Introduction to Privacy - Cheatsheet
Definitionen und Ziele des Datenschutzes
Definition:
Schutz personenbezogener Daten vor Missbrauch; Sicherstellung der Privatsphäre und informationellen Selbstbestimmung.
Details:
- Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
- Ziele des Datenschutzes: Vertraulichkeit, Integrität, Verfügbarkeit von Daten, Schutz vor unbefugtem Zugriff, Sicherung der Rechte der Betroffenen.
- Rechtsgrundlagen: DSGVO, BDSG, weitere nationale und internationale Regelungen.
- Wichtige Konzepte: Einwilligung, Zweckbindung, Datenminimierung, Transparenz, Datensicherheit.
Rechtsgrundlagen des Datenschutzes (z.B., DSGVO)
Definition:
Rechtsgrundlagen des Datenschutzes, insbesondere die DSGVO, regeln den Schutz personenbezogener Daten und deren Verarbeitung innerhalb der EU.
Details:
- DSGVO: Datenschutz-Grundverordnung; EU-weit geltende Verordnung
- Ziel: Schutz von Grundrechten und -freiheiten natürlicher Personen, insbesondere deren Datenschutzrechte
- Rechte der Betroffenen: z.B. Auskunftsrecht, Recht auf Löschung, Recht auf Berichtigung
- Pflichten der Verantwortlichen: z.B. Datensicherheitsmaßnahmen, Datenschutz-Folgenabschätzung
- Bußgelder bei Verstößen: bis zu 20 Mio. € oder 4% des globalen Jahresumsatzes (je nachdem, was höher ist)
Verschlüsselungstechniken und Kryptographie
Definition:
Kerngebiet der Informatik, das sich mit dem Schutz von Informationen durch Umwandlung in unlesbare Form und deren Wiederherstellung beschäftigt.
Details:
- Symmetrische Verschlüsselung: sender und Empfänger teilen denselben Schlüssel. Beispiel: AES, DES.
- Asymmetrische Verschlüsselung: Paar aus öffentlichen und privaten Schlüsseln. Beispiel: RSA, ECC.
- Einwegfunktionen: mathematische Funktionen, die leicht zu berechnen, aber schwer umzukehren sind. Beispiel: Modulo-Berechnungen.
- Hashfunktionen: transformieren Eingaben beliebiger Länge in fixe Länge. Beispiel: SHA-256, MD5.
- Digitale Signaturen: sichern Authentizität und Integrität von Nachrichten. Beispiel: DSA, RSA-Signaturen.
- Schlüsselaustauschprotokolle: sichere Übertragung von Schlüsseln zwischen Parteien. Beispiel: Diffie-Hellman.
- Beispielsweise \textbf{AES} (Advanced Encryption Standard): \begin{itemize} \item Blockchiffre: blockweise Verschlüsselung von Daten \item Schlüssellängen: 128, 192 oder 256 Bit \end{itemize}
Datenschutz-Folgenabschätzung (DPIA)
Definition:
DPIA: systematische Beschreibung der Datenverarbeitung unter Risikoabschätzung und Datenschutzmaßnahmen, meist notwendig bei hohem Risiko für Rechte und Freiheiten natürlicher Personen.
Details:
- Zweck: Erkennen und Minimieren von Datenschutzrisiken
- Wann erforderlich: bei voraussichtlich hohem Risiko für Rechte und Freiheiten natürlicher Personen (z.B. bei sensiblen Daten oder umfangreicher Verarbeitung)
- Bestandteile: systematische Beschreibung, Bewertung der Notwendigkeit und Verhältnismäßigkeit, Risikoabschätzung, Maßnahmen zur Risikominderung
- Rechtliche Grundlage: Art. 35 DSGVO
- Verantwortlich: Datenverantwortlicher
- Ergebnis: Bericht, der veröffentlicht oder der Aufsichtsbehörde vorgelegt werden kann
Einwilligung und Informationspflichten
Definition:
Einwilligung bedeutet, dass eine Person ausdrücklich ihre Zustimmung zur Verarbeitung personenbezogener Daten gibt. Informationspflichten beziehen sich auf die Verpflichtung, betroffene Personen über die Verarbeitung ihrer Daten zu informieren.
Details:
- Einwilligung: Freiwillig, spezifisch, informiert und unmissverständlich
- Art. 7 DSGVO: Bedingungen für die Einwilligung
- Informationspflichten: Transparenz, klare und verständliche Information
- Art. 12 - 14 DSGVO: Anforderungen an die Bereitstellung von Informationen
- Recht auf Widerruf der Einwilligung
Anonymisierungs- und Pseudonymisierungsmethoden
Definition:
Techniken zum Schutz personenbezogener Daten durch Entfernung oder Verschleierung identifizierbarer Informationen.
Details:
- Anonymisierung: Entfernen personenbezogener Daten derart, dass die betroffene Person nicht mehr identifizierbar ist
- Pseudonymisierung: Ersetzen identifizierbarer Daten durch Pseudonyme, ermöglicht Rückverfolgung unter bestimmten Bedingungen
- Verfahren: Aggregation, Zufallsrauschen, Generalisierung
- Gesetze: DSGVO erfordert wirksame Methoden
- Bewertung: Risiken der Re-Identifizierung berücksichtigen
Datenschutzmanagementsysteme (DSMS)
Definition:
System zur Verwaltung und Sicherstellung der Einhaltung von Datenschutzbestimmungen innerhalb einer Organisation.
Details:
- Ziel: Schutz personenbezogener Daten
- Komponenten: Richtlinien, Prozesse, Technologien
- Anforderungen: DSGVO (Datenschutz-Grundverordnung), BDSG (Bundesdatenschutzgesetz)
- Prozess: Identifikation, Bewertung, Behandlung von Datenschutzrisiken
- Überwachung und Auditierung zur kontinuierlichen Verbesserung
Cross-border Datenübertragungen und die Rolle von Datenschutzabkommen
Definition:
Übertragung persönlicher Daten über nationale Grenzen hinweg und wie Datenschutzabkommen wie die DSGVO oder Privacy Shield solche Übertragungen regulieren.
Details:
- DSGVO: Regelt den Schutz personenbezogener Daten innerhalb der EU und deren Übertragung außerhalb der EU.
- Angemessenheitsbeschlüsse: EU-Kommission prüft, ob Drittland vergleichbares Datenschutzniveau bietet.
- Standardvertragsklauseln: Vertragsklauseln zur Sicherstellung angemessenen Datenschutzniveaus bei Datenübertragungen.
- Privacy Shield: Gestattete Datenübertragung zwischen EU und USA unter bestimmten Datenschutzbedingungen. Inzwischen durch Schrems II-Urteil ungültig.
- Bindende Unternehmensregeln (BCRs): Interne Datenschutzvorschriften für multinationale Unternehmen für Datenübertragungen außerhalb der EU.