Introduction to Privacy - Cheatsheet

Definitionen und Ziele des Datenschutzes

Definition:

Schutz personenbezogener Daten vor Missbrauch; Sicherstellung der Privatsphäre und informationellen Selbstbestimmung.

Details:

• Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
• Ziele des Datenschutzes: Vertraulichkeit, Integrität, Verfügbarkeit von Daten, Schutz vor unbefugtem Zugriff, Sicherung der Rechte der Betroffenen.
• Rechtsgrundlagen: DSGVO, BDSG, weitere nationale und internationale Regelungen.
• Wichtige Konzepte: Einwilligung, Zweckbindung, Datenminimierung, Transparenz, Datensicherheit.

Rechtsgrundlagen des Datenschutzes (z.B., DSGVO)

Definition:

Rechtsgrundlagen des Datenschutzes, insbesondere die DSGVO, regeln den Schutz personenbezogener Daten und deren Verarbeitung innerhalb der EU.

Details:

• DSGVO: Datenschutz-Grundverordnung; EU-weit geltende Verordnung
• Ziel: Schutz von Grundrechten und -freiheiten natürlicher Personen, insbesondere deren Datenschutzrechte
• Rechte der Betroffenen: z.B. Auskunftsrecht, Recht auf Löschung, Recht auf Berichtigung
• Pflichten der Verantwortlichen: z.B. Datensicherheitsmaßnahmen, Datenschutz-Folgenabschätzung
• Bußgelder bei Verstößen: bis zu 20 Mio. € oder 4% des globalen Jahresumsatzes (je nachdem, was höher ist)

Verschlüsselungstechniken und Kryptographie

Definition:

Kerngebiet der Informatik, das sich mit dem Schutz von Informationen durch Umwandlung in unlesbare Form und deren Wiederherstellung beschäftigt.

Details:

• Symmetrische Verschlüsselung: sender und Empfänger teilen denselben Schlüssel. Beispiel: AES, DES.
• Asymmetrische Verschlüsselung: Paar aus öffentlichen und privaten Schlüsseln. Beispiel: RSA, ECC.
• Einwegfunktionen: mathematische Funktionen, die leicht zu berechnen, aber schwer umzukehren sind. Beispiel: Modulo-Berechnungen.
• Hashfunktionen: transformieren Eingaben beliebiger Länge in fixe Länge. Beispiel: SHA-256, MD5.
• Digitale Signaturen: sichern Authentizität und Integrität von Nachrichten. Beispiel: DSA, RSA-Signaturen.
• Schlüsselaustauschprotokolle: sichere Übertragung von Schlüsseln zwischen Parteien. Beispiel: Diffie-Hellman.
• Beispielsweise \textbf{AES} (Advanced Encryption Standard): \begin{itemize} \item Blockchiffre: blockweise Verschlüsselung von Daten \item Schlüssellängen: 128, 192 oder 256 Bit \end{itemize}

Datenschutz-Folgenabschätzung (DPIA)

Definition:

DPIA: systematische Beschreibung der Datenverarbeitung unter Risikoabschätzung und Datenschutzmaßnahmen, meist notwendig bei hohem Risiko für Rechte und Freiheiten natürlicher Personen.

Details:

• Zweck: Erkennen und Minimieren von Datenschutzrisiken
• Wann erforderlich: bei voraussichtlich hohem Risiko für Rechte und Freiheiten natürlicher Personen (z.B. bei sensiblen Daten oder umfangreicher Verarbeitung)
• Bestandteile: systematische Beschreibung, Bewertung der Notwendigkeit und Verhältnismäßigkeit, Risikoabschätzung, Maßnahmen zur Risikominderung
• Rechtliche Grundlage: Art. 35 DSGVO
• Verantwortlich: Datenverantwortlicher
• Ergebnis: Bericht, der veröffentlicht oder der Aufsichtsbehörde vorgelegt werden kann

Einwilligung und Informationspflichten

Definition:

Einwilligung bedeutet, dass eine Person ausdrücklich ihre Zustimmung zur Verarbeitung personenbezogener Daten gibt. Informationspflichten beziehen sich auf die Verpflichtung, betroffene Personen über die Verarbeitung ihrer Daten zu informieren.

Details:

• Einwilligung: Freiwillig, spezifisch, informiert und unmissverständlich
• Art. 7 DSGVO: Bedingungen für die Einwilligung
• Informationspflichten: Transparenz, klare und verständliche Information
• Art. 12 - 14 DSGVO: Anforderungen an die Bereitstellung von Informationen
• Recht auf Widerruf der Einwilligung

Anonymisierungs- und Pseudonymisierungsmethoden

Definition:

Techniken zum Schutz personenbezogener Daten durch Entfernung oder Verschleierung identifizierbarer Informationen.

Details:

• Anonymisierung: Entfernen personenbezogener Daten derart, dass die betroffene Person nicht mehr identifizierbar ist
• Pseudonymisierung: Ersetzen identifizierbarer Daten durch Pseudonyme, ermöglicht Rückverfolgung unter bestimmten Bedingungen
• Verfahren: Aggregation, Zufallsrauschen, Generalisierung
• Gesetze: DSGVO erfordert wirksame Methoden
• Bewertung: Risiken der Re-Identifizierung berücksichtigen

Datenschutzmanagementsysteme (DSMS)

Definition:

System zur Verwaltung und Sicherstellung der Einhaltung von Datenschutzbestimmungen innerhalb einer Organisation.

Details:

• Ziel: Schutz personenbezogener Daten
• Komponenten: Richtlinien, Prozesse, Technologien
• Anforderungen: DSGVO (Datenschutz-Grundverordnung), BDSG (Bundesdatenschutzgesetz)
• Prozess: Identifikation, Bewertung, Behandlung von Datenschutzrisiken
• Überwachung und Auditierung zur kontinuierlichen Verbesserung

Cross-border Datenübertragungen und die Rolle von Datenschutzabkommen

Definition:

Übertragung persönlicher Daten über nationale Grenzen hinweg und wie Datenschutzabkommen wie die DSGVO oder Privacy Shield solche Übertragungen regulieren.

Details:

• DSGVO: Regelt den Schutz personenbezogener Daten innerhalb der EU und deren Übertragung außerhalb der EU.
• Angemessenheitsbeschlüsse: EU-Kommission prüft, ob Drittland vergleichbares Datenschutzniveau bietet.
• Standardvertragsklauseln: Vertragsklauseln zur Sicherstellung angemessenen Datenschutzniveaus bei Datenübertragungen.
• Privacy Shield: Gestattete Datenübertragung zwischen EU und USA unter bestimmten Datenschutzbedingungen. Inzwischen durch Schrems II-Urteil ungültig.
• Bindende Unternehmensregeln (BCRs): Interne Datenschutzvorschriften für multinationale Unternehmen für Datenübertragungen außerhalb der EU.