DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Ver­trau­ens­si­chernde Maß­nahmen im Daten­schutz

Daten­schutz­grund­ver­ordnung — Teil 1

Min­destens 40 Prozent der Wert­schöpfung weltweit basiert schon heute auf der Infor­ma­tions- und Kom­mu­ni­ka­ti­ons­tech­no­logie. Auf­grund der sich ständig weiter beschleu­ni­genden tech­no­lo­gi­schen Inno­vation und der in immer kür­zeren Abständen statt­fin­denden Anwendung dieser Inno­va­tionen ist davon aus­zu­gehen, dass sich dieser Pro­zentsatz bereits in naher Zukunft noch deutlich erhöhen wird.

Mit der damit ver­bun­denen Ver­dichtung von per­so­nen­be­zo­genen Daten geht par­allel dazu eine dras­tisch stei­gende gesell­schaft­liche und öko­no­mische Nach­frage nach diesen Daten einher. Schät­zungen zufolge werden allein die per­so­nen­be­zo­genen Daten von Bürgern in Europa bis 2020 auf einen Wert von nahezu 1 Billion Euro jährlich ansteigen.

Das Vor­dringen neuer Tech­no­logien steht in einem engen Zusam­menhang mit dem Ver­trauen der Betrof­fenen darin, dass die damit ver­bundene Ver­ar­beitung von per­so­nen­be­zo­genen Daten nicht ent­gegen deren Recht auf infor­ma­tio­nelle Selbst­be­stimmung geschieht. För­derung von Inno­vation und Anwendung neuer Tech­no­logien muss daher immer auch ver­trau­ens­si­chernde Maß­nahmen im Daten­schutz mit ein­schließen.

Als eine solche ver­trau­ens­si­chernde Maß­nahme ist die am 25. Mai zur Anwendung kom­mende Daten­schutz­grund­ver­ordnung (engl. General Data Pro­tection Regu­lation, GDPR) im All­ge­meinen und im Beson­deren die in Artikel 35 der GDPR ein­ge­führte Pflicht zur Durch­führung von Daten­schutz­fol­gen­ab­schät­zungen (engl. Data Pro­tection Impact Assessment, DPIA) anzu­sehen.

Diese Pflicht greift immer dann, wenn eine Form der Ver­ar­beitung von per­so­nen­be­zo­genen Daten  ins­be­sondere bei Ver­wendung neuer Tech­no­logien und unter Berück­sich­tigung rele­vanter Kri­terien und Hin­weise der Auf­sichts­be­hörden aller Vor­aus­sicht nach ein hohes Risiko für die Rechte und Frei­heiten rele­vanter Per­sonen zur Folge hat:

Bei­spielKri­terienDPIA?
Ein Kran­kenhaus ver­ar­beitet gesund­heits­be­zogene und gene­tische Daten seiner Pati­enten in einem Kran­ken­haus­in­for­ma­ti­ons­system.Sen­sitive Daten;
Daten von gefähr­deten Per­sonen
Ja
Die Ver­wendung von Kameras zur Über­wa­chung des Ver­haltens auf Auto­bahnen auf der Basis eines intel­li­genten Video­ana­ly­se­systems zur Erkennung ein­zelner Fahr­zeuge und Iden­ti­fi­zierung über Num­mern­schilder.Sys­te­ma­tische Über­wa­chung;
Inno­vative Ver­wendung von tech­ni­schen oder orga­ni­sa­to­ri­schen Lösungen 
Ja
Ein Unter­nehmen kon­trol­liert die Akti­vi­täten seiner Mit­ar­beiter ein­schließlich der Über­wa­chung des Arbeits­platz­platz­rechners, der Inter­net­ak­ti­vi­täten usw. Sys­te­ma­tische Über­wa­chung;
Daten von gefähr­deten Per­sonen
Ja
Ein Unter­nehmen sammelt im großen Maßstab per­so­nen­be­zogene Daten aus öffent­lichen Social Media Kanälen, um Profile für Kon­takt­listen zu gene­rieren. Aus­wertung bzw. Scoring; Daten­ver­ar­beitung im großen MaßstabJa
Ein Online Magazin nutzt eine Mailing Liste, um seinen Abon­nenten eine all­ge­meine Über­sicht von Texten auf täg­licher Basis bereit­zu­stellen.(keine)nicht zwangs­läufig
Eine E-Com­merce Website blendet Anzeigen für Old­timer ein, die auf ein begrenztes Pro­filing auf der Basis vor­an­ge­gan­gener Bewe­gungen zurückgeht.Aus­wertung bzw. Scoring, aber nicht sys­te­ma­tisch oder umfang­reichnicht zwangs­läufig

In den fol­genden Artikeln zu dieser Reihe wollen wir diese Kri­terien näher betrachten, rele­vante Anfor­de­rungen an DPIAs beleuchten und ver­schiedene Ver­fahren zu deren Durch­führung kennen lernen.

Der nächste Teil erscheint Anfang Sep­tember.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ernst O. Wilhelm, GFT Tech­no­logies SE

Seit mehr als 29 Jahren beschäftigt sich Dipl.-Inf. Ernst O. Wilhelm mit Software-Ent­wicklung und IT-Management und seit mehr als 14 Jahren spe­ziell mit dem Thema Daten­schutz und Daten­si­cherheit. Heute arbeitet er als Chief Privacy Officer der GFT Tech­no­logies SE und ist hier ver­ant­wortlich für das welt­weite Daten­schutz­pro­gramm des Unter­nehmens. Ein Her­zens­an­liegen von Herrn Wilhelm ist die stärkere Beachtung von Daten­schutz und Daten­schutz als not­wendige Vor­aus­setzung für die Digi­ta­li­sierung auf natio­naler wie auch inter­na­tio­naler Ebene sowie eine stärkere Ver­zahnung von recht­lichen und infor­ma­ti­ons­tech­ni­schen Aspekten bei der prak­ti­schen Umsetzung. Herr Wilhelm ist Mit­glied im German Chapter of the Asso­ciation of Com­puting Machinery (GChACM) als auch in der Gesell­schaft für Infor­matik (GI) und hier ins­be­sondere Prä­si­di­ums­ar­beits­kreis „Daten­schutz und IT-Sicherheit“ und im Lei­tungs­gremium der Regio­nal­gruppe Stuttart/Böblingen aktiv. Außerdem ist er Mit­glied in der Deut­schen Gesell­schaft für Recht und Infor­matik (DGRI) sowie der Gesell­schaft für Daten­schutz und Daten­si­cherheit (GDD) und von der GDD zer­ti­fi­zierter Daten­schutz­be­auf­tragter (GDDcert). Ferner ist Herr Wilhelm Ehren­mit­glied in der Ver­ei­nigung der ita­lie­ni­schen Daten­schutz­be­auf­tragten (ASSO DPO) und hier unter anderem im wis­sen­schaft­lichen Beirat tätig. Schließlich ist er Mit­glied und Fellow of Infor­mation Privacy (FIP) bei der Inter­na­tional Asso­ciation of Privacy Pro­fes­sionals (IAPP) und hier unter anderem aktiv als Trainer in der Inter­na­tional Training Faculty, als Leiter des tech­ni­schen Komitees im Training Advisory Board sowie als Chairman des Know­led­geNet Chapter Stuttgart sowie Inhaber der Zer­ti­fikate des CIPM, CIPP/E, CIPT Pro­gramms der IAPP

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.

Neueste Kom­mentare