Verordnung
über den Datenschutz
(Datenschutzverordnung, DSV)

¹ Um die Ver­trau­lich­keit zu ge­währ­leis­ten, müs­sen der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter ge­eig­ne­te Mass­nah­men tref­fen, da­mit:

a.

be­rech­tig­te Per­so­nen nur auf die­je­ni­gen Per­so­nen­da­ten Zu­griff ha­ben, die sie zur Er­fül­lung ih­rer Auf­ga­ben be­nö­ti­gen (Zu­griffs­kon­trol­le);

b.

nur be­rech­tig­te Per­so­nen Zu­gang zu den Räum­lich­kei­ten und An­la­gen ha­ben, in de­nen Per­so­nen­da­ten be­ar­bei­tet wer­den (Zu­gangs­kon­trol­le);

c.

un­be­fug­te Per­so­nen au­to­ma­ti­sier­te Da­ten­be­ar­bei­tungs­sys­te­me nicht mit­tels Ein­rich­tun­gen zur Da­ten­über­tra­gung be­nut­zen kön­nen (Be­nut­zer­kon­trol­le).

² Um die Ver­füg­bar­keit und In­te­gri­tät zu ge­währ­leis­ten, müs­sen der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter ge­eig­ne­te Mass­nah­men tref­fen, da­mit:

a.

un­be­fug­te Per­so­nen Da­ten­trä­ger nicht le­sen, ko­pie­ren, ver­än­dern, ver­schie­ben, lö­schen oder ver­nich­ten kön­nen (Da­ten­trä­ger­kon­trol­le);

b.

un­be­fug­te Per­so­nen Per­so­nen­da­ten im Spei­cher nicht spei­chern, le­sen, än­dern, lö­schen oder ver­nich­ten kön­nen (Spei­cher­kon­trol­le);

c.

un­be­fug­te Per­so­nen bei der Be­kannt­ga­be von Per­so­nen­da­ten oder beim Trans­port von Da­ten­trä­gern Per­so­nen­da­ten nicht le­sen, ko­pie­ren, ver­än­dern, lö­schen oder ver­nich­ten kön­nen (Trans­port­kon­trol­le);

d.

die Ver­füg­bar­keit der Per­so­nen­da­ten und der Zu­gang zu ih­nen bei ei­nem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wie­der­her­ge­stellt wer­den kön­nen (Wie­der­her­stel­lung);

e.

al­le Funk­tio­nen des au­to­ma­ti­sier­ten Da­ten­be­ar­bei­tungs­sys­tems zur Ver­fü­gung ste­hen (Ver­füg­bar­keit), Fehl­funk­tio­nen ge­mel­det wer­den (Zu­ver­läs­sig­keit) und ge­spei­cher­te Per­so­nen­da­ten nicht durch Fehl­funk­tio­nen des Sys­tems be­schä­digt wer­den kön­nen (Da­ten­in­te­gri­tät);

f.

Be­triebs­sys­te­me und An­wen­dungs­soft­wa­re stets auf dem neus­ten Si­cher­heits­stand ge­hal­ten und be­kann­te kri­ti­sche Lücken ge­schlos­sen wer­den (Sys­tem­si­cher­heit).

³ Um die Nach­voll­zieh­bar­keit zu ge­währ­leis­ten, müs­sen der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter ge­eig­ne­te Mass­nah­men tref­fen, da­mit:

a.

über­prüft wer­den kann, wel­che Per­so­nen­da­ten zu wel­cher Zeit und von wel­cher Per­son im au­to­ma­ti­sier­ten Da­ten­be­ar­bei­tungs­sys­tem ein­ge­ge­ben oder ver­än­dert wer­den (Ein­ga­be­kon­trol­le);

b.

über­prüft wer­den kann, wem Per­so­nen­da­ten mit Hil­fe von Ein­rich­tun­gen zur Da­ten­über­tra­gung be­kannt­ge­ge­ben wer­den (Be­kannt­ga­be­kon­trol­le);

c.

Ver­let­zun­gen der Da­ten­si­cher­heit rasch er­kannt (Er­ken­nung) und Mass­nah­men zur Min­de­rung oder Be­sei­ti­gung der Fol­gen er­grif­fen wer­den kön­nen (Be­sei­ti­gung).