BAYDSG - Bayerisches Datenschutzgesetz
BAYDSG - Bayerisches Datenschutzgesetz |
| Sektor | Informationstechnik und Telekommunikation |
|---|---|
| Branche | Informationstechnik |
| Ebene | Landesrecht |
| Bundesland | Bayern |
| Rechtsakt | Gesetzlich |
BayDSG
Art. 4-8; 11; 24-27; 29; 32
Art. 4
Rechtmäßigkeit der Verarbeitung
(zu Art. 6 Abs. 1 bis 3 DSGVO)
(1) Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist unbeschadet sonstiger Bestimmungen zulässig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist.
(2) 1Personenbezogene Daten, die nicht aus allgemein zugänglichen Quellen entnommen werden, sind bei der betroffenen Person mit ihrer Kenntnis zu erheben. 2Bei Dritten dürfen personenbezogene Daten erhoben werden, wenn
1. dies durch Rechtsvorschrift vorgesehen oder zwingend vorausgesetzt wird,
2. die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder im Einzelfall eine solche Erhebung erforderlich macht,
3. die Erhebung bei der betroffenen Person einen unverhältnismäßigen Aufwand erfordern würde oder keinen Erfolg verspricht oder
4. die Daten von einer anderen öffentlichen Stelle an die erhebende Stelle übermittelt werden dürfen.
3In den Fällen des Satzes 2 Nr. 2 und 3 dürfen keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der betroffenen Person beeinträchtigt werden. 4Werden Daten bei der betroffenen Person ohne ihre Kenntnis erhoben, gilt Satz 2 Nr. 1 und 2 entsprechend.
Art. 5 Übermittlung
(zu Art. 6 Abs. 2 bis 4 DSGVO)
(1) 1Eine Übermittlung personenbezogener Daten ist zulässig, wenn
1. sie zur Erfüllung einer der übermittelnden oder der empfangenden öffentlichen Stelle obliegenden Aufgabe erforderlich ist oder
2. der Empfänger eine nicht öffentliche Stelle ist, diese Stelle ein berechtigtes Interesse an ihrer Kenntnis glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat; dies gilt auch, soweit die Daten zu anderen Zwecken als denjenigen, zu denen sie erhoben wurden, übermittelt werden.
2Bei einer Übermittlung nach Satz 1 Nr. 2 darf der Empfänger die übermittelten Daten nur für den Zweck verarbeiten, zu dem sie ihm übermittelt wurden.
(2) Sind mit personenbezogenen Daten weitere personenbezogene Daten der betroffenen Person oder Dritter so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, ist die Übermittlung auch dieser Daten an öffentliche Stellen zulässig, soweit nicht schutzwürdige Interessen der betroffenen Person oder Dritter offensichtlich überwiegen.
(3) 1Wenn die Prüfung oder Wartung automatisierter Verfahren oder Datenverarbeitungsanlagen durch andere Stellen vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, gilt Art. 28 Abs. 1 bis 4, 9 und 10 DSGVO hierfür entsprechend. 2Kann der nach Art. 28 Abs. 3 DSGVO erforderliche Vertrag oder das andere Rechtsinstrument vor der Verarbeitung nicht schriftlich oder elektronisch abgefasst werden, muss dies unverzüglich nachgeholt werden.
(4) 1Werden personenbezogene Daten an eine andere öffentliche Stelle auf deren Ersuchen übermittelt, trägt diese die Verantwortung für die Zulässigkeit der Übermittlung. 2Die ersuchte Stelle übermittelt Daten nur, wenn das Ersuchen im Rahmen der Aufgaben des Empfängers liegt. 3Im Übrigen trägt sie die Verantwortung nur dann, wenn besonderer Anlass zur Prüfung der Zulässigkeit besteht.
Art. 6
Zweckbindung
(zu Art. 6 Abs. 3 und 4 DSGVO)
(1) Öffentliche Stellen, die personenbezogene Daten verarbeiten dürfen, dürfen diese auch zur Wahrnehmung von Aufsichts- oder Kontrollbefugnissen, zur Erstellung von Geschäftsstatistiken, zur Rechnungsprüfung, zur Durchführung eigener Organisationsuntersuchungen oder zur Prüfung oder Wartung automatisierter Verfahren der Datenverarbeitung und zur Gewährleistung der Netz- und Informationssicherheit sowie, soweit nicht offensichtlich überwiegende schutzwürdige Interessen der betroffenen Personen entgegenstehen, zu eigenen Ausbildungs- oder Prüfungszwecken verarbeiten.
