an die Stelle der Berichtigung eine Einschränkung der Verarbeitung. Sind Daten in nichtautomatisierten Dateien oder in Akten zu berichtigen, reicht es aus, in geeigneter Weise kenntlich zu machen, zu welchem Zeitpunkt und aus welchem Grund diese Daten unrichtig waren oder geworden sind.

    (2) In Dateisystemen suchfähig gespeicherte personenbezogene Daten sind zu löschen und die dazugehörigen, zu den Personen suchfähig angelegten Akten sind zu vernichten, wenn

    1. dies durch dieses Gesetz bestimmt ist,

    2. ihre Speicherung unzulässig ist oder

    3. bei der zu bestimmten Fristen oder Terminen vorzunehmenden Überprüfung oder aus Anlass einer Einzelfallbearbeitung festgestellt wird, dass ihre Kenntnis für die speichernde Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist.

    In Dateisystemen nicht suchfähig gespeicherte Daten sind unter den Voraussetzungen von Satz 1 Nummern 1 bis 3 zu löschen, soweit die Speicherung festgestellt wird. Andere als die in Satz 1 genannten Akten sind nach Ablauf der jeweiligen Aufbewahrungsfrist oder bei unzulässiger Speicherung aller in ihnen enthaltenen Daten zu vernichten.

    (3) Die Vernichtung von Akten ist bei Vorliegen der Voraussetzungen nach Absatz 2 Satz 1 Nummer 3 nur durchzuführen, wenn die gesamte Akte für die Aufgabenerfüllung nicht mehr erforderlich ist, es sei denn, dass der Betroffene die Vernichtung von Teilen der Akte verlangt und die weitere Speicherung ihn in unangemessener Weise beeinträchtigt. Soweit hiernach eine Vernichtung nicht in Betracht kommt, tritt an die Stelle der Vernichtung eine Einschränkung der Verarbeitung.

    (4) Anstatt die personenbezogenen Daten zu löschen oder zu vernichten, kann der Verantwortliche deren Verarbeitung einschränken, wenn

    1. Grund zu der Annahme besteht, dass dadurch schutzwürdige Interessen der betroffenen Person beeinträchtigt würden,

    2. die Daten, in einem Verfahren, das den Anlass der Erhebung oder weiteren Verarbeitung dieser Daten betrifft, zu Beweiszwecken weiter aufbewahrt werden müssen,

    3. die Nutzung der Daten für ein bestimmtes Forschungsvorhaben erforderlich ist,

    4. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist,

    5. die Daten für die Zwecke eines parlamentarischen Untersuchungsausschusses erforderlich sind.

    In ihrer Verarbeitung nach Satz 1 eingeschränkte Daten dürfen nur zu den in Satz 1 genannten Zwecken oder sonst mit Einwilligung des Betroffenen genutzt werden.

    (5) Bei automatisierten Dateisystemen ist technisch sicherzustellen, dass eine Einschränkung der Verarbeitung eindeutig erkennbar ist und eine Verarbeitung für andere Zwecke nicht ohne weitere Prüfung möglich ist.

    (6) Hat der Verantwortliche eine Berichtigung vorgenommen, hat er einer Stelle, die ihm die personenbezogenen Daten zuvor übermittelt hat, die Berichtigung mitzuteilen. Der Empfänger hat die Daten zu berichtigen, zu löschen oder ihre Verarbeitung einzuschränken. Stellt der Verantwortliche fest, dass unrichtige oder nach Absatz 2 Satz 1 Nummer 2 zu löschende Daten übermittelt worden sind, ist dem Empfänger die Berichtigung oder Löschung mitzuteilen, es sei denn, dass die Mitteilung für die Beurteilung der Person oder des Sachverhaltes nicht oder nicht mehr wesentlich ist.

    (7) Anstelle der Löschung und Vernichtung in den Fällen des Absatzes 2 Satz 1 Nummer 3 können die Datenträger an das zuständige staatliche Archiv abgegeben werden, soweit archivrechtliche Regelungen dies vorsehen.

     

    § 60 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit oder den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

    (1) Der Verantwortliche hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb 72 Stunden, nachdem sie ihm bekannt geworden ist, der oder dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zu melden, es sei denn, dass die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit oder den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit nicht innerhalb von 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. § 54 Absatz 1 Satz 2 gilt entsprechend.

