§ 78a SGB X: Technische und organisatorische Maßnahmen - einschließlich der Anlage
| veröffentlicht am |
20.08.2019 |
|---|---|
| Änderung | Die GRA wurde redaktionell überarbeitet, inhaltlich in Abschnitt 3 ergänzt und mit dem Regionalträger abgestimmt. |
| Stand | 04.11.2015 |
|---|---|
| Erstellungsgrundlage | in der Fassung des Dritten Gesetzes zur Änderung des Vierten Buches Sozialgesetzbuch und anderer Gesetze vom 05.08.2010 in Kraft getreten am 11.08.2010 |
| Rechtsgrundlage | |
| Version | 001.00 |
- Inhalt der Regelung
- Allgemeines
- Technische und organisatorische Maßnahmen (Satz 1)
- Verhältnismäßigkeit (Satz 2)
- Datenschutzanforderungen für automatisierte Verarbeitung und Nutzung von Daten (Anlage Satz 1)
- 8-Punkte-Kontrollkatalog (Anlage Satz 2)
- Verschlüsselungsverfahren (Anlage Satz 3)
Inhalt der Regelung
§ 78a S. 1 SGB X verpflichtet die Sozialleistungsträger, die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um die gesetzlichen Anforderungen zum Datenschutz zu gewährleisten. Satz 2 stellt klar, dass die Maßnahmen im Verhältnis zum Schutzzweck stehen müssen. Konkretisiert werden die Anforderungen in der Anlage zu § 78a SGB X.
Ergänzende/korrespondierende Regelungen
§ 78a SGB X mit seiner Anlage entspricht im Wesentlichen § 9 BDSG.
Die allgemein gehaltene Forderung des § 35 SGB I zur Wahrung des Sozialgeheimnisses wird durch § 78a SGB X mit seiner Anlage konkretisiert.
§ 67 SGB X enthält Definitionen der Begriffe „Sozialdaten“, „Erheben“, „Verarbeiten“ und „Nutzen“ sowie der „verantwortlichen Stelle“.
§ 80 SGB X enthält Regelungen zur Datenverarbeitung im Auftrag.
Allgemeines
§ 78a SGB X leitet den Dritten Abschnitt des 2. Kapitels des SGB X ein.
Er konkretisiert die allgemein gehaltene Forderung des § 35 SGB I zur Wahrung des Sozialgeheimnisses, insbesondere durch die 8 Punkte der Anlage zu § 78a SGB X, die Vorgaben zu den zu treffenden technischen und organisatorischen Maßnahmen enthalten (Abschnitt 6).
Der Sozialdatenschutz soll damit auch innerhalb der verantwortlichen Stelle sichergestellt sein. Zugleich dienen diese Maßnahmen auch den Eigeninteressen der verantwortlichen Stellen - hier: die Träger der Rentenversicherung - zum Schutz ihrer Hard- und Software.
Die Anlage zu § 78a SGB X enthält eine Auflistung von Maßnahmen (8-Punkte-Kontrollkatalog), die insbesondere zu treffen sind, um den Datenschutz bei der automatisierten Verarbeitung und Nutzung von Sozialdaten zu gewährleisten. Die einzelnen Maßnahmen der Anlage zu § 78a SGB X werden in Abschnitt 6 erläutert.
Die zu treffenden Maßnahmen sind nach Satz 2 nur erforderlich, wenn sie im angemessenen Verhältnis zum Schutzzweck stehen (vergleiche Abschnitt 4).
Technische und organisatorische Maßnahmen (Satz 1)
§ 78a S. 1 SGB X verpflichtet die Rentenversicherungsträger, wenn sie Sozialdaten erheben, verarbeiten und nutzen (Definitionen enthält § 67 SGB X), die erforderlichen technischen (Abschnitt 3.1) und organisatorischen (Abschnitt 3.2) Maßnahmen sowie Dienstanweisungen zu treffen, um die Ausführung der Vorschriften zum Sozialdatenschutz (§ 35 SGB I in Verbindung mit dem 2. Kapitel des SGB X) zu gewährleisten.
Die nach Satz 1 erforderlichen Maßnahmen sind in gleicher Weise von den Stellen zu treffen, die im Auftrag der verantwortlichen Stelle Sozialdaten erheben, verarbeiten oder nutzen (Auftragnehmer). Zwar bleiben die Rentenversicherungsträger als Auftraggeber für die Einhaltung des Datenschutzes verantwortlich (§ 80 Abs. 1 SGB X); die erforderlichen technischen und organisatorischen Sicherungsmaßnahmen hat jedoch der Auftragnehmer zu treffen. Näheres kann der GRA zu § 80 SGB X entnommen werden.
Die Verpflichtung des § 78a SGB X, durch geeignete technische und organisatorische Maßnahmen die Schutzziele des Sozialdatenschutzes umzusetzen, gilt unabhängig davon, in welcher Art und Weise der Umgang mit den Sozialdaten erfolgt. Die Auswahl der geeigneten Maßnahmen muss sich dann daran orientieren, ob die Sozialdaten
- klassisch in Papierform, zum Beispiel in Akten, oder
- (teilweise) in automatisierter Form, zum Beispiel mittels Computern, Computerprogrammen, Datenbanken oder Informations- und Kommunikationstechnologien
verarbeitet oder übertragen werden. Unter Berücksichtigung des festzulegenden Schutzbedarfes/der Schutzbedürftigkeit der Sozialdaten hat die verantwortliche Stelle die Maßnahmen auszuwählen, die insbesondere die Vertraulichkeit, die Authentizität und die Integrität sowie die Verfügbarkeit der Sozialdaten in der Praxis gewährleisten.
Hinweis:
Feststellungen zur Schutzbedürftigkeit von Daten hat die Arbeitsgruppe „Geheimnis- und Datenschutz“ (AGGDS) in ihrer Sitzung 3/2014, TOP 4 getroffen.
Technische Maßnahmen
Hierunter fallen sehr weit gefasste und äußerst unterschiedliche Maßnahmen wie zum Beispiel
- technische Vorkehrungen zur Einbruchs- und Brandschutzsicherung,
- maschinelle Protokollierungen von Datenzugriffen,
- das Einrichten von Internetsperren beziehungsweise die Freischaltung bestimmter Internetseiten und
- der Einbau stets aktueller Firewalls, Virenscanner und Verschlüsselungstechnologien.
Zu Letzterem wird ergänzend auf Abschnitt 7 hingewiesen.
Organisatorische Maßnahmen
Diese Maßnahmen betreffen zum Beispiel
- Festlegungen der Aufbau- und Ablauforganisation der verantwortlichen Stelle,
- Festlegungen zu datenschutzrechtlichen Verantwortlichkeiten für bestimmte Aufgaben,
- bauliche Vorkehrungen,
- Personalauswahl,
- Vergabe von Zutritts-, Zugangs- und Zugriffsbeschränkungen,
- Festlegungen zu Löschungsfristen oder -zeitpunkten,
- Maßnahmen zur sicheren Aufbewahrung von Unterlagen (Archivierung) und deren Transportsicherheit,
- Festlegungen zu Trennungen von Organisationseinheiten, deren personenbezogene Datenbestände nicht vermischt werden dürfen.
Verhältnismäßigkeit (Satz 2)
Satz 2 stellt klar, dass nicht unbegrenzt alle zur Verfügung stehenden Maßnahmen eingesetzt werden müssen. Nicht erforderlich sind Maßnahmen, „wenn ihr Aufwand in keinem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht“.
Mit dieser Formulierung wird auch klargestellt, dass die Entscheidung über die Unangemessenheit einer möglichen Maßnahme die Ausnahme bleiben muss. Es ist in jedem Einzelfall der technische, organisatorische, personelle und finanzielle Aufwand einer Maßnahme mit dem Schutzzweck - regelmäßig die Wahrung der Persönlichkeitsrechte der Betroffenen - gegeneinander abzuwägen.
Die Prüfung und die Darlegungslast, was verhältnismäßig ist, obliegt der verantwortlichen Stelle (BT-Drucksache 12/5187, S. 41).
