Datenschutz, Compliance und Informationssicherheit - Cheatsheet

Datenschutzgesetze und -verordnungen, wie die DSGVO

Definition:

Datenschutzgesetze und -verordnungen, wie die DSGVO, regulieren die Erhebung, Speicherung, Nutzung und Weitergabe personenbezogener Daten durch Organisationen, um den Schutz der Privatsphäre zu gewährleisten.

Details:

• DSGVO (EU-Datenschutz-Grundverordnung): Gilt für alle Unternehmen, die Daten von EU-Bürgern verarbeiten, unabhängig vom Standort des Unternehmens
• Erlaubt Rechte wie Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung (Recht auf Vergessenwerden)
• Strenge Vorschriften für Datensicherheit und Meldepflichten bei Datenpannen
• Bußgelder bei Nichteinhaltung können bis zu 4 % des weltweiten Jahresumsatzes betragen
• Erfordert die Implementierung von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Prinzipien der Datensparsamkeit und Datenminimierung

Definition:

Definition und Erklärung des Themas - Prinzipien der Datensparsamkeit und Datenminimierung betonen die Notwendigkeit, nur die unbedingt erforderlichen personenbezogenen Daten zu erheben und zu verarbeiten.

Details:

• Datensparsamkeit: Vermeidung der Erhebung unnötiger Daten.
• Datenminimierung: Minimierung der Datenmenge und -umfang auf das erforderliche Maß.
• Bezug zur DSGVO: Art. 5(1)(c) verlangt, dass Daten auf das notwendige Maß beschränkt werden.
• Methoden: Anonymisierung, Pseudonymisierung und aggregierte Daten.
• Ziele: Schutz der Privatsphäre, Reduzierung von Risiken bei Datenschutzverletzungen.

Rechte der betroffenen Personen

Definition:

Rechte, die natürlichen Personen zustehen, deren personenbezogene Daten verarbeitet werden.

Details:

• Auskunftsrecht nach Art. 15 DSGVO: Betroffene haben das Recht, eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden.
• Recht auf Berichtigung nach Art. 16 DSGVO: Unrichtig oder unvollständig verarbeitete Daten können berichtigt werden.
• Recht auf Löschung (Recht auf Vergessenwerden) nach Art. 17 DSGVO: Unter bestimmten Bedingungen können personenbezogene Daten gelöscht werden.
• Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO: Verarbeitung kann unter bestimmten Bedingungen eingeschränkt werden.
• Recht auf Datenübertragbarkeit nach Art. 20 DSGVO: Daten können in einem strukturierten, gängigen und maschinenlesbaren Format verlangt werden.
• Widerspruchsrecht nach Art. 21 DSGVO: Verarbeitung der personenbezogenen Daten kann widersprochen werden, wenn sie auf Basis von Art. 6 Abs. 1 lit. e oder f erfolgt.
• Recht, nicht einer automatisierten Entscheidung unterworfen zu werden nach Art. 22 DSGVO: Es besteht Schutz vor Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche Folgen haben.

Übersicht über nationale und internationale Datenschutzgesetze

Definition:

Überblick über die wichtigsten Datenschutzgesetze auf nationaler und internationaler Ebene.

Details:

• DSGVO (EU): Regelt Datenschutz in der EU, gilt seit Mai 2018.
• BDSG (Deutschland): Ergänzt und präzisiert die DSGVO in Deutschland.
• CCPA (Kalifornien): Stärkt die Datenschutzrechte der Verbraucher in Kalifornien.
• GDPR (EU): Allgemeine Datenschutz-Grundverordnung, harmonisiert Datenschutzgesetze in der EU.
• Privacy Shield: Ehemaliger Datenschutzrahmen für transatlantische Datentransfers, wurde für ungültig erklärt.

Definition und Bedeutung von IT-Compliance

Definition:

Einhaltung gesetzlicher, regulatorischer und unternehmensinterner Anforderungen an IT und deren Nutzung.

Details:

• Einhaltung von Datenschutzrichtlinien (z.B. DSGVO)
• Gewährleistung der Informationssicherheit
• Vermeidung von rechtlichen Sanktionen und Strafen
• Sicherstellung einer sicheren und regelkonformen IT-Infrastruktur

Sicherheitsrichtlinien und -verfahren

Definition:

Regeln und Maßnahmen zum Schutz von Informationssystemen.

Details:

• Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten
• Richtlinien: z.B. Passwort-Richtlinien, Zugriffskontrollen
• Verfahren: z.B. Backup-Prozesse, Verschlüsselung
• Compliance: Einhaltung gesetzlicher und regulatorischer Vorgaben
• Schulungen und Sensibilisierung der Mitarbeiter
• Regelmäßige Überprüfung und Aktualisierung

Methoden zur Risikobewertung in der IT

Definition:

Ansätze zur Einschätzung von Bedrohungen und Schwachstellen in IT-Systemen. Ziel: Risiko für Sicherheitsvorfälle bewerten und geeignete Maßnahmen entwickeln.

Details:

• Zwei Hauptmethoden: Qualitative und Quantitative Risikobewertung
• Qualitative Bewertung: Szenarien analysieren, Schweregrad und Wahrscheinlichkeit qualitativ einstufen
• Quantitative Bewertung: Statistische Methoden, Kosten-Nutzen-Analysen
• Tools: Risiko-Matrix, Monte-Carlo-Simulation, Fault Tree Analysis (FTA)
• Normen und Standards: ISO 27005, NIST SP 800-30

Best Practices für den Datenschutz und Fallstudien

Definition:

Best Practices und Fallstudien für Datenschutz in Informatik: Methoden und Beispiele zur sicheren Datenverarbeitung, um gesetzliche Anforderungen und Compliance zu erfüllen.

Details:

• Sicherheitsrichtlinien regelmäßig aktualisieren und implementieren
• Verschlüsselung von Daten im Ruhezustand und bei Übertragung
• Regelmäßige Schulungen der Mitarbeiter zu Datenschutzthemen
• Durchführung von Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments, DPIAs)
• Beispiele: Datenschutzvorfall in einem großen Unternehmen und Abhilfemaßnahmen, Best Practices im Umgang mit personenbezogenen Daten im Gesundheitswesen
• Relevante Gesetze und Vorschriften: DSGVO, BDSG
• Technische Maßnahmen: Firewalls, VPN, Zwei-Faktor-Authentifizierung
• Organisatorische Maßnahmen: Datenschutzbeauftragter, Dokumentation von Verarbeitungsaktivitäten