Artikel 91 VO (EU) 2018/1725

(1) Der Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien operativer personenbezogener Daten.

(2) Der Verantwortliche und der Auftragsverarbeiter ergreifen im Hinblick auf die automatisierte Verarbeitung nach einer Risikobewertung Maßnahmen, die Folgendes bezwecken:

a)

Verwehrung des Zugangs zu Datenverarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte ( „Zugangskontrolle” );

b)

Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern ( „Datenträgerkontrolle” );

c)

Verhinderung der unbefugten Eingabe operativer personenbezogener Daten sowie der unbefugten Kenntnisnahme, Änderung oder Löschung gespeicherter operativer personenbezogener Daten ( „Speicherkontrolle” );

d)

Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte ( „Benutzerkontrolle” );

e)

Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden operativen personenbezogenen Daten Zugang haben ( „Zugangskontrolle” );

f)

Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen operative personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können ( „Übertragungskontrolle” );

g)

Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche operativen personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind ( „Eingabekontrolle” );

h)

Verhinderung, dass bei der Übertragung operativer personenbezogener Daten oder beim Transport von Datenträgern die operativen personenbezogenen Daten unbefugt gelesen, kopiert, geändert oder gelöscht werden können ( „Transportkontrolle” );

i)

Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können ( „Wiederherstellung” );

j)

Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden ( „Zuverlässigkeit” ) und gespeicherte personenbezogene operative Daten nicht durch Fehlfunktionen des Systems beschädigt werden können ( „Datenintegrität” ).