Verfahrensverzeichnis nach § 4g BDSG (Bundesdatenschutzgesetz

Musterfirma
Musterstraße 123
09876 Musterort
© Ralf Bergmeir
Verfahrensverzeichnis nach § 4g BDSG (Bundesdatenschutzgesetz)
zum Verfahrensregister
bei dem/der betrieblichen Beauftragten für den Datenschutz
Anlage Nr.:
23
(für jedes Verfahren automatisierter Verarbeitung ist eine separate Anlage zum Hauptblatt auszufüllen)
Zu den Ziffern [5] - [17] beachten Sie bitte die Ausfüllhinweise.
Sollte der vorhandene Platz nicht ausreichen, fügen Sie bitte ein gesondertes Blatt mit den Angaben bei.
[5]
Firmenname
4.
Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung
Daten werden zentral auf Servern, lokal auf PC´s und Notebook´s abgelegt
Für spezielle Eingaben
pro Verfahren.
Abschnitt wird über das
gemeinsame Eingabeblatt
Adresse wird vom
Hauptblatt übernommen.
Verantwortliche Stelle
Musterfirma
Musterstraße 123
09876 Musterort
Personalwesen, Mitarbeiterverwaltung, Kundenverwaltung, Finanzbuchhaltung,
Controlling, Marketing, Vertrieb, Außendienstmitarbeiter
Speicherung und Transport personenbezogener Daten
auf mobilen Speichermedien (USB-Speicherstifte / USB-Sticks)
10_Verfahrensverzeichnis_2010-08-31.xls
USB-Sticks und Datentransport
Seite 1 von 9
Betroffene Personengruppen und Daten oder Datenkategorien
5.1 Beschreibung der betroffenen
Personengruppen [7]
5.2 Beschreibung der diesbezüglichen
Daten oder Datenkategorien [8]
Mitarbeiter, Bewerber, Praktikanten
Es werden nur personenbezogene Daten
zur Sicherstellung des entsprechenden
Bearbeitungsvorganges verarbeitet.
Kunden, Lieferanten, Handwerker,
Dienstleister, Behörden
sowie deren Ansprechpartner
Interessenten
Für spezielle Eingaben
pro Verfahren.
Abschnitt wird über das gemeinsame
Eingabeblatt ausgefüllt.
5.
Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden
können; bei Datentransfers in Drittstaaten siehe Nr. 8 [9]
Kunden, Interessenten, Lieferanten, Behörden, Mitarbeiter
Für spezielle Eingaben
pro Verfahren.
Abschnitt wird über das gemeinsame Eingabeblatt ausgefüllt.
6.
10_Verfahrensverzeichnis_2010-08-31.xls
USB-Sticks und Datentransport
Seite 2 von 9
Regelfristen für die Löschung der Daten
Zeitraum
Datenart oder Datenkategorie
Abschnitt wird über das gemeinsame
Eingabeblatt ausgefüllt.
7.
10 Jahre
Jahresabschlüsse, Eröffnungsbilanzen, Handels- und
Geschäftsbücher, Aufzeichnungen, Arbeitsanweisungen,
Organisationsunterlagen, Rechnungen und Buchungsbeleg
(HGB, AO, EStG, KStG, GewStG, UStG, AktG, GmbHG, GenG)
6 Jahre
Handels- und Geschäftsbriefe sowie für sonstige Unterlagen
(HGB, BGB)
4 Jahre
Überprüfung gemäß § 35 Abs. 2 Nr. 4 BDSG
8.
Geplante Datenübermittlung in Drittstaaten
8.1. Name des
[11] [12]
8.2. Kategorien von Empfängern 8.3. Art der Daten oder
Kategorien von Empfängern
Datenkategorie
nicht vorgesehen
nicht vorgesehen
nicht vorgesehen
Für spezielle Eingaben
pro Verfahren.
Abschnitt wird über das gemeinsame
Eingabeblatt ausgefüllt.
Drittstaates
10_Verfahrensverzeichnis_2010-08-31.xls
USB-Sticks und Datentransport
Seite 3 von 9
Interner Teil für den/die Beauftragte/n für den Datenschutz(nach § 4g Abs. 2 BDSG)
Für spezielle Eingaben
pro Verfahren.
Abschnitt wird über das gemeinsame
Eingabeblatt ausgefüllt.
9. Angaben zur Beurteilung der Angemessenheit getroffener Sicherheitsmaßnahmen
9.1. Art der eingesetzten DV-Anlagen und Software [14]
Server mit RAID-System, Streamer, USV, Windows 2003, Windows 2008
Client mit Windows XP, Windows 7 und Citrix;
VM-Ware ist zur Virtualisierung von diversen Servern im Einsatz;
USB-Sticks mit Passwortabfrage, Fingerprint-Scanner, Verschlüsselung,
Diebstahlschutz (USB-Sticks befestigt über spezielle Ketten)
10_Verfahrensverzeichnis_2010-08-31.xls
USB-Sticks und Datentransport
Seite 4 von 9
9.2. Maßnahmen nach § 9 BDSG i. V. m. der Anlage dazu [15]
Für spezielle Eingaben
pro Verfahren.
Abschnitt wird über das gemeinsame
Eingabeblatt ausgefüllt.
x
Für spezielle Eingaben
pro Verfahren.
Abschnitt wird über das gemeinsame
Eingabeblatt ausgefüllt.
x
Zutrittskontrolle
siehe Checkliste Datensicherung
technische und organisatorischen Maßnahmen gemäß Anlage § 9 BDSG
<<< 60_Checkliste 2010-07-05.xls >>>
Abschließbare Behältnisse (Schränke) zur Aufbewahrung der USB-Sticks
Liste der Mitarbeiter mit Schlüssel zum Aufbewahrungsschrank
(siehe Beiblatt)
Zugangskontrolle
siehe Checkliste Datensicherung
technische und organisatorischen Maßnahmen gemäß Anlage § 9 BDSG
<<< 60_Checkliste 2010-07-05.xls >>>
USB-Sticks mit Passwortabfrage, Fingerprint-Scanner, Diebstahlschutz
(USB-Sticks befestigt über spezielle Ketten)
USB-Schnittstellen: Kontrolle durch Einsatz von
DLP-Lösungen (Data Loss Prevention)
10_Verfahrensverzeichnis_2010-08-31.xls
USB-Sticks und Datentransport
Seite 5 von 9
Für spezielle Eingaben
pro Verfahren.
Abschnitt wird über das gemeinsame
Eingabeblatt ausgefüllt.
x
siehe Checkliste Datensicherung
technische und organisatorischen Maßnahmen gemäß Anlage § 9 BDSG
<<< 60_Checkliste 2010-07-05.xls >>>
Verschlüsselung, geschlossene Bereiche, Passwortabfrage und
bei höherem Schutzbedarf Finger-Print-Sensor
Festlegung von benutzerabhängigen Bereichen auf USB-Sticks
mit jeweils eigenem Passwort
(und bei Bedarf Unterscheidung mehrerer Finger-Prints)
DLP-Lösungen zur Protokollierung des Anschlusses von USB-Sticks
an USB-Schnittstellen, wobei einzelne Sticks und Schnittstellen unterschieden werden könne
Abschnitt wird über das gemeinsame
Eingabeblatt ausgefüllt.
Weitergabekontrolle
siehe Checkliste Datensicherung
technische und organisatorischen Maßnahmen gemäß Anlage § 9 BDSG
Für spezielle Eingaben
pro Verfahren.
x
Zugriffskontrolle
Liste aller Datentransporte mit USB-Sticks,
dazu eindeutige Kennzeichnung der einzelnen Sticks
und Zuordnung zu Benutzern
Sichere Datenlöschung und physikalische Vernichtung defekter
oder nicht mehr benötigter USB-Sticks
Verschlüsselung, Passwortabfrage, ggf. Finger-Print-Prüfung
<<< 60_Checkliste 2010-07-05.xls >>>
10_Verfahrensverzeichnis_2010-08-31.xls
USB-Sticks und Datentransport
Seite 6 von 9
Für spezielle Eingaben
pro Verfahren.
Abschnitt wird über das gemeinsame
Eingabeblatt ausgefüllt.
x
Für spezielle Eingaben
pro Verfahren.
Abschnitt wird über das gemeinsame
Eingabeblatt ausgefüllt.
x
Eingabekontrolle
siehe Checkliste Datensicherung
technische und organisatorischen Maßnahmen gemäß Anlage § 9 BDSG
<<< 60_Checkliste 2010-07-05.xls >>>
DLP-Lösung überwacht alle Aktivitäten im Netzwerk mit USB-Sticks
Schreibschutz, Kopierschutz, Passwortabfragen bei USB-Sticks
Auftragskontrolle
siehe Checkliste Datensicherung
technische und organisatorischen Maßnahmen gemäß Anlage § 9 BDSG
<<< 60_Checkliste 2010-07-05.xls >>>
Anforderungen an sicheren Transport (Verschlüsselung USB-Stick) und
dokumentierte Übergabe nach Identitätsprüfung beim Empfänger
Kontrolle der Transport- und Übergabeverfahren des Transportdienstleisters
10_Verfahrensverzeichnis_2010-08-31.xls
USB-Sticks und Datentransport
Seite 7 von 9
Für spezielle Eingaben
pro Verfahren.
Abschnitt wird über das gemeinsame
Eingabeblatt ausgefüllt.
x
Für spezielle Eingaben
pro Verfahren.
Abschnitt wird über das gemeinsame
Eingabeblatt ausgefüllt.
x
Verfügbarkeitskontrolle
siehe Checkliste Datensicherung
technische und organisatorischen Maßnahmen gemäß Anlage § 9 BDSG
<<< 60_Checkliste 2010-07-05.xls >>>
Regelmäßige, automatische Backups,
Schattenkopien aller Dateien, die auf USB-Sticks kopiert werden
Trennungsgebot
siehe Checkliste Datensicherung
technische und organisatorischen Maßnahmen gemäß Anlage § 9 BDSG
<<< 60_Checkliste 2010-07-05.xls >>>
getrennte USB-Sticks für Daten,
die zu jeweils anderen Zwecken erhoben wurden
Suchfunktionen dürfen geschlossene Bereiche auf USB-Sticks,
die jeweils für einen anderen Zweck erhoben wurden, nicht berühren
(verschlüsselte Ordner auf USB-Sticks)
Kontrolle der datenschutzgerechten Protokollierung der USB-Aktivitäten
(Bitte alle erforderlichen Punkte ankreuzen. Sind zu einem der vorstehenden Punkte keine Maßnahmen zu treffen,
brauchen dort keine Angaben gemacht zu werden.)
10_Verfahrensverzeichnis_2010-08-31.xls
USB-Sticks und Datentransport
Seite 8 von 9
10. Zugriffsberechtigte Personen und/oder Personengruppen je Datenart oder
Datenkategorie (vgl.[8] ) mit Zugriffsrecht (vgl. [16] )
X
R
W/R
O
Datenart oder
Datenkategorie [8]
=
=
=
=
Vollzugriff
Nur Lesend
Schreibend und Lesend
Nur auf die eigenen Dateien
Zugriffsberechtigte Personen oder Personengruppen [16]
siehe
- Beiblatt
- Gruppenrichtl.
Musterort,
Ort
10_Verfahrensverzeichnis_2010-08-31.xls
Datum
Unterschrift
USB-Sticks und Datentransport
Seite 9 von 9