    (2) Der Auftragsverarbeiter hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen zu melden.

    (3) Die Meldung nach Absatz 1 hat zumindest folgende Informationen zu enthalten:

    1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, die, soweit möglich, Angaben zu den Kategorien und der ungefähren Anzahl der betroffenen Personen, zu den betroffenen Kategorien personenbezogener Daten und zu der ungefähren Anzahl der betroffenen personenbezogenen Datensätze zu enthalten hat,

    2. den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten oder einer sonstigen Stelle für weitere Informationen,

    3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten und

    4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls der Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

    (4) Wenn die Informationen nach Absatz 3 nicht zusammen mit der Meldung übermittelt werden können, hat der Verantwortliche sie unverzüglich nachzureichen, sobald sie ihm vorliegen.

    (5) Der Verantwortliche hat Verletzungen des Schutzes personenbezogener Daten zu dokumentieren. Die Dokumentation hat alle mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu umfassen.

    (6) Soweit von einer Verletzung des Schutzes personenbezogener Daten personenbezogene Daten betroffen sind, die von einem oder an einen Verantwortlichen in einem anderen Mitgliedstaat der Europäischen Union übermittelt wurden, sind die in Absatz 3 genannten Informationen dem dortigen Verantwortlichen unverzüglich zu übermitteln.

    (7) Weitere Pflichten des Verantwortlichen zu Benachrichtigungen über Verletzungen des Schutzes personenbezogener Daten bleiben unberührt.

     

    § 61 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

    (1) Hat eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so hat der Verantwortliche die betroffenen Personen unverzüglich von der Verletzung zu benachrichtigen. § 54 Absatz 1 Satz 2 gilt entsprechend.

    (2) Die Benachrichtigung nach Absatz 1 hat in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und zumindest die in § 60 Absatz 3 Nummern 2 bis 4 genannten Informationen und Maßnahmen zu enthalten.

    (3) Die Benachrichtigung der betroffenen Person nach Absatz 1 ist nicht erforderlich, wenn

    1. der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen Daten angewandt wurden; dies gilt insbesondere für Vorkehrungen wie Verschlüsselungen, durch die die Daten für unbefugte Personen unzugänglich gemacht werden,

    2. der Verantwortliche durch im Anschluss an die Verletzung getroffene Maßnahmen sichergestellt hat, dass aller Wahrscheinlichkeit nach das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen im Sinne des Absatz 1 nicht mehr besteht, oder

    3. dies mit einem unverhältnismäßigen Aufwand verbunden wäre; in diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

    (4) Wenn der Verantwortliche die betroffenen Personen über eine Verletzung des Schutzes personenbezogener Daten nicht benachrichtigt hat, kann die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verlangen, dies nachzuholen oder verbindlich feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind. Hierbei hat sie oder er die Wahrscheinlichkeit zu berücksichtigen, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko im Sinne von Absatz 1 führt.

    (5) Die Benachrichtigung der betroffenen Personen nach Absatz 1 kann unter den in § 68 Absatz 2 genannten Voraussetzungen aufgeschoben, eingeschränkt oder unterlassen werden, soweit nicht die Interessen der betroffenen Person auf Grund des von der Verletzung ausgehenden hohen Risikos im Sinne von Absatz 1 überwiegen.

     

    § 62 Automatisierte Dateisysteme und Verfahren, Datenverbund

    (1) Die Einrichtung automatisierter Dateisysteme ist nur zulässig, wenn das öffentliche Interesse an der Einrichtung gegenüber möglichen Gefahren für schutzwürdige Belange der Betroffenen überwiegt. Durch die Automatisierung darf keine unangemessene Verkürzung oder Verzerrung des Sachverhalts entstehen. Durch geeignete technische und organisatorische Maßnahmen ist insbesondere sicherzustellen, dass der Abruf der Daten nur den Bediensteten möglich ist, die hierfür im Einzelfall zuständig sind. Neben den nach § 54 Absatz 3 zu treffenden Maßnahmen zur Datensicherung sind Maßnahmen zu treffen, die eine stichprobenweise Kontrolle der Zulässigkeit der Abrufe ermöglichen, soweit der damit verbundene Aufwand in einem angemessenen Verhältnis zur Schutzwürdigkeit der Daten steht.

