Datensicherheitsmaßnahmen
§ 11. (1) Verantwortliche und Auftragsverarbeiter haben bereits im Stadium der Konzeption und Entwicklung von Datenverarbeitungen die Grundsätze des Art. 25 DSGVO zu berücksichtigen.
(2) Verantwortliche und Auftragsverarbeiter haben die Richtigkeit der Verarbeitungen in regelmäßigen Abständen durch Stichproben oder Prüfprogramme zu überprüfen. Die ergriffenen Datensicherheitsmaßnahmen sind gemäß Art. 32 Abs. 1 lit. d DSGVO zur Feststellung ihrer Wirksamkeit und Aktualität regelmäßig zu testen. Die Ergebnisse der Tests sowie die daraus abzuleitenden (Verbesserungs-)Maßnahmen sind zu dokumentieren (ISO-Zertifizierungen etc.). Die Ergebnisse dieser Prüfung sind drei Jahre ab dem Jahr, in dem die Prüfung stattgefunden hat, aufzubewahren. Der jeweils aktuelle Stand dieser Dokumentationen ist auf Wunsch der Datenschutzbehörde in deren Funktion als Aufsichtsbehörde zur Verfügung zu stellen.
(3) Personenbezogene Daten und Programme sind unter Berücksichtigung des Standes der Technik und der Implementierungskosten vor Veränderung, Vernichtung und Verlust sowie gegen unbefugte Verwendung und Weitergabe zu schützen.
(4) Der Verantwortliche (oder in dessen Auftrag der Auftragsverarbeiter) hat für die Vernichtung unbrauchbarer oder nicht mehr benötigter Ausdrucke und sonstiger Datenträger bzw. das sichere Löschen nicht mehr benötigter Daten nach dem jeweiligen Stand der Technik Sorge zu tragen.
(5) Für die ordnungsgemäße und sichere Verarbeitung von personenbezogenen Daten sind insbesondere folgende Datensicherheitsmaßnahmen zu setzen:
| | | | | | | | | | |
1. | Die technische Datensicherheit ist auf Grundlage der SV-Sicherheitsrichtlinien SV-SR, avsv Nr. 95/2017, zu gewährleisten. |
2. | Für die Programmverwaltung sind Zuständigkeiten und Regeln festzulegen. Zugriffsschutz zu personenbezogenen Daten und Datensicherheitsmaßnahmen sind nach Maßgabe des jeweiligen Standes der Technik zu organisieren; erteilte Zugriffsberechtigungen sind einfach lesbar auf nachvollziehbare Weise (inklusive des Berechtigungszeitraumes) zu dokumentieren. Der Umfang der Zugriffsberechtigungen ist auf das für die Aufgabenerfüllung Erforderliche zu beschränken. Bestehende Einrichtungen sind regelmäßig auf Verbesserungsmöglichkeiten zu untersuchen. |
3. | Zugriff auf Datenverarbeitungen darf nur eingeräumt werden, nachdem die Bestimmungen über das Datengeheimnis, die Datensicherheitsmaßnahmen und diese Verordnung zur Kenntnis gebracht wurden. Ein Zugriff muss in letzter (Protokoll-)Instanz immer auf eine identifizierbare natürliche Person rückführbar sein. Sammelzugriffsberechtigungen, über die Zugriffe mehrerer Personen dokumentiert werden, sind unzulässig. Ebenso unzulässig ist es, Datenbestände außerhalb ausdrücklicher gesetzlicher Bestimmungen oder eindeutiger Vereinbarungen über eine Auftragsdatenverarbeitung gesammelt an zugriffsberechtigte Stellen zu übermitteln, um diesen bei Bedarf das Verarbeiten der personenbezogenen Daten möglich zu machen. |
4. | Zugriffsberechtigungen außerhalb ausdrücklicher gesetzlicher Verpflichtungen (z. B. im Rahmen von Projekten nach § 459e ASVG) sind nur befristet einzuräumen und jedenfalls zu beenden, wenn sie |
a) | zur weiteren Arbeit nicht mehr benötigt werden oder |
b) | vom Berechtigten Verstöße gegen Datensicherheitsvorschriften gesetzt wurden. |
5. | Bei der Neueinrichtung von Datenverarbeitungen ist gemäß Art. 32 Abs. 1 lit. a DSGVO zu prüfen, ob die Verwendung personenbezogener Daten in diesen Verarbeitungen durch vorgezogene Pseudonymisierung gesichert werden kann (bei der Personendaten nur an einer Stelle des gesamten Ablaufes verwendet werden und der restliche Ablauf über technisch nicht personenbezogene Identitätskennzeichen verläuft). Die Verwendung bereichsspezifischer Personenkennzeichen bPK nach § 9 E-GovG (§ 31 Abs. 4 Z 1 ASVG) ist in neuen Datenverarbeitungen jedenfalls vorzusehen. |
6. | Datenträger, unabhängig davon ob diese unverschlüsselt oder verschlüsselt sind, welche eine undokumentierte nachträgliche Veränderung oder ein nicht nachvollziehbares Löschen von personenbezogenen Daten ermöglichen oder die auf einfache Weise durch ein anderes gleich aussehendes Exemplar ersetzt werden können (z. B. USB-Sticks, CD-ROMs, transportable Festplatten, etc.) dürfen für Übermittlungen nicht verwendet werden. |
