Datensicherheitsmaßnahmen

§ 163.

(1) Die Pflicht zur Erlassung von Datensicherheitsmaßnahmen im Sinne der Art. 24, 25 und 32 DSGVO im Zusammenhang mit der Erbringung eines öffentlichen Kommunikationsdienstes obliegt jedem Betreiber eines öffentlichen Kommunikationsdienstes jeweils für jeden von ihm erbrachten Dienst.

(2) Unbeschadet des Abs. 1 hat der Betreiber eines öffentlichen Kommunikationsdienstes in jenen Fällen, in denen ein besonderes Risiko der Verletzung der Vertraulichkeit besteht, die Nutzer über dieses Risiko und – wenn das Risiko außerhalb des Anwendungsbereichs der vom Betreiber zu treffenden Maßnahmen liegt – über mögliche Abhilfen einschließlich deren Kosten zu unterrichten.

(3) Betreiber eines öffentlichen Kommunikationsdienstes haben durch Datensicherheitsmaßnahmen jedenfalls Folgendes zu gewährleisten:

1. 1. die Sicherstellung, dass nur ermächtigte Personen für rechtlich zulässige Zwecke Zugang zu personenbezogenen Daten erhalten;
2. 2. den Schutz gespeicherter oder übermittelter personenbezogener Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust oder unbeabsichtigter Veränderung und unbefugter oder unrechtmäßiger Speicherung oder Verarbeitung, unbefugtem oder unberechtigtem Zugang oder unbefugter oder unrechtmäßiger Weitergabe;
3. 3. die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten.

• Die Regulierungsbehörde kann die von den Betreibern öffentlicher Kommunikationsdienste getroffenen Maßnahmen prüfen und Empfehlungen zum zu erreichenden Sicherheitsniveau abgeben.

Zuletzt aktualisiert am

29.10.2021

Gesetzesnummer

20011678

Dokumentnummer

NOR40238621