(2) Eine Verarbeitung zu anderen Zwecken als zu denjenigen, zu denen die Daten erhoben wurden, ist unbeschadet der Bestimmungen der DSGVO zulässig, wenn
1. offensichtlich ist, dass die Verarbeitung im Interesse der betroffenen Person liegt, und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung hierzu verweigern würde,
2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die Daten verarbeitende Stelle sie veröffentlichen dürfte,
3. die Verarbeitung erforderlich ist
a) zur Abwehr erheblicher Nachteile für das Gemeinwohl oder von Gefahren für die öffentliche Sicherheit und Ordnung,
b) zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen,
c) zur Durchführung wissenschaftlicher oder historischer Forschung, das wissenschaftliche oder historische Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann,
d) zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person,
e) zur Überprüfung von Angaben der betroffenen Person, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
f) zum Vergleich von Angaben der betroffenen Person zur Erlangung von finanziellen Leistungen öffentlicher Stellen mit anderen derartigen Angaben oder
g) zur Sicherung des Steuer- und Zollaufkommens.
(3) Art. 9 DSGVO und die Art. 8 und 24 Abs. 3 bleiben unberührt.
(4) Personenbezogene Daten, die ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle verarbeitet werden, dürfen nicht zu anderen Zwecken verarbeitet werden
Art. 7
Besondere automatisierte Verfahren
(zu Art. 6 Abs. 3, Art. 26 DSGVO)
(1) 1Öffentliche Stellen dürfen automatisierte Verfahren, welche die Übermittlung personenbezogener Daten durch Abruf ermöglichen, nur einrichten, soweit
1. der Abruf aus Datenbeständen erfolgt, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen, oder
2. das Verfahren die Rechte und Freiheiten der betroffenen Personen und die Aufgaben der beteiligten Stellen angemessen berücksichtigt.
2 Für Abrufe nach Satz 1 Nr. 2
1. trägt der Empfänger die Verantwortung für die Zulässigkeit des einzelnen Abrufs,
2. hat die einrichtende Stelle zu gewährleisten, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann; sie prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht.
(2) 1Die Einrichtung automatisierter Verfahren, die mehreren öffentlichen Stellen die Verarbeitung personenbezogener Daten in einem Datenbestand ermöglichen sollen oder bei denen die beteiligten öffentlichen Stellen sich wechselseitig Zugriffe auf die gespeicherten personenbezogenen Daten ermöglichen sollen, ist zulässig, soweit dies unter Berücksichtigung der Rechte und Freiheiten der betroffenen Personen und der Aufgaben der beteiligten Stellen angemessen ist und durch technische und organisatorische Maßnahmen Risiken für die Rechte und Freiheiten der betroffenen Personen vermieden werden können. 2Verfahren nach Satz 1, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen beinhalten können, sind nur zulässig, wenn sie durch Gesetz oder auf Grund eines Gesetzes eingerichtet werden.
Art. 8
Verarbeitung besonderer Kategorien personenbezogener Daten
(zu Art. 9 DSGVO)
(1) 1Die Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO ist auch zulässig, soweit sie erforderlich ist
1. zur Wahrnehmung von Rechten und Pflichten, die aus dem Recht der sozialen Sicherheit und des Sozialschutzes folgen,
2. zur Wahrnehmung von Rechten und Pflichten der öffentlichen Stellen auf dem Gebiet des Dienst- und Arbeitsrechts,
3. zum Zweck der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit von beschäftigten Personen, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder auf Grund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs, wenn diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden,
4. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit und des Infektionsschutzes, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, oder
5. für die in Art. 6 Abs. 2 Nr. 3 Buchst. a bis c genannten Zwecke.
2Bei Verarbeitungen nach Satz 1 bleibt Art. 6 Abs. 1 unberührt.
(2) 1Bei der Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorzusehen. 2Diese Maßnahmen sind in dem Verzeichnis nach Art. 30 DSGVO darzustellen.
(3) Art. 26 Abs. 2 und Art. 27 Abs. 2 bleiben unberührt.
Art. 11
Datengeheimnis
(zu Art. 32 Abs. 4 DSGVO)
1Den bei öffentlichen Stellen beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis). 2Das Datengeheimnis besteht nach dem Ende ihrer Tätigkeit fort.