Datenschutzanforderungen für automatisierte Verarbeitung und Nutzung von Daten (Anlage Satz 1)
Satz 1 der Anlage zu § 78a SGB X wiederholt die Verpflichtung des § 78a S. 1 SGB X (Abschnitt 3), die Organisation so zu gestalten, dass sie den Anforderungen des Datenschutzes gerecht wird, nochmals ausdrücklich für die „automatisierte“ Verarbeitung und Nutzung von Sozialdaten.
8-Punkte-Kontrollkatalog (Anlage Satz 2)
Satz 2 der Anlage zu § 78a SGB X enthält einen Katalog von 8 Sicherungsmaßnahmen (8-Punkte-Kontrollkatalog).
Vom Gesetzeswortlaut gilt dieser 8-Punkte-Kontrollkatalog nur für die automatisierte Verarbeitung und Nutzung von Sozialdaten. Er bietet aber auch für alle anderen Formen der Erhebung, Verarbeitung und Nutzung von Sozialdaten (also zum Beispiel der Aktenbearbeitung in Papierform) konkrete Anhaltspunkte für die Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen.
Der 8-Punkte-Kontrollkatalog ist keine abschließende Auflistung geeigneter Maßnahmen, wie sich aus dem Wort „insbesondere“ ergibt. Andere, nur bestimmte oder auch über den 8-Punkte-Kontrollkatalog hinausgehende Maßnahmen können im Einzelfall und je nach Sensibilität der zu schützenden Daten erforderlich sein.
Welche Sicherungsmaßnahmen erforderlich und geeignet sind, ist von den konkreten Arbeitsabläufen oder automatisierten Verarbeitungsschritten abhängig. Bereits bei der Planung und Entwicklung oder bei der Beschaffung von Hard- und Software müssen von der verantwortlichen Stelle die Sicherheitsmaßnahmen festgelegt werden. Hierzu sind zunächst der Schutzbedarf/die Schutzbedürftigkeit der zu verarbeitenden Sozialdaten festzulegen und anschließend danach die datenschutzrechtlichen Anforderungen an das technische System zu formulieren (Datenschutz- und IT-Sicherheitskonzept).
Hinweis:
Feststellungen zur Schutzbedürftigkeit von Daten hat die Arbeitsgruppe „Geheimnis- und Datenschutz“ (AGGDS) in ihrer Sitzung 3/2014, TOP 4 getroffen.
Zutrittskontrolle (Nummer 1)
Zweck der Zutrittskontrolle nach Nummer 1 ist es, Unbefugten den Zutritt zu IT-Systemen, mit denen Sozialdaten verarbeitet werden, zu verwehren. Hierunter ist die physische (räumliche) Annäherung an IT-Systeme zu verstehen.
Beispiele:
- Sicherung von Gebäudeeingängen und/oder Büroräumen,
- Schließsysteme,
- Festlegen von Zutrittsbefugnissen,
- sichere Lage von Rechenzentren,
- Überwachungsanlagen, Wachdienst.
Zugangskontrolle (Nummer 2)
Die Zugangskontrolle der Nummer 2 soll gewährleisten, dass IT-Systeme nicht von Unbefugten genutzt werden können. Gemeint ist damit das unbefugte Eindringen in IT-Systeme und damit die Möglichkeit der unbefugten Kenntnisnahme, Änderung oder Löschung von Sozialdaten.
Beispiele:
- Benutzerkennungen und Passwörter,
- Chipkarten,
- besondere Absicherung bei Fern- und Fremdwartung,
- Installation von Firewalls,
- Begrenzung fehlerhafter Zugriffsversuche,
- Bildschirmverdunkelung mit Passwortschutz,
- Verschlüsselungen (Abschnitt 7).
