Datenschutz

Schönen guten Tag Gemeinde :)

Heute gab es ein kleinen Streitpunkt, wo ich mal eure Hilfe benötige.

Es soll auf einem Server Personaldaten gesichert werden, wo alle Daten enthalten sind, die für das Beschäftigungsverhältnis nötig sind.
Der Server befindet sich innerhalb des Unternehmens und die Daten werden über das interne Netz transportiert und es besteht der Grundschutz nach BSI.

Jetzt die Frage: Müssen diese Daten verschlüsselt werden, sowohl bei der Übertragung als auch in der Sicherung? Wenn Ja, bräuchte ich mal einen genauen Verweis auf die Gesetze.
Ich habe jetzt schon ne ganze Weile gesucht, aber kein Gesetz gefunden, was direkt vorschreibt.

MfG
Rising
 
Nach BDSG Anlage zu § 9 Satz 1 gilt: Es ist

zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

Das bedeutet z.B., dass Systemadministratoren nicht in der Lage sein dürfen die Daten zu lesen, weswegen eine Verschlüsselung der Daten selbst notwendig ist. (Zugriffskontrolle)

Weiterhin gilt: Es ist

zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist

Diese Festlegung der Weitergabekontrolle macht die verschlüsselte Übertragung notwendig, da sonst ggf. via MITM Daten an einem internen Router abgeleitet werden können. Ausnahmen gelten nur, wenn das Server-System ohne Routing oder Switching direkt an den verarbeitenden Rechner angeschlossen ist, es sich also um ein vollständig autarkes System aus Client und Server handelt, so dass eine Ableitung oder ein Mitlesen der Daten während der Übertragung nicht möglich ist.
 
Ich danke dir für deine Antwort und dafür, dass du mich bestätigt hast.
Ich wusste, dass es irgendwo steht, aber ich kam nicht auf die Anlagen. :)

Nochmals Danke :)
 
Zurück
Oben