Art. 24
Videoüberwachung
(zu Art. 6 DSGVO)
(1) Die Verarbeitung personenbezogener Daten mit Hilfe von optisch-elektronischen Einrichtungen (Videoüberwachung) ist zulässig, wenn dies im Rahmen der Erfüllung öffentlicher Aufgaben oder in Ausübung des Hausrechts erforderlich ist,
1. um Leben, Gesundheit, Freiheit oder Eigentum von Personen, die sich im Bereich öffentlicher Einrichtungen, öffentlicher Verkehrsmittel, von Dienstgebäuden oder sonstigen baulichen Anlagen öffentlicher Stellen oder in deren unmittelbarer Nähe aufhalten, oder
2. um Kulturgüter, öffentliche Einrichtungen, öffentliche Verkehrsmittel, Dienstgebäude oder sonstige bauliche Anlagen öffentlicher Stellen sowie die dort oder in deren unmittelbarer Nähe befindlichen Sachen
zu schützen und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der betroffenen Personen beeinträchtigt werden.
(2) 1Die Videoüberwachung ist durch geeignete Maßnahmen erkennbar zu machen. 2Dabei ist der Verantwortliche anzugeben, soweit dieser nicht aus den Umständen hervorgeht.
(3) Die Daten dürfen für den Zweck verarbeitet werden, für den sie erhoben worden sind, für einen anderen Zweck nur, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung oder zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten erforderlich ist.
(4) Die nach Abs. 1 erhobenen und gespeicherten Daten sowie daraus gefertigte Unterlagen sind spätestens zwei Monate nach der Erhebung zu löschen, soweit sie nicht zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung, zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten oder zur Geltendmachung von Rechtsansprüchen benötigt werden.
(5) Öffentliche Stellen haben ihrem behördlichen Datenschutzbeauftragten unbeschadet des Art. 35 Abs. 2 DSGVO rechtzeitig vor dem Einsatz einer Videoüberwachung den Zweck, die räumliche Ausdehnung und die Dauer der Videoüberwachung, den betroffenen Personenkreis, die Maßnahmen nach Abs. 2 und die vorgesehenen Auswertungen mitzuteilen und ihm Gelegenheit zur Stellungnahme zu geben.
Art. 25
Verarbeitung zu Forschungszwecken
(zu Art. 89 DSGVO)
(1) Für Zwecke der wissenschaftlichen oder historischen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für diese Zwecke verarbeitet werden.
(2) 1Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. 2Bis dahin sind die Merkmale, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können, gesondert zu speichern. 3Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.
(3) Die wissenschaftliche oder historische Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn die betroffene Person eingewilligt hat oder dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist.
(4) Die Art. 15, 16, 18 und 21 DSGVO sind nicht anzuwenden, soweit die Inanspruchnahme dieser Rechte voraussichtlich die Verwirklichung der wissenschaftlichen oder historischen Forschungszwecke unmöglich macht oder ernsthaft beeinträchtigt und diese Beschränkung für die Erfüllung der Forschungszwecke notwendig ist.
Art. 26
Verarbeitung zu Archivzwecken
(zu Art. 89 DSGVO)
(1) Personenbezogene Daten dürfen zu im öffentlichen Interesse liegenden Archivzwecken verarbeitet werden, soweit geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorgesehen werden.
(2) 1Die Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO ist auch zulässig, soweit sie für im öffentlichen Interesse liegende Archivzwecke erforderlich ist. 2Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Rechte der betroffenen Person gemäß Art. 8 Abs. 2 vor.
(3) Ein Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht nicht, soweit das Archivgut nicht durch den Namen der Person erschlossen ist oder keine Angaben gemacht werden, die das Auffinden des betreffenden Archivguts ohne unverhältnismäßigen Aufwand ermöglichen.
(4) 1 Art. 16 DSGVO ist nicht anzuwenden. 2Die betroffene Person kann verlangen, dass dem Archivgut, das sich auf ihre Person bezieht, eine Gegendarstellung beigefügt wird, wenn sie die Richtigkeit der sie betreffenden Informationen glaubhaft bestreitet. 3Nach dem Tod der betroffenen Person kann die Beifügung einer Gegendarstellung von dem Ehegatten, dem Lebenspartner, den Kindern oder den Eltern verlangt werden, wenn sie ein berechtigtes Interesse daran glaubhaft machen können.
