IT-Sicherheit für Dummies. Rainer W. Gerling
klassischen Schutzzielen der IT-Sicherheit auch Gewährleistungsziele des Datenschutzes ableiten (in Klammern die wesentlichen Paragraphen):
Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO),
Nichtverkettung (Zweckbindung: Art. 5 Abs. 1 lit. b DS-GVO),
Transparenz (Art. 5 Abs. 1 lit. a DS-GVO, Art 12 ff. DS-GVO),
Intervenierbarkeit (Richtigkeit: Art. 5 Abs. 1 lit. d DS-GVO, Art. 15 ff. DS-GVO).
Datenminimierung bedeutet, dass nur so wenig Daten wie nötig verarbeitet werden. Daten die nicht erforderlich sind, werden auch nicht verarbeitet. »Erforderlich« heißt dabei, dass der Zweck der Verarbeitung ohne die Daten nicht erreichbar ist. Dass es praktisch wäre, die Daten zu haben, ist kein Argument zur Erforderlichkeit.
Wenn Sie einen Newsletter per E-Mail verschicken wollen, benötigen Sie die E-Mail-Adressen der Abonnenten. Die E-Mail-Adresse ist hier also erforderlich. Weitere Angaben wie Name, Vorname, Anrede und so weiter sind nicht erforderlich. Dafür ist dann eine freiwillige Einwilligung erforderlich. Besser ist es, die Daten gar nicht erst zu erheben.
Die Nichtverkettbarkeit oder Zweckbindung bedeutet, dass Daten, die zu unterschiedlichen Zwecken erhoben wurden, nicht verknüpft werden dürfen. Aus der Zusammenführung unterschiedlicher Datenbestände kann eine völlig neue Qualität der Datenauswertung entstehen.
Ein IT-Dienstleister verarbeitet im Rahmen von Auftragsverarbeitung die Daten des Sozialamts von Musterstadt und die Buchungsdaten einer örtlichen Autovermietung. Er bietet an, die Daten der Autovermietung mit den Daten des Sozialamts abzugleichen, um herauszufinden, welche Leistungsempfänger regelmäßig Kleintransporter mieten, da dies den Verdacht einer gewerblichen Tätigkeit nahelegen könnte.
Das Transparenzgebot soll sicherstellen, dass die von der Datenverarbeitung Betroffenen genau wissen, welches Unternehmen welche Daten über sie verarbeitet. Nur wenn die Betroffenen wissen, wer ihre Daten verarbeitet, können Sie ihre Rechte als Betroffene wahrnehmen. Sie müssen von den Unternehmen informiert werden, dass ihre Daten dort verarbeitet werden, solange es ihnen nicht sowieso bekannt ist.
Sie bestellen bei einem Versandhändler eine Ware. Damit ist Ihnen bekannt, dass die zur Bestellabwicklung erforderlichen Daten von dem Versandhändler verarbeitet werden. Er muss Sie nicht mehr explizit informieren.
Um mehr Geld zu verdienen, verkauft der Händler Ihre Adresse an andere Händler. Das ist etwas, was Sie nicht wissen können, hierüber müssen Sie informiert werden.
Und damit kommen wir zum vierten Gewährleistungsziel im Datenschutz: der Intervenierbarkeit. Dies bedeutet, dass Sie einen Anspruch haben, dass falsche Daten korrigiert werden und dass nicht (mehr) erforderliche Daten gelöscht werden.
Als Sie Ihre Ware vom Versandhändler erhalten, stellen Sie fest, dass die Sendung an Herrn Erika Mustermann adressiert ist. Außerdem gibt es einen Zahlendreher in der Hausnummer. Sie haben einen Anspruch darauf, dass diese beiden Fehler in Ihren Daten korrigiert werden.
Das von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder entwickelte Standard-Datenschutzmodell (SDM) ist ein Beratungs- und Prüfkonzept, das über die klassischen Schutzziele der IT-Sicherheit hinaus diese vorgestellten vier Gewährleistungsziele des Datenschutzes formuliert hat [SDM20]. Wir werden uns in Kapitel 8 noch ausführlicher mit dem SDM und der Einbindung des SDM in den IT-Grundschutz beschäftigen.
Конец ознакомительного фрагмента.
Текст предоставлен ООО «ЛитРес».
Прочитайте эту книгу целиком, купив полную легальную версию на ЛитРес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.