Zum Inhalt wechseln

Es gibt keinen Datenschutz ohne ein Sicherheitssystem

Business

27 Januar 2021 - 5 Minuten lesen

1400 Blog Post There Is No Privacy Without Security 416X300
Beata Winczaszek Quality Expert and Personal Data Protection Specialist

Sie gehört zur Objectivity-Familie seit 2018 – erst als Quality Expert und heute als Quality Expert and Personal Data Protection Specialist. Sie ist eine große Enthusiastin für die Sensibilisierung der DSGVO und fasziniert von der Geschichte des Bergsteigens im Himalaya.

Alle Beiträge von Beata anzeigen

1394 DE Resources Thumbs

Teilen

Inhaltsverzeichnis

  1. Was ist der Unterschied zwischen Datenschutz und Sicherheit? 
  2. Wie kann DSGVO helfen, unsere Privatsphäre zu gewährleisten? 
  3. Zusammenfassung 

Was ist der Unterschied zwischen Datenschutz und Sicherheit? 

Es sind bereits mehr als zwei Jahre seit der Implementierung der DSGVO vergangen und es gibt noch viel zu tun, um das Bewusstsein für Datenschutz und Privatsphäre zu stärken. Deshalb lohnt es sich, jede Gelegenheit zu nutzen, um die DSGVO zu diskutieren und zu erklären. Ich glaube, dass der 28. Januar, als Datenschutztag, nur eine dieser Gelegenheiten ist. Wie in den Vorjahren feiern wir den Datenschutztag bei Objectivity und geben unseren Kollegen die Möglichkeit, Fragen zu stellen und über den Datenschutz zu diskutieren. 

In meinen vorherigen Beiträgen habe ich Folgendes besprochen: 

Im Jahr 2021 feiern wir den Datenschutztag mit dem Motto: Es gibt keinen Datenschutz ohne Sicherheitssystem und im Folgenden werde ich erklären, warum. Lassen Sie uns zunächst beschreiben, was Datenschutz und Sicherheit bedeuten, wenn wir personenbezogene Daten berücksichtigen. 

Datenschutz ist das Recht einer Person oder einer Gruppe, einen Teil oder die Gesamtheit von Informationen über sich selbst auszuschließen. Dies erlaubt die Kontrolle darüber, wie jeder sich ausdrücken kann und wie persönliche Daten verwendet werden. In diesem Sinne dreht sich beim Datenschutz alles um Respekt. Ich erwarte, dass meine Daten fair und mit Respekt behandelt werden. Warum? Weil Daten wertvoll sind. 

Bei der Datensicherheit geht es darum, Daten vor Verlust, Zerstörung oder unbefugtem Zugriff zu schützen. Laut der CIA Schutzziele (engl. CIA Triad) für Informationssicherheit werden Vertraulichkeit, Integrität und Verfügbarkeit von Daten gewährleistet. 

illustration of submarine

Wie kann DSGVO helfen, unsere Privatsphäre zu gewährleisten? 

Die Datenschutzgrundverordnung schützt die Rechte und Freiheiten natürlicher Personen. Eines davon ist das Recht auf Schutz personenbezogener Daten. Dazu werden klare Regeln für den Umgang mit Daten festgelegt. Wir nennen sie die Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 DSGVO). Es ist die juristische Person oder Organisation, die den Umfang und den Zweck der Datenverarbeitung bestimmt. Lassen Sie uns diese Grundsätze einzeln diskutieren. 

  • Rechtmäßigkeit, Fairness und Transparenz. Rechtmäßigkeit bedeutet, dass der für die Verarbeitung Verantwortliche eine angemessene Rechtsgrundlage für die Verarbeitung personenbezogener Daten gemäß Art. 6 der DSGVO hat. Es gibt sechs Möglichkeiten: 
    • Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffendepersonenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; 
    • die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist;
    • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich;
    • die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; 
    • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt; 
    • Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten. 

  • Laut der DSGVO: „Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden.“ Aber meiner Meinung nach ist Transparenz noch wichtiger. In Erwägungsgrund 39 der DSGVO geht es nicht nur um die Verfügbarkeit der Informationen und die Verarbeitung der personenbezogenen Daten. Es heißt auch, „Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind." Dieser Ansatz ist von entscheidender Bedeutung, da er uns die Möglichkeit gibt, wirklich fundierte Entscheidungen zu treffen. Daher muss der Datenschutzbeauftragte sicherstellen, dass die Nachricht wie folgt ausgerichtet ist:  
    • Klar, verständlich und "freundlich" für den Empfänger.
    • Es ist ein Mechanismus implementiert, mit dem Personen über die Verarbeitung ihrer Daten informiert werden.
    • Es ist ein Mechanismus implementiert, um Personen über wesentliche Änderungen bei der Verarbeitung ihrer Daten zu informieren.  
  • Zweckbeschränkung bedeutet in der Praxis, dass die Datenverarbeitung immer eng mit ihrem Zweck verbunden ist und aufhören sollte, wenn keine Rechtsgrundlage und kein Zweck mehr bestehen. Außerdem müssen die Daten angemessen und für die Absicht relevant sein. Diese Regel wurde implementiert, um den Wunsch nach übermäßiger Datenerfassung zu verhindern. "Personenbezogene Daten sollten nur verarbeitet werden, wenn der Zweck der Verarbeitung auf andere Weise nicht angemessen erfüllt werden kann." In der Praxis muss der Datenschutzbeauftragte einhalten, dass die gesammelten Daten für den angegebenen Zweck ausreichen. 
    • Die Daten sind für den beabsichtigten Zweck ausreichend. 
    • Die Datenverarbeitung beschränkt sich auf das, was für diesen Zweck erforderlich ist. 