7. | Datenverarbeitungen (insbesondere Übermittlungen), für die Anwendungen im Rahmen des elektronischen Verwaltungssystems der österreichischen Sozialversicherung ELSY (§§ 31a ff. ASVG) oder hinsichtlich der Datensicherheit gleichwertige Datenübermittlungssysteme zur Verfügung stehen, dürfen nicht über andere Wege (Programme, Applikationen usw.) vorgenommen werden. |
8. | Datenverarbeitungen sind, so dies im Sinne einer wirtschaftlichen, zweckmäßigen und sparsamen Erfüllung der gesetzlichen Aufgaben der Sozialversicherungsträger möglich ist, in getrennter Form so zu organisieren, dass Datenweitergaben (Übermittlungen) nur an wenigen Schnittstellen erfolgen und die gemeinsame Nutzung von Datenbeständen für verschiedene Zwecke, aber auch die parallele Führung von Datenbeständen für gleiche Zwecke vermieden wird. |
9. | Zur Vermeidung, Abwehr und Nachverfolgung von Angriffen auf Datenbestände oder technische Einrichtungen der Datenverarbeitung ist mit den dafür bestehenden Einrichtungen für öffentliche Stellen zusammenzuarbeiten (z. B. Gov-CERT). |
10. | Die Sozialversicherungsträger und der Hauptverband haben sich an Einrichtungen anzubinden, durch welche eine sichere elektronische Zustellung (§§ 28 ff. ZustG) möglich ist sowie selbst elektronische Posteingangsadressen für Zustelldienste anzubieten. |
11. | Von einem Verfahren der Datenschutzbehörde nach § 24 DSG ist vom betroffenen Versicherungsträger jedenfalls der Hauptverband in Grundzügen des Sachverhaltes zu verständigen (§ 321 ASVG, § 183 GSVG, § 171 BSVG, § 119 B-KUVG, § 87 NVG). Der Hauptverband hat andere Sozialversicherungsträger, welche personenbezogene Daten der gleichen Kategorie usw. der betroffenen Person verarbeiten, über die rechtlichen Grundlagen des Verfahrens zu informieren. |
Die Anordnung dieser Datensicherheitsmaßnahmen umfasst auch die Einrichtung redundanter Systeme, auf welche die Daten der Primärsysteme in regelmäßigen Abständen übertragen werden („Spiegelung“) und die bei Ausfall der Primärsysteme deren Aufgaben übernehmen. |
(6) Vor dem Einsatz von Datenverarbeitungen sind diese unabhängig von der Art ihrer Erstellung (Eigenentwicklung, Fremdbeschaffung) auf Funktionalität und Einhaltung der datensicherheitstechnischen Voraussetzungen zu prüfen. Für die Prüfung sind entweder ausschließlich synthetische Daten heranzuziehen oder vor Beginn der Prüfung alle Voraussetzungen nach der DSGVO, dem DSG sowie dieser Verordnung – welche ein Produktivsystem zu erfüllen hat – umzusetzen. Prüfungen (nicht aber Tests mit originären Echtdaten) können auch bereits vor Inkrafttreten der gesetzlichen Grundlage für die Datenverarbeitung durchgeführt werden, damit der gesetzliche vorgesehene Produktivsetzungszeitpunkt eingehalten werden kann.
(7) Über alle Datensicherheitsmaßnahmen ist eine Dokumentation zu führen; diese ist laufend – oder ansonsten zumindest einmal jährlich – zu aktualisieren und mindestens drei Jahre bis nach Beendigung der Datenverarbeitung aufzubewahren. Alternativ kann die Dokumentation in einem laufend aktuell gehaltenen elektronischen System (z. B. IT-MAP) geführt werden. Die Dokumentation der Sicherheitsmaßnahmen dient gleichzeitig auch als Basis für eine gemäß § 13 erforderliche Folgenabschätzung.
(8) Die zu ergreifenden Datensicherheitsmaßnahmen sind sozialversicherungsübergreifend im Sinne der SV-SR zu standardisieren. Sie sind in das EDV-Handbuch (§ 16 REDV 2006) zu übernehmen und gelten, soweit nicht konkrete Ausnahmen zulässig erklärt wurden, für alle Sozialversicherungsträger.
(9) Die Datensicherheitsmaßnahmen sind zur Feststellung deren Wirksamkeit und Aktualität gemäß Art. 32 Abs. 1 lit. d DSGVO regelmäßig zu überprüfen. Die daraus resultierenden Ergebnisse der Überprüfung sowie die daraus abzuleitenden (Verbesserungs-)Maßnahmen sind zu dokumentieren, unverzüglich einer Risikobewertung zu unterziehen und entsprechend dem Ergebnis der Risikobewertung priorisiert umzusetzen.
(10) Bedient sich der Hauptverband oder ein Sozialversicherungsträger für eine Datenverarbeitung eines Auftragsverarbeiters, so ist dieser zur Einhaltung aller datenschutzrechtlichen Bestimmungen und Ergreifung der in dieser Verordnung vorgesehenen Datensicherheitsmaßnahmen zu verpflichten.