DATENSICHERHEITSMASSNAHMEN
§ 10. (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten, nach Umfang und Zweck der Verwendung und unter Bedachtnahme auf den Stand der technischen Möglichkeiten sowie auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Verwendung der Daten ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zur Kenntnis gelangen.Paragraph 10, (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten, nach Umfang und Zweck der Verwendung und unter Bedachtnahme auf den Stand der technischen Möglichkeiten sowie auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Verwendung der Daten ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zur Kenntnis gelangen.
(2)Absatz 2Insbesondere ist, soweit dies im Hinblick auf Abs. 1 zweiter Satz erforderlich ist,Insbesondere ist, soweit dies im Hinblick auf Absatz eins, zweiter Satz erforderlich ist,
die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festzulegen,
die Verwendung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden,
jeder Mitarbeiter über seine nach diesem Bundesgesetz und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten zu belehren,
die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters zu regeln,
die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte zu regeln,
die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festzulegen und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abzusichern,
zu prüfen, ob die erforderlichen Datensicherheitsmaßnahmen getroffen sind; zu diesem Zweck sind Aufzeichnungen zu führen, die es erlauben, die Verarbeitungsvorgänge nachzuvollziehen.
(3)Absatz 3Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung zu halten, daß sich die Bediensteten über die für sie geltenden Regelungen jederzeit informieren können.