© Excellent backgrounds/Shutterstock.com
Java Magazin
Teil 2: Die DSGVO wird als Stammgast in die Unternehmen einziehen

Erst kommt die Bestandsaufnahme

Die DSGVO ist ein Stammgast mit Launen, der gut versorgt werden will. Dieser Leitfaden zeigt, wie das gelingen kann. Wir behandeln unter anderem die Themen Design, Zugriffsrechte, Datensparsamkeit, Recht auf Vergessen und Pseudonymisierung bei personenbezogenen Daten.

Pierre Gronau


ArtikelserieTeil 1: Warum brauchen wir jetzt Security as a Service, Compliance as a Service?Teil 2: Die DSGVO wird als Stammgast in die Unternehmen einziehenTeil 3: Security-by-Design-Projekte in Zeiten der DatendämmerungTeil 4: Security und Compliance out of the Box

Die Umsetzung von DSGVO-Anforderungen stellt sich als ganzheitliche betriebliche Aufgabe dar. Sie betrifft alle analogen und digitalen Unternehmensprozesse, in denen sensible, personenbezogene Daten verarbeitet werden. IT-Führungskräfte stehen jetzt vor zwei Fragen: Wo müssen sie ansetzen, um diese Aufgabe nachhaltig zu lösen? Wie lässt sich verhindern, dass der Berg an notwendigen Veränderungen noch größer und undurchsichtiger wird? Im Kern soll dieser Beitrag Licht ins Dunkel bringen. Er legt den Fokus auf „Security by Design“ für IT-Systeme, damit IT-Teams, die mit der Umsetzung von DSGVO-Projekten betraut sind, eine Orientierung erhalten (Abb. 1). Ich teile hier also gerne Erfahrungen – aus meinem Alltag als externer Sicherheitslotse.

Abb. 1: Kleeblatt „PPPP“ (Processes, People, Products, and Privacy oder zu deutsch: Prozesse, Menschen, Produkte und Datenschutz)

Security by Design: der Königsweg zur Umsetzung von DSGVO-Projekten

Schauen wir uns an, wie Personendaten bei strukturierten Daten (beispielsweise SQL-Datenbanken) zukünftig behandelt werden sollten, damit sich Unternehmen souverän und datenschutzkonform im Spannungsfeld von Businessaktivität, IT-Sicherheit und Datenschutz bewegen. Schon während des Designs einer Software- oder Datenbanklösung treten Faktoren auf, die auf das Datenschutzkonto einzahlen. Mit fünf Empfehlungen können Entwickler und Administratoren den Aufwand bei der Implementierung DSGVO-relevanter Punkte minimieren.

Informationsdaten, Einwilligungsdaten (Opt-in) und archivierungspflichtige Daten klar trennen

Datenschutzkonforme Systementwicklungen fordern, Daten redundant zu speichern und sie mindestens in die Kategorien Informationsdaten, widerrufliche Einwilligungsdaten und Archivierungsdaten einzuteilen [1]. Alle drei Kategorien lassen sich wie in Abbildung 2 gezeigt in einen zeitlichen Kontext übertragen.

Abb. 2: Daten der verschiedenen Kategorien lassen sich in einen zeitlichen Kontext übertragen

Bei Informationsdaten handelt es sich um Informationen zu einer Person, die nicht der gesetzlichen Archivierungspflicht unterliegen. Sie müssen direkt nach Erfüllung des Erhebungszwecks gelöscht werden. Ein Beispiel sind Kreditkartendaten, die direkt nach dem Bezahlvorgan...

Java Magazin
Teil 2: Die DSGVO wird als Stammgast in die Unternehmen einziehen

Erst kommt die Bestandsaufnahme

Die DSGVO ist ein Stammgast mit Launen, der gut versorgt werden will. Dieser Leitfaden zeigt, wie das gelingen kann. Wir behandeln unter anderem die Themen Design, Zugriffsrechte, Datensparsamkeit, Recht auf Vergessen und Pseudonymisierung bei personenbezogenen Daten.

Pierre Gronau


ArtikelserieTeil 1: Warum brauchen wir jetzt Security as a Service, Compliance as a Service?Teil 2: Die DSGVO wird als Stammgast in die Unternehmen einziehenTeil 3: Security-by-Design-Projekte in Zeiten der DatendämmerungTeil 4: Security und Compliance out of the Box

Die Umsetzung von DSGVO-Anforderungen stellt sich als ganzheitliche betriebliche Aufgabe dar. Sie betrifft alle analogen und digitalen Unternehmensprozesse, in denen sensible, personenbezogene Daten verarbeitet werden. IT-Führungskräfte stehen jetzt vor zwei Fragen: Wo müssen sie ansetzen, um diese Aufgabe nachhaltig zu lösen? Wie lässt sich verhindern, dass der Berg an notwendigen Veränderungen noch größer und undurchsichtiger wird? Im Kern soll dieser Beitrag Licht ins Dunkel bringen. Er legt den Fokus auf „Security by Design“ für IT-Systeme, damit IT-Teams, die mit der Umsetzung von DSGVO-Projekten betraut sind, eine Orientierung erhalten (Abb. 1). Ich teile hier also gerne Erfahrungen – aus meinem Alltag als externer Sicherheitslotse.

Abb. 1: Kleeblatt „PPPP“ (Processes, People, Products, and Privacy oder zu deutsch: Prozesse, Menschen, Produkte und Datenschutz)

Security by Design: der Königsweg zur Umsetzung von DSGVO-Projekten

Schauen wir uns an, wie Personendaten bei strukturierten Daten (beispielsweise SQL-Datenbanken) zukünftig behandelt werden sollten, damit sich Unternehmen souverän und datenschutzkonform im Spannungsfeld von Businessaktivität, IT-Sicherheit und Datenschutz bewegen. Schon während des Designs einer Software- oder Datenbanklösung treten Faktoren auf, die auf das Datenschutzkonto einzahlen. Mit fünf Empfehlungen können Entwickler und Administratoren den Aufwand bei der Implementierung DSGVO-relevanter Punkte minimieren.

Informationsdaten, Einwilligungsdaten (Opt-in) und archivierungspflichtige Daten klar trennen

Datenschutzkonforme Systementwicklungen fordern, Daten redundant zu speichern und sie mindestens in die Kategorien Informationsdaten, widerrufliche Einwilligungsdaten und Archivierungsdaten einzuteilen [1]. Alle drei Kategorien lassen sich wie in Abbildung 2 gezeigt in einen zeitlichen Kontext übertragen.

Abb. 2: Daten der verschiedenen Kategorien lassen sich in einen zeitlichen Kontext übertragen

Bei Informationsdaten handelt es sich um Informationen zu einer Person, die nicht der gesetzlichen Archivierungspflicht unterliegen. Sie müssen direkt nach Erfüllung des Erhebungszwecks gelöscht werden. Ein Beispiel sind Kreditkartendaten, die direkt nach dem Bezahlvorgan...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang