Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Vertrauenssichernde Maßnahmen im Datenschutz
Datenschutzgrundverordnung — Teil 1
Mindestens 40 Prozent der Wertschöpfung weltweit basiert schon heute auf der Informations- und Kommunikationstechnologie. Aufgrund der sich ständig weiter beschleunigenden technologischen Innovation und der in immer kürzeren Abständen stattfindenden Anwendung dieser Innovationen ist davon auszugehen, dass sich dieser Prozentsatz bereits in naher Zukunft noch deutlich erhöhen wird.
Mit der damit verbundenen Verdichtung von personenbezogenen Daten geht parallel dazu eine drastisch steigende gesellschaftliche und ökonomische Nachfrage nach diesen Daten einher. Schätzungen zufolge werden allein die personenbezogenen Daten von Bürgern in Europa bis 2020 auf einen Wert von nahezu 1 Billion Euro jährlich ansteigen.
Das Vordringen neuer Technologien steht in einem engen Zusammenhang mit dem Vertrauen der Betroffenen darin, dass die damit verbundene Verarbeitung von personenbezogenen Daten nicht entgegen deren Recht auf informationelle Selbstbestimmung geschieht. Förderung von Innovation und Anwendung neuer Technologien muss daher immer auch vertrauenssichernde Maßnahmen im Datenschutz mit einschließen.
Als eine solche vertrauenssichernde Maßnahme ist die am 25. Mai zur Anwendung kommende Datenschutzgrundverordnung (engl. General Data Protection Regulation, GDPR) im Allgemeinen und im Besonderen die in Artikel 35 der GDPR eingeführte Pflicht zur Durchführung von Datenschutzfolgenabschätzungen (engl. Data Protection Impact Assessment, DPIA) anzusehen.
Diese Pflicht greift immer dann, wenn eine Form der Verarbeitung von personenbezogenen Daten insbesondere bei Verwendung neuer Technologien und unter Berücksichtigung relevanter Kriterien und Hinweise der Aufsichtsbehörden aller Voraussicht nach ein hohes Risiko für die Rechte und Freiheiten relevanter Personen zur Folge hat:
| Beispiel | Kriterien | DPIA? |
|---|---|---|
| Ein Krankenhaus verarbeitet gesundheitsbezogene und genetische Daten seiner Patienten in einem Krankenhausinformationssystem. | Sensitive Daten; Daten von gefährdeten Personen | Ja |
| Die Verwendung von Kameras zur Überwachung des Verhaltens auf Autobahnen auf der Basis eines intelligenten Videoanalysesystems zur Erkennung einzelner Fahrzeuge und Identifizierung über Nummernschilder. | Systematische Überwachung; Innovative Verwendung von technischen oder organisatorischen Lösungen | Ja |
| Ein Unternehmen kontrolliert die Aktivitäten seiner Mitarbeiter einschließlich der Überwachung des Arbeitsplatzplatzrechners, der Internetaktivitäten usw. | Systematische Überwachung; Daten von gefährdeten Personen | Ja |
| Ein Unternehmen sammelt im großen Maßstab personenbezogene Daten aus öffentlichen Social Media Kanälen, um Profile für Kontaktlisten zu generieren. | Auswertung bzw. Scoring; Datenverarbeitung im großen Maßstab | Ja |
| Ein Online Magazin nutzt eine Mailing Liste, um seinen Abonnenten eine allgemeine Übersicht von Texten auf täglicher Basis bereitzustellen. | (keine) | nicht zwangsläufig |
| Eine E-Commerce Website blendet Anzeigen für Oldtimer ein, die auf ein begrenztes Profiling auf der Basis vorangegangener Bewegungen zurückgeht. | Auswertung bzw. Scoring, aber nicht systematisch oder umfangreich | nicht zwangsläufig |
In den folgenden Artikeln zu dieser Reihe wollen wir diese Kriterien näher betrachten, relevante Anforderungen an DPIAs beleuchten und verschiedene Verfahren zu deren Durchführung kennen lernen.
Der nächste Teil erscheint Anfang September.
Ernst O. Wilhelm, GFT Technologies SE
Seit mehr als 29 Jahren beschäftigt sich Dipl.-Inf. Ernst O. Wilhelm mit Software-Entwicklung und IT-Management und seit mehr als 14 Jahren speziell mit dem Thema Datenschutz und Datensicherheit. Heute arbeitet er als Chief Privacy Officer der GFT Technologies SE und ist hier verantwortlich für das weltweite Datenschutzprogramm des Unternehmens. Ein Herzensanliegen von Herrn Wilhelm ist die stärkere Beachtung von Datenschutz und Datenschutz als notwendige Voraussetzung für die Digitalisierung auf nationaler wie auch internationaler Ebene sowie eine stärkere Verzahnung von rechtlichen und informationstechnischen Aspekten bei der praktischen Umsetzung. Herr Wilhelm ist Mitglied im German Chapter of the Association of Computing Machinery (GChACM) als auch in der Gesellschaft für Informatik (GI) und hier insbesondere Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ und im Leitungsgremium der Regionalgruppe Stuttart/Böblingen aktiv. Außerdem ist er Mitglied in der Deutschen Gesellschaft für Recht und Informatik (DGRI) sowie der Gesellschaft für Datenschutz und Datensicherheit (GDD) und von der GDD zertifizierter Datenschutzbeauftragter (GDDcert). Ferner ist Herr Wilhelm Ehrenmitglied in der Vereinigung der italienischen Datenschutzbeauftragten (ASSO DPO) und hier unter anderem im wissenschaftlichen Beirat tätig. Schließlich ist er Mitglied und Fellow of Information Privacy (FIP) bei der International Association of Privacy Professionals (IAPP) und hier unter anderem aktiv als Trainer in der International Training Faculty, als Leiter des technischen Komitees im Training Advisory Board sowie als Chairman des KnowledgeNet Chapter Stuttgart sowie Inhaber der Zertifikate des CIPM, CIPP/E, CIPT Programms der IAPP.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare