Setup Menus in Admin Panel

Wissen aufbauen – Maßnahmen zur Datensicherheit

Um den Schutz der persönlichen Daten zu gewährleisten, spielt die Frage der Datensicherheit sicherlich eine zentrale Rolle. Wichtige Stichworte in diesem Zusammenhang sind Privacy by Design und Privacy by Default.

Definition

Der Begriff Privacy by Design bezieht sich auf den Datenschutz durch Technologiegestaltung. Das bedeutet, dass bei der Entwicklung neuer Technologien auf angemessene und datenschutzkonforme Lösungen geachtet werden muss. Beispielsweise dürfen wichtige Datenschutzprinzipien, wie die Datenminimierung, bei der Entwicklung neuer Softwareprogramme und Geräte nicht ignoriert werden.

Privacy by default steht für Datenschutz durch entsprechende Voreinstellungen. Die verantwortliche Person muss durch entsprechende Voreinstellungen sicherstellen, dass nur diejenigen Personendaten verarbeitet werden, die absolut notwendig sind.

Sind Sie sich immer noch nicht sicher, was Datenschutz by design and default eigentlich bedeutet? Schauen wir uns ein paar Beispiele an:

Beispiel

Datenschutz durch Design: Integration von Löschkonzepten in Software zur Datenverarbeitung oder die Verwendung von Pseudonymisierung (Ersetzen von persönlich identifizierbarem Material durch künstliche Identifikatoren) und Verschlüsselung (Verschlüsselung von Nachrichten, so dass nur die Berechtigten sie lesen können).

Datenschutz als Standard: Beispielsweise muss ein/e AnbieterIn eines sozialen Netzwerks durch die Voreinstellung seiner App von vornherein sicherstellen, dass persönliche Daten der NutzerInnen nicht veröffentlicht werden. Personen, die die App nutzen, sollten nicht erst die Einstellungen von “öffentlich” auf “privat” ändern müssen.

Doch was kann konkret getan werden, um die Datensicherheit zu verbessern? Im Folgenden lernen Sie einige geeignete Maßnahmen auf einen Blick kennen:

  • Definition der Datenschutzziele
  • TOMs – technische und organisatorische Maßnahmen

Schauen wir uns nun die einzelnen Maßnahmen etwas näher an:

Als wesentliche Datenschutzziele gelten

  • Integrität (Integrity): Die Daten sind originalgetreu und wurden nicht von Unbefugten beschädigt oder verändert.
  • Verfügbarkeit (Availability): Die Daten stehen autorisierten Personen zur Verfügung, wann und wo sie sie benötigen. Das Datenverarbeitungssystem ist bis zu einem gewissen Grad tolerant gegenüber Fehlfunktionen und Fehlern.
  • Vertraulichkeit (Confidentiality): Die Daten sind nur autorisierten Personen zugänglich.

Das GDPR verlangt, dass die für die Verarbeitung Verantwortlichen und die AuftragsverarbeiterInnen geeignete technische und organisatorische Maßnahmen (TOMS) bei der Datenverarbeitung ergreifen müssen, um ein dem Risiko angepasstes Schutzniveau zu gewährleisten.

Wie Sie bereits wissen, verpflichtet das GDPR zum Schutz der Privatsphäre per Design und Standard.

Die genauen Maßnahmen, die zum Schutz personenbezogener Daten zu ergreifen sind, liegen jedoch letztlich in der Verantwortung der für die Verarbeitung Verantwortlichen und der AuftragsverarbeiterInnen. Beispiele für TOMs sind Pseudonymisierung und Verschlüsselung von Daten, Information und Schulung des Personals oder automatische Backups.

Das folgende Beispiel zeigt, wie Datenschutzmaßnahmen in der Praxis umgesetzt werden können.

Beispiel

Angenommen, Sie sind bei einem Unternehmen beschäftigt, das eine Kundendatenbank verwendet. Diese Kundendatenbank befindet sich auf einem Server. Um ein angemessenes Schutzniveau für die persönlichen Daten der KundeInnen zu gewährleisten, wären z.B. die folgenden Datenschutzmaßnahmen denkbar:

  • Der Zugriff auf alle KundInnendaten ist nur mit Passwort und Benutzername möglich.
  • Der Raum, in dem sich der Server befindet, wird mit einem Schlüssel verschlossen.
  • Jede Benutzung wird protokolliert, sowohl An- und Abmeldung als auch Änderungen an Datensätzen. Jedem Login ist eine Person zugeordnet.
  • Lese- und Schreibrechte werden nur nach Bedarf vergeben.
  • KundInnen werden nach Möglichkeit nicht unter einem realen Namen, sondern unter einer Benutzerkennung
  • Es werden regelmäßig Backups erstellt, die ebenfalls in bestimmten Zeitabständen auf ihre Integrität geprüft werden.
  • Alle TOMs werden vierteljährlich überprüft.
  • Die MitarbeiterInnen erhalten klare Anweisungen zum Umgang mit persönlichen Daten, eine Grundschulung zum Datenschutz und regelmäßige spezifische Datenschutzhinweise per E-Mail.
SEE ALL Add a note
YOU
Add your Comment