(5) Die Art. 18 Abs. 1 Buchst. a, b und d sowie Art. 20 und 21 DSGVO sind nicht anzuwenden, soweit diese Rechte voraussichtlich die Verwirklichung der im öffentlichen Interesse liegenden Archivzwecke unmöglich machen oder ernsthaft beeinträchtigen und diese Beschränkung für die Erfüllung der Archivzwecke notwendig ist.
(6) Soweit öffentliche Stellen verpflichtet sind, Unterlagen einem öffentlichen Archiv zur Übernahme anzubieten, ist eine Löschung erst zulässig, nachdem die Unterlagen dem öffentlichen Archiv angeboten worden und von diesem nicht als archivwürdig übernommen worden sind oder über die Übernahme nicht fristgerecht entschieden worden ist.
Art. 27
Staatliche und kommunale Auszeichnungen und Ehrungen
(1) Zur Vorbereitung und Durchführung staatlicher oder kommunaler Auszeichnungen oder Ehrungen dürfen personenbezogene Daten, einschließlich der Daten nach Art. 9 Abs. 1 DSGVO, auch ohne Kenntnis der betroffenen Person verarbeitet werden.
(2) Andere öffentliche Stellen dürfen die zur Vorbereitung und Durchführung staatlicher oder kommunaler Auszeichnungen und Ehrungen erforderlichen personenbezogenen Daten, einschließlich der Daten nach Art. 9 Abs. 1 DSGVO, an die dafür zuständigen Stellen übermitteln.
(3) 1Eine Verarbeitung der personenbezogenen Daten nach Abs. 1 für andere Zwecke ist nur mit Einwilligung der betroffenen Person zulässig. 2Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Rechte der betroffenen Person gemäß Art. 8 Abs. 2 vor.
(4) Soweit eine Verarbeitung ausschließlich für die in Abs. 1 genannten Zwecke erfolgt, sind die Art. 13 bis 16, 19 und 20 DSGVO nicht anzuwenden.
(5) 1Die nach Abs. 1 gespeicherten personenbezogenen Daten sind zu löschen, sobald sie für den dort genannten Zweck nicht mehr erforderlich sind. 2Eine Löschung von Name, Vorname, Geburtsdatum, Anschrift und Kommunikationsdaten kann unterbleiben.
(6) Abweichend von Art. 58 Abs. 2 DSGVO steht dem Landesbeauftragten bei der Überwachung der Anwendung von den Abs. 1 bis 5 nur das Beanstandungsrecht nach Art. 16 Abs. 4 zu.
Art. 29
Verarbeitung zu anderen Zwecken und besonderer Kategorien personenbezogener Daten, DNA-Untersuchungen
(1) 1Eine Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben wurden, ist zulässig, wenn es sich bei dem anderen Zweck um einen der in Art. 28 Abs. 1 genannten Zwecke handelt, der Verantwortliche befugt ist, Daten zu diesem Zweck zu verarbeiten, und die Verarbeitung zu diesem Zweck erforderlich und verhältnismäßig ist. 2Die Verarbeitung personenbezogener Daten zu einem anderen, in Art. 28 Abs. 1 nicht genannten Zweck ist zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist.
(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO ist nur zulässig, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist, die Voraussetzungen des Art. 9 Abs. 2 Buchst. c und e DSGVO vorliegen oder dies in einer Rechtsvorschrift vorgesehen ist.
(3) 1Zur Vermeidung von DNA-Trugspuren können Personen, die regelmäßig Aufgaben im Rahmen polizeilicher oder strafprozessualer Ermittlungen wahrnehmen und dabei möglicherweise mit Spurenmaterial in Kontakt geraten, mit deren schriftlicher Zustimmung Körperzellen entnommen und molekulargenetisch untersucht werden, um hieraus gewonnene DNA-Identifizierungsmuster zu verarbeiten und mit Spurenmaterial automatisiert abzugleichen. 2Die Entnahme der Körperzellen erfolgt mittels eines Mundschleimhautabstrichs oder eines hinsichtlich seiner Eingriffsintensität vergleichbaren Verfahrens. 3Vor Erteilung der Zustimmung ist die betroffene Person über den Zweck der Verarbeitung sowie das Verfahren der Erkennung von DNA-Trugspuren zu belehren und darüber aufzuklären, dass sie die Zustimmung verweigern sowie jederzeit widerrufen kann. 4Die Verwendung der entnommenen Körperzellen ist nur zur Feststellung des DNA-Identifizierungsmusters nach Satz 1, die Verarbeitung des DNA-Identifizierungsmusters nur zu den in Satz 1 genannten Zwecken zulässig.
