Datensicherheitsmaßnahmen
§ 5. (1) Die in § 2 genannten Auftraggeber oder Dienstleister haben für die Organisationseinheiten ihres örtlichen und sachlichen Zuständigkeitsbereiches, die Daten verwenden, Datensicherheitsmaßnahmen schriftlich anzuordnen, den jeweiligen technischen und organisatorischen Änderungen umgehend anzupassen und zu dokumentieren.Paragraph 5, (1) Die in Paragraph 2, genannten Auftraggeber oder Dienstleister haben für die Organisationseinheiten ihres örtlichen und sachlichen Zuständigkeitsbereiches, die Daten verwenden, Datensicherheitsmaßnahmen schriftlich anzuordnen, den jeweiligen technischen und organisatorischen Änderungen umgehend anzupassen und zu dokumentieren.
(2)Absatz 2Der Auftraggeber oder Dienstleister hat für die zu verwendenden Datenarten entsprechend dem Grad der Schutzwürdigkeit Sensibilitätsklassen festzulegen. Die Sicherheitsmaßnahmen sind adäquat nach dem Grad der Schutzwürdigkeit zu treffen.
(3)Absatz 3Der Auftraggeber oder Dienstleister hat jene Organisationseinheit zu bestimmen, die die Zutrittsberechtigungen zu den Datenverarbeitungsräumlichkeiten festlegt.
(4)Absatz 4Der Auftraggeber oder Dienstleister hat jene Organisationseinheit zu bestimmen, die die Art der Festlegung der Zugriffsberechtigungen mittels geschützter Benutzeridentifikationen und deren Verwaltung regelt. Hiebei ist eine Identifikation jedes Zugriffsberechtigten zu gewährleisten. Der Zugriff auf das Betriebssystem einschließlich System- und Netzwerksoftware ist darüber hinaus durch geeignete Maßnahmen zu sichern.
(5)Absatz 5Der Auftraggeber oder Dienstleister hat jene Organisationseinheit zu bestimmen, die die für die Verarbeitung notwendigen Daten und Programme einschließlich der einschlägigen Dokumentation außerhalb der Verarbeitungsstätte gesichert aufzubewahren hat.
(6)Absatz 6Die Vernichtung unbrauchbarer oder nicht mehr benötigter Ausdrucke und sonstiger Datenträger ist vom Auftraggeber oder Dienstleister durch entsprechende personelle oder vertragliche Maßnahmen sicherzustellen.
(7)Absatz 7Jeder Bedienstete, dem in Ausübung seines Dienstes Daten anvertraut oder zugänglich sind, ist jedenfalls über seine Pflichten nach dem Datenschutzgesetz, dieser Verordnung und den innerorganisatorischen Datenschutzvorschriften, insbesondere über die von ihm einzuhaltenden Datensicherheitsvorschriften sowie über die Rechtsfolgen allfälliger Rechtsverletzungen nachweislich zu belehren und von deren Änderungen umgehend und nachweislich in Kenntnis zu setzen. In anderen Rechtsvorschriften auferlegte Verschwiegenheitsgebote bleiben hievon unberührt.