(1) 1Öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die nach den Absätzen 2 und 3 erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. 2Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. 3Die Art und Weise der Maßnahmen richtet sich nach dem jeweiligen Stand der Technik.
(2) Werden personenbezogene Daten automatisiert erhoben, verarbeitet oder genutzt, sind Maßnahmen zu treffen, die je nach Art der zu schützenden Daten geeignet sind, zu gewährleisten, dass
| 1. |
diese nur Befugte zur Kenntnis nehmen können (Vertraulichkeit), |
| 2. |
diese während der Erhebung, Verarbeitung oder Nutzung unversehrt, vollständig und aktuell bleiben (Integrität), |
| 3. |
diese zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet oder genutzt werden können (Verfügbarkeit), |
| 4. |
diese ihrem Ursprung zugeordnet werden können (Authentizität), |
| 5. |
festgestellt werden kann, wer wann welche Daten in welcher Weise erhoben, verarbeitet oder genutzt hat (Revisionsfähigkeit), |
| 6. |
die Verfahren zur Erhebung, Verarbeitung oder Nutzung nachvollziehbar und aktuell dokumentiert sind (Transparenz). |
(3) Werden personenbezogene Daten nicht automatisiert erhoben, verarbeitet oder genutzt, sind Maßnahmen zu treffen, um insbesondere den Zugriff Unbefugter bei der Bearbeitung, der Aufbewahrung, dem Transport oder der Vernichtung zu verhindern.
Dieser Inhalt ist unter anderem im VerwalterPraxis Professional enthalten. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen