Privacy by Design - Datenschutz durch Technikgestaltung

Zu den Prinzipien der DSGVO zählen „least privilege“ (PoLP) und „need to know“ (N2K) – anders gesagt:

So wenig wie möglich, so viel wie nötig.

Damit ein System diese Prinzipien unterstützen kann, ist bereits bei der Auswahl oder Konzeption des Systems darauf zu achten, dass folgende Grundsätze eingehalten werden können:

Minimize: Es werden nur die Daten erfasst, die auch gebraucht werden.
Nicht mehr gebrauchte Daten werden (automatisch) gelöscht.
Hide: Bei der Datenübertragung kommt Verschlüsselung zum Einsatz.
Nur befugte Personen erhalten Zugriff.
Separate: Daten verschiedener Informationssysteme werden getrennt voneinander verarbeitet.
Aggregate: Daten werden auf dem höchsten Aggregationsniveau und gleichzeitig dem geringstmöglichen Detailgrad verarbeitet.
Inform: Betroffene sollten angemessen informiert werden, wann immer ihre personenbezogenen Daten verarbeitet werden.
Control: Betroffene sollten Kontrolle über die Verarbeitung ihrer personenbezogenen Daten erhalten.
Enforce: Eine Datenschutzrichtlinie inkl. Data-Breach-Prozess ist umgesetzt.
Demonstrate: Die Einhaltung der Datenschutzrichtlinie kann nachgewiesen werden.

Privacy by Default - Datenschutzfreundliche Voreinstellungen

Ein System muss nicht nur die oben genannten Kriterien erfüllen, die Voreinstellungen müssen so gewählt sein, dass das größtmögliche Schutzniveau der Daten gegeben ist.

Links

Data Breach

IT-Sicherheitsvorfall

Stand der Technik in der IT-Sicherheit

CERT.at

IKT-Sicherheitsportal

Cyber Security Austria

Meldestelle Kinderpornografie

Meldestelle Hass & rassistische Diskriminierung