Verordnung über die Form des Refinanzierungsregisters nach dem Kreditwesengesetz sowie die Art und Weise der Aufzeichnung (Refinanzierungsregisterverordnung - RefiRegV)
§ 9 Technische und organisatorische Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit

(1) Die eingesetzten Datenverarbeitungssysteme müssen dem Stand der Technik sowie den Anforderungen des Datenschutzes und der Datensicherheit entsprechen. Insbesondere müssen sie gewährleisten, dass

1.

ihre Funktionen nur genutzt werden können, wenn sich der Benutzer dem System gegenüber sicher ausweist (Identifikation und Authentisierung),

2.

die eingeräumten Benutzungsrechte im System verwaltet werden (Berechtigungsverwaltung),

3.

die eingeräumten Benutzungsrechte vom System geprüft werden (Berechtigungsprüfung),

4.

sämtliche Zugriffe (Eingeben, Lesen, Kopieren, Ändern, Löschen, Sperren) revisionssicher protokolliert werden (Revisionsfähigkeit),

5.

eingesetzte Systeme ohne Sicherheitsrisiken wiederhergestellt werden können (Wiederaufbereitung),

6.

etwaige Verfälschungen der gespeicherten Daten durch technische Prüfmechanismen unverzüglich bemerkt werden können (Unverfälschtheit),

7.

auftretende Fehlfunktionen unverzüglich gemeldet werden (Verlässlichkeit) und

8.

der Austausch von Daten aus dem oder für das Refinanzierungsregister im System und bei Einsatz öffentlicher Netze sicher erfolgen kann (Übertragungssicherheit).

(2) Das registerführende Unternehmen hat mindestens eine vollständige Sicherungskopie des elektronisch geführten Refinanzierungsregisters aufzubewahren. Die Sicherungskopie ist auf einem anderen Datenträger als das Refinanzierungsregister zu speichern und mindestens am Ende eines jeden Arbeitstages auf den Stand zu bringen, den das Refinanzierungsregister zu diesem Zeitpunkt hat. Das Original und mindestens eine Sicherungskopie des Refinanzierungsregisters müssen auf Datenträgern gespeichert werden, die sich innerhalb des Geltungsbereichs des Kreditwesengesetzes befinden. Im Falle einer technischen Auslagerung ist zudem sicherzustellen, dass das Auslagerungsunternehmen im Fall der Insolvenz des registerführenden Unternehmens verpflichtet ist, die Datensätze in einer Form, die elektronisch mit standardisierten Datenbankanwendungen verarbeitet werden kann, an den Sachwalter im Sinne des § 22l Absatz 1 Satz 1 des Kreditwesengesetzes des registerführenden Unternehmens zu übermitteln.