Datenschutz und IT-Sicherheit PDF

IT Sicherheit 3 Abgrenzung Datenschutz und IT Sicherheit 3.1 Grundbegriffe aus dem Datenschutz DSGVO Datenschutzgrundverordnung BDSG n.F. Bundesdatenschutzgesetz (Gesetz zur Anpassung des Daten- schutzrechts an die Verordnung (EU) 206/679 und zur Umsetzung der Richtlinie ) Verarbeitung personenbezogener Daten (Besondere Arten) personenbezogene(r) Daten Grundsätze der Verarbeitung Datenvermeidung und Datensparsamkeit Technische und organisatorische Maßnahmen 3.2 Übersicht über die wichtigsten Artikel 3.2.1 Verarbeitung, Art. 4 Abs. 1 DSGVO Im Sinne dieser Verordnung bezeichnet der Ausdruck:„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen die Organisation das Ordnen die Speicherung, die Anpassung oder Veränderung das Auslesen das Abfragen, die Verwendung, die Offenlegung durch Übermittlung Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung das Löschen oder die Vernichtung; (vgl Art. 4 Abs. 1 DSGVO) ························································································································ 6 IT Sicherheit 3.2.2 Besondere Arten) personenbezogene(r) Daten, Art. 6 Abs. 1 DSGVO (bzw Art. 9 Abs.1 DSGVO) Im Sinne dieser Verordnung bezeichnet der Ausdruck: „Personenbezogene Daten“, alle Informationen, die sich auf eine identifizierte oder identifizierbare, natürliche Person (im folgenden betroffene Person) beziehen. Als identifizierbar, wird eine natürliche Person angesehen, die direkt oder direkt insbesondere mittels Zuord- nung zu einer Kennung wie einem Namen zu einer Kennnummer zu Standortdaten zu einer Onlinekennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, geneti- schen, psychischen wirtschaftlichen, kulturellen oder sozialen Identität diese natür- liche Person sind 3.2.3 Besondere Arten) personenbezogene(r) Daten, Art. 6 Abs. 1 DSGVO (bzw Art. 9 Abs.1 DSGVO) (1) die Verarbeitung besonderer personenbezogene Daten einer natürlichen Per- son ist untersagt. Zu den Daten zählen: Rassische oder ethnische Herkunft Politische Meinungen, Religiöse oder weltanschaulich Überzeugungen Gewerkschaftszugehörigkeit Genetische Daten Biometrische Daten Gesundheitsdaten Sexualleben oder sexuelle Orientierung (Vgl Art. 6 Abs. 1 DSGVO) 3.2.4 Grundsätze der Verarbeitung Art. 5 DSGVO (1) Die Verarbeitung personenbezogene Daten ist an die folgenden Grundsätze zu knüpfen a) Rechtmäßigkeit Verarbeitung nach Treu und Glauben, Transparenz b) Zweckbindung c) Datenminimierung d) Richtigkeit e) Speicherbegrenzung f) Integrität und Vertraulichkeit (2) Der Verantwortliche ist für die Einhaltung des Abs. 1 verantwortlich und muss- dessen Einhaltung nachweisen können (Rechenschaftspflicht).(Vgl Art. 5 DSGVO) ························································································································ 7 IT Sicherheit 3.2.5 Datenvermeidung und Datensparsamkeit Art. 5 DSGVO (1) personenbezogene Daten müssen c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“); In einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verar- beitet werden, erforderlich ist; personenbezogene Daten dürfen länger ge- speichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorische Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der Be- troffenen Personen gefordert werden, ausschließlich für im öffentlichen In- teresse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke für den statistischen Zweck gemäß Art. 89 Abs. 1 verar- beitet werden („Speicherbegrenzung“); 3.2.6 Technische und organisatorische Maßnahmen (TOM) Art. 32, DSGVO Unter Berücksichtigung des Standes der Technik der Implementierung Kos- ten und der Art des Umfangs, der Umstände und der Zwecke der Verarbei- tung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten. Natürliche Personen treffen der verantwortliche und der Auftragsverarbeiter geeignete technische und or- ganisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; (…) (vgl Art. 32 DSGVO) 3.2.7 Technische und organisatorische Maßnahmen (TOM) Art. 32, DSGVO Gemäß Art. 32 Abs. 1 S 1 d) muss die Qualität der technischen und organisatori- schen Maßnahmen künftig ausreichend getestet werden. Diese Regelung ist neu und verpflichtet die Betreiber von technischen Systemen, (…) o Ein Verfahren zur regelmäßigen Überprüfung bewerten und Eva- luierung, der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (..) einzurichten. (vgl Art. 32 DSGVO) ························································································································ 8 IT Sicherheit 3.3 Abgrenzungen und Schnittstellen Datenschutz Schutz: Natürliche Personen Gefahr: Verletzung von den Persönlichkeitsrechten Datensicherheit Schutz: Hard-und Software, beliebige Daten Gefahr: Verlust, Zerstörung, Missbrauch durch unbefugte  Gemeinsamkeit Art. 32 DSGVO Merksatz Auszug: (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auf- tragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Be- lastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwi- schenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Eva- luierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Eine Datenschutzorganisation sowie ein effektives Datenschutzmanagement müs- sen aufgebaut werden, um den Schutz personenbezogener Daten sicherzustellen. Hierzu gehören insbesondere Regelungen für den Umgang mit Beschäftigtendaten, die beispielsweise durch Betriebs- oder Dienstvereinbarungen festgelegt werden sollten. Darüber hinaus sind Richtlinien und Regelungen für die Umsetzung des technischen Datenschutzes zu implementieren, um die Einhaltung gesetzlicher und technischer Anforderungen zu gewährleisten. ························································································································ 9 IT Sicherheit Datenschutz (Vgl. Schröder (2019), S. 503 ff.) und IT-Sicherheit sind zwei eng mitei- nander verbundene, aber unterschiedliche Konzepte. Datenschutz bezieht sich auf den Schutz personenbezogener Daten vor unbefugtem Zugriff, Missbrauch und Merksatz Verlust, wobei der Fokus auf der Wahrung der Rechte von Individuen in Bezug auf ihre persönlichen Daten liegt. IT-Sicherheit hingegen umfasst den Schutz von IT- Systemen, Netzwerken und Daten vor einer Vielzahl von Bedrohungen, einschließ- lich unbefugtem Zugriff, Angriffe und Ausfälle, unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Während Datenschutz konkrete Anforderungen und gesetzliche Regelungen zum Umgang mit persönlichen Daten festlegt konzentriert sich IT-Sicherheit auf die Si- cherstellung der Verfügbarkeit, Integrität und Vertraulichkeit aller Arten von Daten und Systemen. Beide Disziplinen überschneiden sich, da IT-Sicherheitsmaßnahmen auch dazu beitragen, den Datenschutz zu gewährleisten, aber IT-Sicherheit ist brei- ter angelegt und umfasst alle Aspekte der Cybersicherheit, nicht nur den Schutz personenbezogener Daten. Reflexionsfragen: Wodurch unterscheiden Datenschutz und IT Sicherheit? Reflexionsfragen Welche Norm behandelt die Gemeinsamkeiten von Datenschutz und Da- tensicherheit? Die Lösungsansätze finden Sie am Ende des Skriptums in Kapitel 9 ······················································································································ 10

Datenschutz und IT-Sicherheit PDF

Document Details

Tags

Related

Summary

Full Transcript