Zugriffskontrolle (Nummer 3)
Die Zugriffskontrolle der Nummer 3 fordert ein Zugriffskonzept, also die Zuweisung von Berechtigungen. Damit ist zu erreichen, dass die zur Benutzung des IT-Systems Berechtigten nur auf die Daten zugreifen können, für die ihnen ein Zugriff eingeräumt wurde. Die Zugriffsberechtigungen haben sich an den tatsächlichen Erfordernissen für die jeweilige Aufgabenerledigung der einzelnen Beschäftigten auszurichten. Dies konkretisiert § 35 Abs. 1 S. 2 SGB I, nach dem auch innerhalb der Behörde sicherzustellen ist, dass die Sozialdaten nur Befugten zugänglich sein dürfen.
Sogenannte Allzugriffe (Pauschalermächtigung) scheiden damit regelmäßig aus. Das heißt, es ist nicht zulässig, pauschal allen Beschäftigten einen Zugriff auf alle Sozialdaten aller versicherten Personen einzuräumen.
Zugleich fordert Nummer 3, dass geeignete Maßnahmen zu treffen sind, damit die Sozialdaten bei der Verarbeitung und Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Beispiele:
- Festlegung und systemseitige Absicherung der Zugriffsberechtigung (Rechte- und Rollenkonzepte),
- Protokollierung der getätigten Zugriffe,
- Datenträgerverwaltung,
- Passwort, Benutzerkennungen,
- Kopierschutzmaßnahmen,
- Vernichten überzähliger Aus- und Fehldrucke,
- Verschlüsselungen (Abschnitt 7).
Weitergabekontrolle (Nummer 4)
Die Weitergabekontrolle der Nummer 4 fordert Schutz und Kontrollen bei der Datenübertragung und beim Transport von Datenträgern (zum Beispiel CDs, DVDs, USB-Sticks). In beiden Fällen muss gewährleistet werden, dass die Sozialdaten beim Transport (der Weitergabe) vor unbefugtem Lesen, Kopieren, Verändern oder Entfernen geschützt sind. Zusätzlich muss nach Nummer 4 überprüft und festgestellt werden können, an welche Stellen eine Übermittlung von Sozialdaten mittels Datenübertragung vorgesehen ist.
Beispiele:
- verschlossene Transportbehälter,
- Festlegen der Datenempfänger, Übergabeprotokolle,
- Einsatz elektronischer Signatur,
- Übertragung über Standleitung,
- geschlossene Benutzergruppen,
- Protokollierung der Übermittlungen,
- Verschlüsselungen (Abschnitt 7).
Eingabekontrolle (Nummer 5)
Anhand der Eingabekontrolle der Nummer 5 muss nachträglich überprüft und festgestellt werden können, ob und von wem Sozialdaten in IT-Systeme eingegeben, verändert oder entfernt wurden.
Beispiele:
Dies ist nur über eine detaillierte Protokollierung aller Aktivitäten möglich.
Auftragskontrolle (Nummer 6)
Nummer 6 betrifft die Datenverarbeitung im Auftrag und konkretisiert die in § 80 Abs. 1 S. 1 SGB X festgelegte Verantwortung des Auftraggebers zur Einhaltung der Vorschriften zum Datenschutz. Im Rahmen der Auftragskontrolle ist sicherzustellen, dass das Erheben, Verarbeiten und Nutzen von Sozialdaten durch den Auftragnehmer nur entsprechend den Weisungen des Auftraggebers geschieht.
Beispiele:
- sorgfältige Auswahl des Auftragnehmers,
- klar formulierte schriftliche Vereinbarungen,
- Vorabkontrollen und regelmäßige - auch unangemeldete - Kontrollen,
- Berechtigung zum Hinzuziehen von Subunternehmern vertraglich regeln; insbesondere für Wartung oder Fernwartung (§ 80 Abs. 2 S. 2 Nr. 6 SGB X).
Verfügbarkeitskontrolle (Nummer 7)
Durch die Verfügbarkeitskontrolle der Nummer 7 sollen Sozialdaten vor zufälliger Zerstörung oder Verlust geschützt werden. Gemeint sind hiermit Verlust oder Zerstörung insbesondere durch Stromausfall, Wasser- oder Feuerschäden.
