Letzte Änderung: 15.11.2024
Datenverarbeitungsanlagen, mit deren Unterstützung personenbezogene Daten verarbeitet oder gespeichert werden, sind so abzusichern, dass Unbefugte keinen Zugriff erhalten und diese nicht nutzen können. Die rechtliche Regelung der Zugangskontrolle fällt unter Art. 32 Abs. 1 lit b DSGVO, wonach die Vertraulichkeit der Daten sichergestellt werden muss.
Typische Beispiele für geeignete Maßnahmen sind z.B. die Absicherung von zentralen Drucker- und Kopiermaschinen, die unbeaufsichtigt in gesonderten Räumen oder Fluren aufgestellt sind, die Sperrung nicht benötigter Ports, ein Nutzungsverbot nicht vom Unternehmen getesteter und freigegebener Hard- und Software sowie die sichere Aufbewahrung von Datenträgern vor, während und nach einem Transport.
Zuständige Aufsichtsbehörde ist eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil
a) Der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist. In Deutschland sind das die Aufsichtsbehörden der einzelnen Bundesländer,
b) Diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat (Bundesland) dieser Aufsichtsbehörde hat oder haben kann oder
c) Eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde.
Werden personenbezogene Daten erhoben, verarbeitet, gespeichert oder genutzt, so hat dies ausschließlich auf Grund einer klaren, vorher benannten Verwendung - dem Zweck - zu geschehen. Dieser Zweck muss der betroffenen Person mitgeteilt werden (Informationspflicht). Sollen diese Daten für einen weiteren Zweck genutzt werden, ist eine erneute Einwilligung einzuholen und Information an die betroffene Person zu richten. Daten dürfen nur für den angegebenen Zweck verwendet werden und sind unmittelbar nach der Zweckerfüllung oder dem Wegfall des Geschäftszwecks wirksam und datenschutzkonform zu löschen/vernichten, spätestens hat dies mit Ablauf der gesetzlichen Aufbewahrungsfrist zu erfolgen.