(4) 1Die DNA-Identifizierungsmuster werden in einer hierfür eingerichteten polizeilichen Datei gespeichert. 2Eine Datenschutzfolgenabschätzung ist nicht erforderlich.
(5) 1Die DNA-Identifizierungsmuster sind zu pseudonymisieren. 2Abgleiche mit diesen sind zu protokollieren. 3Die Protokolldaten sind eigenständig zu speichern und dürfen nur zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung verwendet werden. 4Soweit die Protokolldaten hierfür nicht mehr benötigt werden, spätestens aber nach Ablauf des dritten Kalenderjahres, das dem Jahr der Protokollierung folgt, sind sie zu löschen.
(6) 1Die nach Abs. 3 gewonnenen Körperzellen sind zu vernichten und die erhobenen Daten zu löschen, wenn sie für die genannten Zwecke nicht mehr erforderlich sind. 2Die Vernichtung der Körperzellen und die Löschung der erhobenen Daten hat spätestens drei Jahre nach dem Zeitpunkt zu erfolgen, zu dem die betroffene Person letztmals mit Spurenmaterial in Kontakt treten konnte.
Art. 32
Anforderungen an die Sicherheit der Verarbeitung
(1) Art. 32 Abs. 3 und 4 DSGVO findet keine Anwendung.
(2) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche oder der Auftragsverarbeiter auf Grundlage einer Risikobewertung Maßnahmen zu ergreifen, die geeignet sind, um
1. Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle),
2. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle),
3. zu verhindern, dass
a) Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
b) personenbezogene Daten unbefugt eingegeben werden sowie gespeicherte personenbezogene Daten unbefugt gelesen, verändert oder gelöscht werden (Speicherkontrolle),
c) automatisierte Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle),
d) bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),
4. zu gewährleisten, dass
a) die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
b) überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
c) nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
d) eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung),
e) alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
f) gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
g) personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können (Auftragskontrolle).
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bartels/Backer, DuD 2016, 22 (Telemedien, IT-Sicherheit, TOV)
- Becker/Nikolaeva, CR 2012, 170 (IT-Sicherheit und Datenschutz bei Cloud-Anbietern, US Patriot Act, transnationaler Datenverkehr)
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung
- Brandenburg/Leuthner, ZD 2015, 111 (Mobile Payment)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Deusch/Eggendorfer, K&R 2015, 11 (Verschlüsselte Kommunikation in Unternehmen)
- Deutsch/Eggendorfer, K&R 2017, 93 (Fernmeldegeheimnis und Kommunikationstechnologien)
- Djeffal, MMR 2015, 716 (Telemediendiensteanbieter, Sicherungspflichten, IT-SiG)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Eckhardt, DuD 2015, 176 (IT-Sicherheitsund Datenschutzanforderungen an Cloud-Computing-Dienste)
- Foitzick/Plankemann, CCZ 2015, 180 (Cloud Computing)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Gerlach, CR 2015, 581 (Sicherheitsanforderrungen für Telemediendienste)
- Gliss, DSB 2010, 12 (Testdatenbanken)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Greveler/Reinermann, CCZ 2015, 274 (Informationssicherheit in KMU)
- Heidrich/Wegener, MMR 2015, 487 (Protokollierung von IT-Daten, Logging)
- Hellmich/Hufen, K&R 2015, 688 (Datenschutz bei Mobile Payment)
- Hornung: NJW 2015, 3334 (Neue Pflichten nach dem IT-SiG)
- Imping/Pohle, K&R 2012, 470 (Rechtliche Herausforderungen an BYOD)
- Inés, K&R 2017, 361 (Rechtsgrundlagen offenes WLAN)
- Iraschko-Luscher/Kiekenbeck, DuD 2012, 902 (IT-Sicherheit und Datenschutz bei Online-Zahlungsdiensten)
- Kremer, CR 2017, 367 (Neues BDSG)