  • Die Genauigkeit dient lediglich dazu, sicherzustellen, dass ungenaue Daten nicht verarbeitet werden. Wenn es möglich ist kann es sinnvoll sein, einen Mechanismus zu implementieren, mit dem die Benutzer auf ihre Informationen zugreifen können, um ihre Datengenauigkeit zu kontrollieren. 

  • Die zeitliche Beschränkung stellt sicher, dass Daten nicht mehr verarbeitet werden, wenn sie von der Rechtsgrundlage und dem Zweck abweichen, für die die personenbezogenen Daten gesammelt wurden, und dass „vom für die Verarbeitung Verantwortlichen Fristen für die Löschung oder für eine regelmäßige Überprüfung festgelegt werden sollten“. Am Ende der Verarbeitung (Ablauf des Zwecks) sollten die Daten gelöscht oder anonymisiert werden. Aus diesem Grund muss der Datenschutzbeauftragte neben der Bestimmung des Verarbeitungszwecks auch die Verarbeitungszeit angeben.

  • Rechenschaftspflicht - Der für die Verarbeitung Verantwortliche ist nicht nur dafür verantwortlich, dass die Verarbeitung personenbezogener Daten nach den Grundsätzen erfolgt, sondern auch, dass diese in diesem Bereich eingehalten werden. Der für die Verarbeitung Verantwortliche muss einen ordnungsgemäßen Prozess zum Sammeln von Beweismitteln implementieren d. h., wenn die Rechtsgrundlage für die Datenverarbeitung die Zustimmung ist, muss ein Mechanismus zum Dokumentieren der Sammlung von Einwilligungen implementiert werden. Ein weiteres Beispiel ist das Sammeln von Protokollen, mit denen überprüft werden kann, wer, wann und auf welcher Basis die Daten eingeführt, geändert oder gelöscht hat. 
  • Integrität und Vertraulichkeit (Sicherheit). Das letzte Prinzip ist sicherlich nicht das einfachste, da es sehr lakonisch ist. Warum ist das so, wenn wir wissen, wie wichtig Sicherheit ist? Aus Sicherheitsgründen gibt es einen ständigen Kampf gegen die Zeit und externe Bedrohungen. Art. 5 der DSGVO besagt, dass Daten „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen“. Was sind diese Maßnahmen? Dies kann Pseudonymisierung, Verschlüsselung oder Zugriffskontrolle sein.  

Praktische Beispiele sind wie folgt:

  • Verschlüsselung ruhender Daten.
  • Verschlüsselung von Daten bei der Übertragung.
  • Pseudonymisierung wird wann immer / so bald wie möglich angewendet.
  • Kontrollierter Zugriff auf Daten, beschränkt auf persönlich identifizierbares, autorisiertes Personal.
  • Eingeschränkter Zugriff auf vertrauliche Informationen.
  • Datenverarbeitungsvereinbarungen mit angemessenen Sicherheitsmaßnahmen, die für den Fall des Zugriffs Dritter aufgeführt sind.
  • Vorhandene Kennwortrichtlinien.  
  • Wenn möglich ist die Implementierung weiterer Authentifizierungsanforderungen von Vorteil. 
  • Trennung von sensiblen und ungeschützten Daten.
  • Implementierung eines Backups mit geplanter Häufigkeit und regelmäßigen Tests. 

Zusammenfassung 

Nur die Einhaltung aller wichtigen Grundsätze ermöglicht es, dass Daten richtig angewendet werden. Gleichzeitig ist Sicherheit das Prinzip, welches alles zusammenhält. Die vom Datenschutzbeauftragten sichergestellte Datenverarbeitungstransparenz gilt bei unbefugtem Zugriff nicht mehr. 

 

 

1394 DE Resources Thumbs
Beata Winczaszek Quality Expert and Personal Data Protection Specialist

Sie gehört zur Objectivity-Familie seit 2018 – erst als Quality Expert und heute als Quality Expert and Personal Data Protection Specialist. Sie ist eine große Enthusiastin für die Sensibilisierung der DSGVO und fasziniert von der Geschichte des Bergsteigens im Himalaya.

Alle Beiträge von Beata anzeigen

Was Sie noch interesieren könnte

Kontakt

Starten Sie Ihr Projekt mit Objectivity

CTA Pattern - Contact - Middle