Sicherheitskonzept für die allgemeine Datenverarbeitung
Generell zu Beachtendes
Schulungen der Mitarbeiter
Tür- und Fenstersicherungen
Aktenführung und -aufbewahrung
Archiv und Aufbewahrungsfristen
Publikumsverkehr
Auskünfte und Datenübermittlung
Fortbildung und Ausbildung
Die Mitarbeiterinnen und Mitarbeiter sind über die bei ihrer Tätigkeit anzuwendenden datenschutzrechtlichen Vorschriften zu unterrichten und zu schulen.
Die Unterrichtung ist aktenkundig zu machen und zur Personalakte zu nehmen.
Nicht nur in der dunklen Jahreszeit!
Nicht besetzte Büro- und Arbeitsräume sowie die Archive sind abzuschließen.
Die Schlüssel sind abzuziehen und sicher zu verwahren.
Bei längerer Abwesenheit und Dienstende sind die Fenster zu schließen.
Akten und Vorgänge
Akten, in denen personenbezogene Daten verarbeitet werden, sind so aufzubewahren, dass eine Einsichtnahme durch unbefugte Dritte nicht möglich ist. Sie sind grundsätzlich in verschlossenen Schränken aufzubewahren.
Dies gilt auch für Vorgänge, die in der laufenden Bearbeitung sind (Clear-Desk-Anweisung).
Bei Akten, die einem besonders schutzwürdigen Interesse unterliegen, entscheidet der jeweilige Verantwortliche über die darüber hinaus erforderliche Form der Aufbewahrung.
Archivierung
Die Aufbewahrung von Akten im Archiv ist bereichsbezogen durchzuführen.
Akten, die einem besonders schutzwürdigen Interesse unterliegen (z.B. Personalakten) sind vor der Einsichtnahme durch unbefugte Dritte besonders zu sichern.
Einlass und Zugang
Es ist sicherzustellen, dass Kunden und Lieferanten bei ihrer Vorsprache in der jeweiligen Abteilung andere, als die ihre Angelegenheit betreffende personenbezogene Daten, nicht zur Kenntnis nehmen können. Dies gilt sowohl für Daten in Akten, als auch für automatisiert verarbeitete Daten.
Bildschirme sind so aufzustellen, dass sie für Dritte nicht einsehbar sind.
Auskunft, Auskünfte und Verpflichtungen
Bei einer Auskunftserteilung bzw. Datenübermittlung ist die Identität der bzw. des Ersuchenden zu prüfen und ggfs. zu dokumentieren.
Die Auskunftserteilung bzw. Übermittlung von personenbezogenen Daten hat grundsätzlich nur aufgrund einer schriftlichen Anfrage auf schriftlichem Wege zu erfolgen und auch nur aufgrund eines rechtlichen Anspruchs.
Cloudlösungen sind vorher mit diesem Konzept abzugleichen.
Sensible Dateien sind mit Kennwortschutz abzulegen.
Die dauerhafte Speicherung von Dateien als Muster oder Textbausteine ist nur zulässig, wenn sie anonymisiert werden.
Dienstliche Daten dürfen nicht auf privaten Rechnern und private Daten nicht auf dienstlichen Rechnern gespeichert werden.