- Krohm/Müller-Peltzer: ZD 2015, 409 (Identifizierung anonymer Internetnutzer, Kommunikationsfreiheit, Persönlichkeitsrechte)
- Leisterer, CR 2015, 665 (Pflichten zur Netzund Informationssicherheit, Datenverarbeitung zur Gefahrenabwehr)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Matthiessen/Strigl, IT-Sicherheit 3/2012, 24 (Sicherer Datenaustausch in Clouds)
- Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
- Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
- Müglich, CR 2009, 479 (Datenschutzrechtliche Anforderungen an die Vertragsgestaltung beim eShop-Hosting)
- Papendorf/Lepperhoff, DuD 2016, 107 (IT-Sicherheitsanforderungen gem. TMG)
- Rath/Kuss/Bach, K&R 2015, 437 (IT-SiG)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, NJW 2011, 1473 (De-Mail)
- Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
- Sachs/Meder, ZD 2013, 303 (Datenschutzrechtliche Anforderungen an App-Anbieter);
- Schallbruch, CR 2017, 648 (IT-Sicherheit)
- Schmidt, IT-Sicherheit 2/2012, 36 (Compliance in hybriden Clouds)
- Schneider, IT-Sicherheit 3/2012, 56 (Cloudsicherheit)
- Schneider, IT-Sicherheit, 2/2013, 23 (Auftragsdatenverarbeitung in der Cloud)
- Schürmann, DSB 2016, 32 (Anforderungen des IT-SiG im Bereich Web & App)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- Wicker, MMR 2014, 715 (Haftungsfragen der Cloud-Anbieter bei IT-Ausfällen und Datenschutzverletzungen)
- Wrede/Kirsch, ZD 2013, 433, (Identifizierungsmöglichkeiten bei De-Mail)
-
Ergebnis 81
DIN EN ISO/IEC 27043:2016-12
Deutsch: Informationstechnik - IT-Sicherheitsverfahren - Grundsätze und Prozesse für die Untersuchung von Vorfällen (ISO/IEC 27043:2015); Deutsche Fassung EN ISO/IEC 27043:2016
Englisch: Information technology - Security techniques - Incident investigation principles and processes (ISO/IEC 27043:2015); German version EN ISO/IEC 27043:2016
Ergebnis 82
DIN SPEC 27072:2019-05
Deutsch: Informationstechnik - IoT-fähige Geräte - Mindestanforderungen zur Informationssicherheit
Englisch: Information Technology - IoT capable devices - Minimum requirements for Information security
Ergebnis 83
ISO/IEC TR 27103:2018-02
Deutsch: Informationstechnik - Sicherheitsverfahren - Cybersecurity und ISO und IEC Standards
Englisch: Information technology - Security techniques - Cybersecurity and ISO and IEC Standards
Ergebnis 84
DIN SPEC 27557:2019-08
Status: Entwurf
Deutsch: European Cloud Service Data Protection Controls Catalogue
Englisch: European Cloud Service Data Protection Controls Catalogue
Ergebnis 85
ISO/IEC TS 29003:2018-03
Deutsch: Informationstechnik - Sicherheitsverfahren - Nachweisen von Identitäten
Englisch: Information technology - Security techniques - Identity proofing
Ergebnis 86
ISO/IEC 29100:2011-12
Deutsch: Informationstechnik - Sicherheitsverfahren - Rahmenwerk für Datenschutz
Englisch: Information technology - Security techniques - Privacy framework
Ergebnis 87
ISO/IEC 29101:2013-10
Deutsch: Informationstechnik - Sicherheitsverfahren - Rahmenwerk für Datenschutzarchitektur
Englisch: Information technology - Security techniques - Privacy architecture framework
Ergebnis 88
ISO/IEC 29115:2013-04
Deutsch: Informationstechnik - Sicherheitsverfahren - Rahmenwerk für Vertrauen in die Authentifizierung von Entitäten
Englisch: Information technology - Security techniques - Entity authentication assurance framework
Ergebnis 89
ISO/IEC 29128:2011-12
Deutsch: Informationstechnik - IT-Sicherheitsverfahren - Verifikation von kryptografischen Protokollen
Englisch: Information technology - Security techniques - Verification of cryptographic protocols
Ergebnis 90
ISO/IEC 29134:2017-06
Deutsch: Informationstechnik - Sicherheitsverfahren - Datenschutz-Folgenabschätzung - Leitfaden
Englisch: Information technology - Security techniques - Guidelines for privacy impact assessment