    (2) Für die Einrichtung eines Verfahrens, das der Polizei den automatisierten Abruf personenbezogener Daten aus einem von einer anderen öffentlichen Stelle geführten Dateisystem ermöglicht, gelten die Vorgaben des § 53, soweit die Polizei und die andere öffentliche Stelle gemeinsam Verantwortliche im Sinne des § 53 Satz 1 sind.

    (3) Die zuständige Behörde darf zur Erfüllung von Aufgaben, die nicht nur örtliche Bedeutung haben, mit anderen Ländern und dem Bund einen Datenverbund vereinbaren, der eine automatisierte Datenübermittlung ermöglicht. In der Vereinbarung ist auch festzulegen, welcher Behörde die nach diesem Gesetz oder nach anderen Rechtsvorschriften bestehenden Pflichten einer speichernden Stelle obliegen. § 53 gilt entsprechend.

     

    § 69 Auskunftsrecht

    (1) Der betroffenen Person ist auf Antrag Auskunft darüber zu erteilen, ob sie betreffende Daten verarbeitet werden. Betroffene Personen haben darüber hinaus das Recht, Informationen zu erhalten über

    1. die personenbezogenen Daten, die Gegenstand der Verarbeitung sind und die Kategorie zu der sie gehören,

    2. die verfügbaren Informationen über die Herkunft der Daten sowie

    3. die in § 68 Absatz 1 Satz 1 genannten Angaben.

    (2) Absatz 1 gilt nicht für personenbezogene Daten, die nur deshalb verarbeitet werden, weil sie auf Grund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder die ausschließlich Zwecken der Datensicherung, der Datenschutzkontrolle oder der Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage dienen, wenn die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

    (3) Bei nicht automatisiert suchfähig verarbeiteten Daten kann von der Auskunftserteilung abgesehen werden, wenn die betroffene Person keine Angaben macht, die das Auffinden der Daten ermöglichen, und deshalb der für die Erteilung der Auskunft erforderliche Aufwand insoweit außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht. Statt einer Auskunft über personenbezogene Daten kann der betroffenen Person Akteneinsicht gewährt werden.

    (4) Der Verantwortliche kann unter den Voraussetzungen des § 68 Absatz 2 von der Auskunft nach Absatz 1 Satz 1 absehen oder die Auskunftserteilung nach Absatz 1 Satz 2 teilweise oder vollständig einschränken.

    (5) Bezieht sich die Auskunftserteilung auf die Herkunft von oder die Übermittlung personenbezogener Daten an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig.

    (6) Der Verantwortliche hat die betroffene Person über das Absehen von einer Auskunft oder die Einschränkung einer Auskunft unverzüglich schriftlich zu unterrichten. Dies gilt nicht, soweit bereits die Erteilung dieser Informationen eine Gefährdung im Sinne des § 68 Absatz 2 mit sich bringen würde. Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von oder der Einschränkung der Auskunft verfolgten Zweck gefährden würde.

    (7) Wird die betroffene Person nach Absatz 6 über das Absehen von einer Auskunft oder die Einschränkung der Auskunft unterrichtet, kann sie ihr Auskunftsrecht auch über die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit oder den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit ausüben. Der Verantwortliche hat die betroffene Person über diese Möglichkeit sowie darüber zu unterrichten, dass sie die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit oder den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit anrufen oder gerichtlichen Rechtsschutz suchen kann. Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat die betroffene Person darüber zu unterrichten, dass alle erforderlichen Prüfungen erfolgt sind oder eine Überprüfung durch sie oder ihn stattgefunden hat. Die Mitteilung der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser keiner weitergehenden Auskunft zustimmt. Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat zudem die betroffene Person über ihr Recht auf gerichtlichen Rechtsschutz zu unterrichten.

    (8) Der Verantwortliche hat die sachlichen oder rechtlichen Gründe für die Entscheidung zu dokumentieren.

  • Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
  • Albrecht/Schmid, K&R 2013, 529 (E-Government)
  • BT-Drs. 18/4096
  • BT-Drs. 18/5121
  • Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
  • Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
  • Clauß/Köpsell, IT-Sicherheit 1/2012, 44 (Datenschutztechnologien Verwaltung)
  • Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
  • Eikel/Kohlhause, IT-Sicherheit 3/2012, 64 (United Communications)
  • Fischer/Lemm, IT-Sicherheit 1/2012, 48 (Kommunales Cloud Computing)
  • Frische/Ramsauer, NVwZ 2013, 1505 (Das E-Government-Gesetz)
  • Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
  • Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
  • Geis, K&R 2002, 59 (Singnaturverordnung)
  • Glombik, VR 2016, 306 (Europäischer elektr. Datenaustausch)
  • Gola, K&R 2017, 145 (Interpretation der DSGVO)
  • Hoffmann/Schulz/Brackmann, ZD 2013, 122 (öffentliche Verwaltung und soziale Medien)
  • Johannes, MMR 2013, 694 (Elektronische Formulare, Verwaltungsverfahren)
  • Kahler, CR 2015, 153 (Outsourcing im öffentl. Sektor, Amtsgeheimnis)
  • Karg, DuD 2013, 702 (E-Akte, datenschutzrechtliche Anforderungen)
  • Klimburg, IT-Sicherheit 2/2012, 45 (Datenschutz, Sicherheitskonzept, Verwaltung in NRW)
  • Kramer, DSB 2015, Nr 04, 79 (Vorgaben für den behördlichen DSB)
  • König, LKV 2010, 293 (Verwaltungsreform in Thüringen, E-Government)
  • Laue, DSB 2011, Nr 9, 12 (§ 3a, Datenvermeidung und Datensparsamkeit)
  • Leisterer/Schneider, K&R 2015, 681 (staatliches Informationshandeln im Bereich der IT-Sicherheit)
  • Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
  • Mayer, IT-Sicherheit, 5/2012, 68 (Mobility, ByoD)
  • Oberthür/Hundt/Kroeger, RVaktuell 2017, 18 (E-Government-Gesetz)
  • Prell, NVwZ 2013, 1514 (E-Government)
  • Probst/Winters, CR 2015, 557 (eVergabe, elektr. Durchführung der Vergabe öffentl. Aufträge)
  • Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
  • Roßnagel, MMR 2015, 359 (eIDAS-VO, elektr. Signaturen für Vertrauensdienste)
  • Roßnagel, NJW 2013, 2710 ( E-Government-Gesetz)
  • Roßnagel, NJW 2014, 3686 (Sichere elektronische Transaktionen)
  • Schrotz/Zdanowiecki, CR 2015, 485 (Cloud Computing im öffentl. Sektor, Datenschutz u. IT-Sicherheit)
  • Schulte/ Schröder, Handbuch des Technikrechts, 2011
  • Schulz, CR 2009, 267-272 (Der neue „E-Personalausweis”)
  • Schulz, DuD 2015, 446 (Leitlinie für IT-Sicherheit in Kommunen)
  • Schulz, MMR 2010, 75 (Chancen und Risiken von Cloud Computing in der öffentlichen Verwaltung)
  • Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
  • Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
  • VGH Bayern, B. v. 01.12.2014 16a DZ 11.2411 (E-Mail-Kontrolle bei Beamten, Datensicherheit);
  • Weidemann, DVP 2013, 232-234 (DE-Mail, Verwaltungszustellungsgesetz)
  • Zaudig, IT-Sicherheit 4/2012, 64 (IT-Sicherheitsmanagement in der Kommunalbehörde)
  • Suche in Deutsch und Englisch

    Thema


    Ergebnis 41

    BSI TR 03138



    Ergebnis 42

    BSI TR 03138 Anlage A



    Ergebnis 43

    BSI TR 03138 Anlage P



    Ergebnis 44

    BSI TR 03138 Anlage R



    Ergebnis 45

    BSI TR 03138 Anlage V



    Ergebnis 46

    BSI TR 03146



    Ergebnis 47

    BSI TR 03147



    Ergebnis 48

    BSI TL 03305



    Ergebnis 49

    NIST FIPS 201-2:2013-09



    Ergebnis 50

    DIN SPEC 27099:2016-07