Datensicherheitsmaßnahmen
§ 4. (1) Die in § 2 genannten Auftraggeber oder Dienstleister haben für die Organisationseinheiten ihres örtlichen und sachlichen Zuständigkeitsbereiches, die Daten verwenden, Datensicherheitsmaßnahmen derart anzuordnen, den jeweiligen technischen und organisatorischen Änderungen umgehend anzupassen und zu dokumentieren, daß für die verwendeten Daten die nach ihrer Art angemessene Schutzwirkung erreicht wird. Liegen Daten mit unterschiedlicher Schutzwürdigkeit vor, so dürfen Daten mit geringerer Schutzwürdigkeit mit Daten höherer Schutzwürdigkeit gleichbehandelt werden.Paragraph 4, (1) Die in Paragraph 2, genannten Auftraggeber oder Dienstleister haben für die Organisationseinheiten ihres örtlichen und sachlichen Zuständigkeitsbereiches, die Daten verwenden, Datensicherheitsmaßnahmen derart anzuordnen, den jeweiligen technischen und organisatorischen Änderungen umgehend anzupassen und zu dokumentieren, daß für die verwendeten Daten die nach ihrer Art angemessene Schutzwirkung erreicht wird. Liegen Daten mit unterschiedlicher Schutzwürdigkeit vor, so dürfen Daten mit geringerer Schutzwürdigkeit mit Daten höherer Schutzwürdigkeit gleichbehandelt werden.
(2)Absatz 2Der Auftraggeber oder Dienstleister hat jene Organisationseinheit zu bestimmen, die die Zutrittsberechtigungen zu den Räumlichkeiten, in denen die Datenverarbeitung stattfindet, vergibt, ändert, kontrolliert und entzieht. Er hat durch die geeigneten organisatorischen, personellen, technischen und baulichen Maßnahmen die Inbetriebnahme von Einrichtungen für die Verarbeitung, insbesondere von Dateneingabe- und Abfragegeräten durch nichtberechtigte Personen zu verhindern.
(3)Absatz 3Der Leiter der Organisationseinheit, die Daten verwendet, legt unter Bedachtnahme auf die Art der Daten fest, welche Bediensteten die jeweiligen Daten verwenden dürfen.
(4)Absatz 4Das Bundesministerium für Inneres hat jene Organisationseinheit zu bestimmen, die die Zugriffsberechtigungen vergibt, ändert, kontrolliert und entzieht. Dabei ist darauf Bedacht zu nehmen, daß sowohl die Organisationseinheit als auch der einzelne Zugriffsberechtigte unterscheidbar sind. Der Zugriff auf das Betriebssystem ist darüber hinaus durch geeignete Maßnahmen zu sichern.
(5)Absatz 5Die für die Verarbeitung notwendigen Daten und Programme einschließlich der dazugehörigen Dokumentation sind auch außerhalb der Verarbeitungsstätte gesichert aufzubewahren.
(6)Absatz 6Die Vernichtung unbrauchbarer oder nicht mehr benötigter Ausdrucke und sonstiger Datenträger ist vom Auftraggeber oder Dienstleister durch entsprechende personelle oder vertragliche Maßnahmen sicherzustellen.
(7)Absatz 7Jeder Bedienstete, dem in Ausübung seines Dienstes Daten anvertraut werden oder zugänglich sind, ist über seine Pflichten nach dem Datenschutzgesetz, der Datenschutzverordnung und den innerorganisatorischen Datenschutzvorschriften, insbesondere über die von ihm einzuhaltenden Datensicherheitsvorschriften, nachweislich zu belehren und von deren Änderungen umgehend und nachweislich in Kenntnis zu setzen.