{'de': 'Schutz-
Massnahmen'}
\xa0
\nZum Schutze der Personendaten müssen\xa0angemessene technische und organisatorische Massnahmen ergriffen werden. Solche Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
\n\xa0
\nZum Schutze der Personendaten müssen angemessene technische und organisatorische Massnahmen ergriffen werden. Ob die technischen und organisatorischen Massnahmen zur Gewährleistung der Datensicherheit dem Risiko angemessenen sind, beurteilt sich nach verschiedenen Kriterien und jeweils für den konkreten Einzelfall. Die Kriterien beurteilen sich dabei einerseits nach dem Schutzbedarf der Personendaten, andererseits dem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person.
\n\xa0
\nKriterien für den Schutzbedarf der Personendaten:
\n- \n
- Art der bearbeiteten Daten; \n
- Zweck, Art, Umfang und Umstände der Datenbearbeitung. \n
\xa0
\nKriterien für das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person:
\n- \n
- Ursachen eines Risikos; \n
- hauptsächliche Gefahren; \n
- ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; \n
- Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. \n
\xa0
\nSchliesslich werden auch folgende Kriterien berücksichtigt:
\n\xa0
\n- \n
- Stand der Technik; \n
- Implementierungskosten. \n
\xa0
\nDie technischen und organisatorischen Massnahmen müssen folgende Ziele erreichen:
\n\xa0
\n\xa0
\n1. Vertraulichkeit:
- \n
- \xa0 \xa0 Zugriffskontrolle: Der Zugriff der berechtigten Personen ist auf diejenigen Personendaten beschränkt, die sie zur Erfüllung ihrer Aufgabe benötigen.
- \xa0 \xa0 Zugangskontrolle: Der Zugang zu Räumlichkeiten und Anlagen, in denen Personendaten bearbeitet werden, wird unbefugten Personen verwehrt.
- \xa0 \xa0 Benutzerkontrolle: Die Benutzung von automatisierten Datenbearbeitungssystemen mittels Einrichtungen zur Datenübertragung durch unbefugte Personen wird verhindert. \n
\xa0
\n\xa0
\n2. Verfügbarkeit und Integrität:
- \n
- \xa0 \xa0 Datenträgerkontrolle: Das Lesen, Kopieren, Verändern, Verschieben oder Entfernen von Datenträgern wird unbefugten Personen verunmöglicht. \n
- \n
- \xa0 \xa0 Speicherkontrolle: Unbefugte Eingabe in den Datenspeicher sowie unbefugte Einsichtnahme, Veränderung oder Löschung gespeicherter Personendaten wird verhindert.
- \xa0 \xa0 Transportkontrolle: Bei der Bekanntgabe von Personendaten sowie beim Transport von Datenträgern wird verhindert, dass die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können.
- \xa0 \xa0 Wiederherstellung: Die Verfügbarkeit der Personendaten und der Zugang zu ihnen kann bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden.
- \xa0 \xa0 Es wird gewährleistet, dass alle Funktionen des Systems zur Verfügung stehen (Verfügbarkeit), auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte Personendaten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität).
- \xa0 \xa0 Systemsicherheit: Betriebssysteme und Anwendungssoftware sind stets auf dem neusten Sicherheitsstand zu halten und bekannte kritische Lücken sind zu schliessen. \n
\xa0
\n\xa0
\n3. Nachvollziehbarkeit:
\n\xa0
\n- \n
- \xa0 \xa0 Eingabekontrolle: In automatisierten Systemen kann überprüft werden, welche Personendaten zu welcher Zeit und von welcher Person eingegeben oder verändert wurden.
- \xa0 \xa0 Bekanntgabekontrolle: Es kann überprüft werden, wem Personendaten mit Hilfe von Einrichtungen zur Datenübertragung bekannt gegeben wurden.
- \xa0 \xa0 Erkennung: Verletzungen der Datensicherheit können rasch erkannt und Massnahmen zur Minderung oder Beseitigung der Folgen eingeleitet werden. \n
\xa0
\nWeitere Informationen:
\n\xa0
\n\n\xa0
\nBeispiele für technische Massnahmen:
\n\xa0
\n- \n
- Zwei-Faktoren-Authentifizierung \n
- Verschlüsselung \n
- Protokollierung \n
- Speicherdauer \n
\xa0
\nBeispiele für organisatorische Massnahmen:
\n\xa0
\n- \n
- Rechteabstufung \n
- Schulungen \n
- 4-Augen-Prinzip \n
\xa0
\n\xa0
'}