© Excellent backgrounds/Shutterstock.com
Java Magazin
Maßnahmen zur Risikominimierung

Die Gefahr klein halten

Eine Reihe von Maßnahmen hilft, das Datenschutzrisiko zu senken. Doch an welchen Punkten müssen wir dabei ansetzen? Welche Hebel können wir in Bewegung setzen, um die Gefahr von Datenverlust maximal einzudämmen? Ein Weg kann beispielsweise die bewusste Entscheidung sein, bestimmte Informationen erst gar nicht zu erheben und zu speichern, doch auch technische Maßnahmen helfen weiter.

Siegfried Höck, Stefan Kühnlein


Die wohl effektivste Methode, personenbezogene Daten zu schützen, ist, sie nicht zu erheben. Informationen, die ein Unternehmen nicht besitzt, muss es auch nicht absichern. Deshalb sollte am Anfang immer die Frage stehen: Welche Daten brauche ich überhaupt? Neben diesem ganz allgemeinen Ansatz gibt es auch spezifische technische Maßnahmen, die das Datenschutzrisiko senken. Schon beim Design einer Anwendung lassen sich die Aufbewahrungsfristen festlegen. Damit sollte dann auch die Planung bzw. Etablierung eines entsprechenden Prozesses einhergehen, durch den die Daten zuverlässig gelöscht werden.

Eine wesentliches Thema in der DSGVO ist die Weitergabe von personenbezogenen Daten an Dritte, die sogenannten Datenverarbeiter. Dementsprechend ist es wichtig, bei der Auswahl von Datenverarbeitern darauf zu achten, dass diese ein sehr hohes Maß an Sicherheit bieten und kontinuierlich gewährleisten. In diesem Zusammenhang müssen entsprechende Vereinbarungen unterzeichnet werden, die klarstellen, welche Informationen übertragen und geteilt werden. Hierbei sind auch die Übertragungswege sowie deren Absicherung zu dokumentieren.

Technische Maßnahmen: PETS

Wenden wir uns den konkreten technischen Maßnahmen zu, die Entwicklern zur Verfügung stehen, um Daten abzusichern. Sie lassen sich in vier Kategorien aufteilen: Authentifizierung, sichere Kommunikation bzw. Verschlüsselung, Anonymisierung und Pseudonymisierung sowie der Schutz von personenbezogenen Daten in der Datenbank [1], [2].

Authentifizierung und Autorisierung

Um personenbezogene Daten entsprechend zu schützen, ist die Authentifizierung der Benutzer ein zentrales Prinzip. Authentifizierung und Autorisierung sind die Schlüssel zur Sicherung von IT-Systemen und Anwendungen. Eine starke Authentifizierung stellt einen wichtigen Datenschutzmechanismus dar, wenn sichergestellt wird, dass nur bestimmte berechtigte Personen auf private Informationen von Betroffenen zugreifen können. In heterogenen Enterprise-Architekturen ist eine starke Authentifizierung jedoch nicht so einfach umzusetzen, da eine Vielzahl von Anforderungen gestellt werden:

Ermittlung der Berechtigungen, abhängig von den Attributen einer Person oder einer RessourceErmittlung der Berechtigungen auf Basis von logischen oder mathematischen Funktionen, die wiederum vor dem Hintergrund einzelner Attribute einer Person zu definieren sind Zusammenführung von unterschiedlichen Regeln und Richtlinien (Policies) aus verschiedenen Systemen zu einem einheitlichen R...

Java Magazin
Maßnahmen zur Risikominimierung

Die Gefahr klein halten

Eine Reihe von Maßnahmen hilft, das Datenschutzrisiko zu senken. Doch an welchen Punkten müssen wir dabei ansetzen? Welche Hebel können wir in Bewegung setzen, um die Gefahr von Datenverlust maximal einzudämmen? Ein Weg kann beispielsweise die bewusste Entscheidung sein, bestimmte Informationen erst gar nicht zu erheben und zu speichern, doch auch technische Maßnahmen helfen weiter.

Siegfried Höck, Stefan Kühnlein


Die wohl effektivste Methode, personenbezogene Daten zu schützen, ist, sie nicht zu erheben. Informationen, die ein Unternehmen nicht besitzt, muss es auch nicht absichern. Deshalb sollte am Anfang immer die Frage stehen: Welche Daten brauche ich überhaupt? Neben diesem ganz allgemeinen Ansatz gibt es auch spezifische technische Maßnahmen, die das Datenschutzrisiko senken. Schon beim Design einer Anwendung lassen sich die Aufbewahrungsfristen festlegen. Damit sollte dann auch die Planung bzw. Etablierung eines entsprechenden Prozesses einhergehen, durch den die Daten zuverlässig gelöscht werden.

Eine wesentliches Thema in der DSGVO ist die Weitergabe von personenbezogenen Daten an Dritte, die sogenannten Datenverarbeiter. Dementsprechend ist es wichtig, bei der Auswahl von Datenverarbeitern darauf zu achten, dass diese ein sehr hohes Maß an Sicherheit bieten und kontinuierlich gewährleisten. In diesem Zusammenhang müssen entsprechende Vereinbarungen unterzeichnet werden, die klarstellen, welche Informationen übertragen und geteilt werden. Hierbei sind auch die Übertragungswege sowie deren Absicherung zu dokumentieren.

Technische Maßnahmen: PETS

Wenden wir uns den konkreten technischen Maßnahmen zu, die Entwicklern zur Verfügung stehen, um Daten abzusichern. Sie lassen sich in vier Kategorien aufteilen: Authentifizierung, sichere Kommunikation bzw. Verschlüsselung, Anonymisierung und Pseudonymisierung sowie der Schutz von personenbezogenen Daten in der Datenbank [1], [2].

Authentifizierung und Autorisierung

Um personenbezogene Daten entsprechend zu schützen, ist die Authentifizierung der Benutzer ein zentrales Prinzip. Authentifizierung und Autorisierung sind die Schlüssel zur Sicherung von IT-Systemen und Anwendungen. Eine starke Authentifizierung stellt einen wichtigen Datenschutzmechanismus dar, wenn sichergestellt wird, dass nur bestimmte berechtigte Personen auf private Informationen von Betroffenen zugreifen können. In heterogenen Enterprise-Architekturen ist eine starke Authentifizierung jedoch nicht so einfach umzusetzen, da eine Vielzahl von Anforderungen gestellt werden:

Ermittlung der Berechtigungen, abhängig von den Attributen einer Person oder einer RessourceErmittlung der Berechtigungen auf Basis von logischen oder mathematischen Funktionen, die wiederum vor dem Hintergrund einzelner Attribute einer Person zu definieren sind Zusammenführung von unterschiedlichen Regeln und Richtlinien (Policies) aus verschiedenen Systemen zu einem einheitlichen R...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang