Anlage zu § 9
(Technische und organisatorische Maßnahmen)

Werden personenbezogene Daten durch das Landeskrebsregister automatisiert verarbeitet oder genutzt, ist die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Den vom Bundesamt für Sicherheit in der Informationstechnik herausgegebenen jeweils einschlägigen technischen Richtlinien soll Rechnung getragen werden. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
3. zu gewährleisten, dass beim Datentransport die absendende sowie die empfangende Person zweifelsfrei authentifiziert werden kann und sichergestellt ist, dass die Daten während ihres Transportweges nicht verändert werden können,
4. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
5. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
6. zu gewährleisten, dass die verwendeten kryptographischen Verfahren eine langfristige Sicherheit gewähren, dem geltenden Stand der Technik entsprechen und bei Änderungen des Standes der Sicherheit angepasst werden können,
7. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
8. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
9. zu gewährleisten, dass es jederzeit möglich ist, festzustellen, wer welche personenbezogenen Daten zu welcher Zeit verarbeitet hat und wohin sie übermittelt worden sind (Verantwortlichkeitskontrolle),
10. zu gewährleisten, dass die nach Nummer 9 gespeicherten Daten nach Speicherung nicht verändert werden können,
11. zu gewährleisten, dass durch eine Dokumentation aller wesentlichen Verarbeitungsschritte die Überprüfbarkeit der Datenverarbeitungsanlage und des -verfahrens möglich ist,
12. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
13. zu gewährleisten, dass die zur Entschlüsselung von Identitäts-Chiffraten erforderlichen Schlüssel geheim aufbewahrt werden und durch geeignete Vorkehrungen vor Missbrauch, unbefugtem Zugriff und der Weitergabe an Dritte geschützt sind,
14. zu gewährleisten, dass immer zwei Beschäftigte der Datenannahmestelle gemeinsam Zugriff auf die zur Entschlüsselung von Identitäts-Chiffraten verwendeten Schlüssel nehmen,
15. zu gewährleisten, dass die Schritte zur Entschlüsselung auf einer Datenverarbeitungsanlage durchgeführt werden, die dabei keine Verbindung zu einer anderen Datenverarbeitungslage oder zum Internet hat,
16. zu gewährleisten, dass Versuche die Personenerkennbarkeit herzustellen, nach dem Stand der Technik verhindert werden können,
17. zu gewährleisten, dass eine Datenübermittlung stets nach dem Stand von Wissenschaft und Technik verschlüsselt erfolgt und
18. zu gewährleisten, dass Personen, die im Zusammenhang mit der Erzeugung Kenntnis von Schlüsseln erlangt haben, verpflichtet sind, hierüber Stillschweigen zu bewahren und nach Übergabe des Schlüssels an die Datenannahmestelle alle hierbei entstandenen Daten unverzüglich zu löschen.

Eine Maßnahme nach Satz 2 Nummer 4 und 5 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.