Beispiele:
- regelmäßige Datensicherungen und -auslagerungen,
- gezielte bauliche Maßnahmen für Rechenzentren, Serverräume und Archive,
- Notfallmanagement,
- Brand-, Rauch- und Wassermelder,
- unterbrechungsfreie Stromversorgung oder Notstrom,
- Virenerkennungssoftware,
- Mitarbeiterschulungen.
Kontrolle der Zweckbindung (Nummer 8)
Mit Nummer 8 soll die Zweckbindung gespeicherter Sozialdaten gewährleistet werden. Sozialdaten, die zu unterschiedlichen Zwecken erhoben wurden, müssen auch getrennt verarbeitet werden können. Solche unterschiedliche Zwecke sind insbesondere gegeben, wenn Sondererhebungen zum Beispiel für Forschungszwecke (§ 67c Abs. 5 SGB X) durchgeführt, Daten von Leistungserbringern zu Abrechnungszwecken verarbeitet oder an einer Stelle unterschiedliche Aufgaben durchgeführt werden (zum Beispiel Durchführung der Datenverarbeitung für Regionalträger durch Rechenzentren der Deutschen Rentenversicherung).
Beispiele:
- Einsatz einer „mandantenfähigen“ Software („logisch“ getrennte Bestände),
- getrennte Bestandsführung und getrennte Verarbeitung („physisch“ getrennte Bestände),
- Ausgestaltung der Zugriffsberechtigungen für die Benutzer mit den unterschiedlichen Aufgabenstellungen (vergleiche Abschnitt 6.3),
- Protokollierung.
Verschlüsselungsverfahren (Anlage Satz 3)
Satz 3 der Anlage zu § 78a SGB X verweist explizit auf die Verwendung von Verschlüsselungsverfahren als geeignete Sicherheitsmaßnahme im Sinne von Satz 2 Nummern 2 bis 4 (Abschnitte 6.2 bis 6.4).
Die Verschlüsselungsverfahren sollen sich nach dem aktuellen Stand der Technik richten. Mit der Formulierung "dem Stand der Technik entsprechende" ist ein fortschrittliches Verfahren gemeint, das sich in der Praxis bewährt hat und einen hohen Sicherheitsstandard gewährleistet.
Verschlüsselungsverfahren kommen sowohl für Daten auf Datenträgern (Zugangs- und Zugriffskontrolle) als auch für Daten bei der Übertragung (Weitergabekontrolle) in Frage.
Beispiele:
- Datenträgerverschlüsselung (wie für USB-Sticks, Speicherkarten und Festplatten),
- Verschlüsselung der Datenübertragung (bei WLAN mittels WPA2 Verschlüsselung).
| Drittes Gesetz zur Änderung des Vierten Buches Sozialgesetzbuch und anderer Gesetze vom 05.08.2010 (BGBl. I S. 1127) |
Inkrafttreten: 11.08.2010 Quelle zum Entwurf: BT-Drucksache 17/2169 |
Die Anlage zu § 78a SGB X wurde um Satz 3 ergänzt, der konkret den Einsatz von dem Stand der Technik entsprechenden Verschlüsselungsverfahren als geeignete Maßnahmen für die Kontrollen des Satzes 2 Nummern 2 bis 4 benennt.
| Gesetz zur Änderung des BDSG und anderer Gesetze vom 18.05.2001 (BGBl. I S. 904) |
Inkrafttreten: 23.05.2001 Quelle zum Entwurf: BT-Drucksache 14/5822 |
Durch Anpassung an § 9 BDSG erfolgte eine Erweiterung in Satz 1 um die Erhebung und Nutzung von Sozialdaten sowie eine vollständige Überarbeitung der Anlage. Die bisherigen „10 Gebote“ wurden zu „8 Kontrollen“ zusammengefasst.
| 2. SGBÄndG vom 13.06.1994 (BGBl. I S. 1229) |
Inkrafttreten: 01.07.1994 Quellen zum Entwurf: BT-Drucksache 12/5187 und 12/7324 |
Durch Artikel 6 des 2. SGBÄndG wurde das 2. Kapitel des SGB X neu gefasst und § 78a SGB X eingefügt.