Meldepflicht

Auswirkungen der EU-DSGVO auf die Sicherheitsarchitektur

| Autor / Redakteur: Fabian Beutel* / Susanne Ehneß

Vor allem beim Reporting von Verstößen gegen die EU-DSGVO, die innerhalb von 72 Stunden gemeldet werden müssen, sind im öffentlichen Bereich noch große Anstrengungen notwendig
Vor allem beim Reporting von Verstößen gegen die EU-DSGVO, die innerhalb von 72 Stunden gemeldet werden müssen, sind im öffentlichen Bereich noch große Anstrengungen notwendig (© Elnur- stock.adobe.com)

Sie wirft ihre Schatten voraus, die EU-Datenschutzgrundverordnung, deren Anforderungen Behörden, öffentliche Stellen und Unternehmen bis zum 25. Mai 2018 erfüllen müssen.

Mit dem Inkrafttreten der EU-Datenschutzgrundverordnung (kurz EU-DSGVO, engl. GDPR) wird die Komplexität verschiedener lokaler Datenschutzverordnungen in Europa abgeschafft. In einer wirtschaftlichen Epoche, in der der ­Motor für Wachstum Informationen sind und Daten das neue Öl darstellen, macht die EU-DSGVO den europäischen Datenschutz ­zukunftsfähig.

Der gläserne Bürger?

Technologische Entwicklungen im Bereich Mobile- und Cloud Computing, Social Media, aber vor allem Big Data und Data Analytics entwickeln sich immer schneller. Speziell die Möglichkeiten, große Datenmengen unterschiedlichster Quellen schnell und individuell zu analysieren und auszuwerten (sogenanntes Profiling) sind aus Sicht des Datenschutzes relevant. Profiling ermöglicht zielgerichtete Aktionen und Entscheidungen, wie zum Beispiel individualisierte ­Werbung oder dynamische Preise im Supermarkt.

Möglich sind auch hochauflösende Darstellungen über potenzielle Wähler einer Partei oder Kunden einer Versicherung, aber auch gezielte Desinformation. Derartiges wird durch die EU-DSGVO nicht grundsätzlich verhindert, aber in den Möglichkeiten eingeschränkt und sanktionierbar, sollte keine Zustimmung zur Datenerhebung und Verarbeitung seitens des betroffenen Individuums vorliegen.

Die EU-DSGVO betrifft alle Behörden, öffentlichen Stellen und Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Dabei erstreckt sie sich auch auf Unternehmen, die Daten von EU-Bürgern verarbeiten, ohne dabei eine physische Präsenz in der EU zu haben. Personenbezogene Daten sind dabei „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Art. 4 Abs. 1).

Identifizierbar wird eine Person, „die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung […] oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“ (Art. 4 Abs. 1), identifiziert werden kann.

Personenbezogene Daten sind in jedem Unternehmen und jeder Behörde vorhanden. Dies umfasst Bürgerdaten, Daten von Mitarbeitern, Angestellten und Kunden, Gesundheitsdaten oder Daten, die beispielsweise im Rahmen von IoT-Anwendungen wie Fitness-Apps, Smart-Home-Systeme oder Connected Cars gesammelt werden, aber auch zum Beispiel IP-Adressen oder Cookie-IDs.

Betroffene Organisationen müssen zunächst herausfinden, über welche personenbezogenen Daten sie verfügen, wo sich diese Daten befinden und wer darauf Zugriff hat. Selbst das Speichern von Daten, ohne dass diese weiterverarbeitet werden, fällt bereits unter die EU-DSGVO. IT-Dienstleister können Behörden, öffentliche Stellen und Unternehmen dabei mit einem EU-DSGVO Readiness Assessment und übergreifenden IT- und Informationssicherheit-Reifegradanalysen unterstützen. Auch bei der Identifizierung von personenbezogenen Daten in Anwendungen und Prozessen sowie der notwendigen Dokumentation in Data Inventories und Datenflussdiagrammen kann professionelle Unterstützung helfen.

Bitte lesen Sie auf der nächsten Seite weiter.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44940590 / Standards & Technologie)