Home / Aktuelles & Termine / it.sec blog

Das anstehende Inkraft-Treten der DSGVO im Mai 2018 hat die Bedeutung des Datenschutzes als unternehmenskritische Thematik in den Vordergrund gerückt.

Insbesondere für Unternehmen aus der Software-Branche ergeben sich daraus zahlreiche neue Herausforderungen. Bestehende Software muss im Hinblick auf die datenschutzrechtlichen Anforderungen der DSGVO evaluiert und ggf. angepasst werden; Kunden verlangen Compliance in Bezug auf abgebildete Prozesse und insbesondere die Verarbeitung personenbezogener Daten in der Software. Und nicht zuletzt – Software, die keine gesetzeskonforme Datenverarbeitung ermöglicht ist mangelhaft.

Art. 25 DSGVO fordert weiterhin explizit Datenschutz durch Technikgestaltung (‚Privacy by Design‘) sowie datenschutzfreundliche Voreinstellungen (‚Privacy by Default‘).

All diese Anforderungen gilt es, bereits im Software-Entwicklungsprozess nachhaltig zu verankern, um sowohl Qualität sicher zu stellen als auch um teure Nachbesserungen zu vermeiden.

Wie eine solche Implementierung aussehen kann, wird exemplarisch anhand der 5 Phasen des agilen Projektzyklus dargestellt:

1. Schritt: Erkennen. Verantwortlich: Product Owner, Projekt-Manager

Datenschutzrelevanz erkennen, Indikatoren hierfür sind bspw.

  • Personenbezogene Daten sind Bestandteil der User Story
  • Personenbezogene Daten werden an Dritte übermittelt
  • Big Data / Smart Data Bezug

2. Schritt: Beschreiben. Verantwortlich: Product Owner, Projekt-Manager, Datenschutzbeauftragter

Teil der User Story werden zwingend die datenschutzrechtlichen Anforderungen, bspw.

  • Datenschutzfreundliche Voreinstellungen
  • Datenverschlüsselung muss vorgesehen werden
  • Festlegung von Speicherfristen
  • Protokollierung von Zustimmungen
  • Rechte- / Rollenkonzept
  • Folgenabschätzung soweit erforderlich

3. Schritt: Umsetzen. Verantwortlich: Software-Developer

Die dem Stand der Technik entsprechende Umsetzung ist zu gewährleisten, bspw.

  • Anerkannte Richtlinien zur sicheren Software-Entwicklung (bspw. OWASP) werden berücksichtigt
  • Echtdaten müssen anonymisiert werden, bevor sie in Test- und Entwicklungssysteme gelangen
  • Einsatz anerkannter Verschlüsselungsverfahren

4. Schritt: Abnehmen. Verantwortlich: Product Owner, Projekt-Manager

Teil des Akzeptanz-Prozesses ist auch die Prüfung, ob die datenschutzrechtlichen Anforderungen korrekt umgesetzt wurden. Zusätzlich ist zu prüfen, ob das Verzeichnis der Verarbeitungstätigkeiten ergänzt oder modifiziert werden muss.

5. Schritt: Betreiben. Verantwortlich: IT-Operations, Kunde

Soweit die Software selbst betrieben wird, ist insbesondere zu beachten:

  • Sicherstellung von Verfügbarkeit und Belastbarkeit der Systeme
  • Definition eines Desaster Recovery Prozesses
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen technischen und organisatorischen Schutzmaßnahmen
  • Definition Backup-Prozess

Eine Umsetzung dieser Vorgehensweise hat sich in der Praxis als zuverlässige Methodik bewährt, setzt allerdings voraus, dass bei den Projektbeteiligten bereits eine Sensibilisierung für die Themen Datenschutz und Datensicherheit vorhanden ist. Insofern bietet es sich an, den Prozess im Rahmen einer Awareness-Kampagne zu etablieren.

Stephan A. Klein
Rechtsanwalt, Senior Consultant Datenschutz

Das Prinzip der datenschutzfreundlichen Technik (Privacy by Design und Privacy by Default) dient der Erhöhung der Datensicherheit der von einer Datenerhebung betroffenen Person. Die Datenschutzgrundverordnung (DSGVO) legt dieses Datenschutzprinzip als Schutzmaßnahme personenbezogener Daten in Art. 25 Abs. 1 DSGVO (Privacy by Design) und Art. 25 Abs. 2 DSGVO (Privacy by Default) fest.

Der Schutz der personenbezogenen Daten soll zum einen schon bei Entwicklung eines Datenverarbeitungssystems erreicht werden (Privacy by Design). Zum anderen sollen durch geeignete Voreinstellungen nur die absolut notwendigen Datenverarbeitungen mit der eingesetzten Technik getätigt werden (Privacy by Default).

Die Pflicht, diese zwei Prinzipien umzusetzen, gilt für jeden Verantwortlichen, der eine Software einsetzt bzw. nutzt. Das heißt, wenn ein Unternehmen beispielsweise einen Auftrag zur Erstellung einer mobilen Applikation erteilt, muss es dafür Sorge tragen, dass der Auftragnehmer sich bereits bei der Programmierung nach den Prinzipien Privacy by Design und Default richtet. Tut es dies nicht, droht ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2% des gesamten Jahresumsatzes des vergangenen Geschäftsjahres.

Doch eine Umsetzung der Prinzipien kann nicht nur ein Bußgeld verhindern, sondern auch tatsächliche Vorteile für ein Unternehmen generieren. Sofern bereits im Vorhinein die Prinzipien Privacy by Design und by Default berücksichtigt werden, muss nicht im Nachhinein eine ggf. kostspielige Anpassung des Systems erfolgen.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

20 Mitarbeiter 50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abstimmung Abwehr terroristischer Straftaten ADCERT AfD Airbnb Amnesty Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anonymisierung Anwendbarkeit Anwendung Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitszeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene Personen Betroffenendaten Betroffenenrechte BetrVG Bewegungsprofil Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesarbeitsgericht Bundesfinanzministerium Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgelder Bußgeldverfahren BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus COVID-19 CovidLock Malware Custom Audience Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit c`t Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzniveau Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsch deutsch Deutsche Bahn Deutsche Bundesbank Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen elektronische Kommunikation Empfänger Englisch Entlastung Entsorgung ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Union EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Finanzsektor Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Framework freiwillig fristlose Kündigung Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechtseingriffen Grundsatz der Zweckbindung H & M Hack hack day Hackathon hacken Hacker Hackerangriff hackfest halal Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hinweisgeber Höchstvermietungsdauer Home Office Home-Office Homeoffice Immobilienmakler Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Installation Integrität interner Datenschutzbeauftragter Intrusion-Prevention-Systeme Investition IP-Adresse IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Kommunikation Konferenz Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Konzern konzerninterner Datentransfer KoSIT Krankenkasse Kriminalität Kriminelle Krise KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Landesbeauftragte Landesdatenschutzbeauftragten Landesverband Laptop Lazarus Lebensweise Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Like-Button LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Lösegeld Machtposition Makler Malware Markennamen Markenrecht Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Microsoft Mieter Mietverhältnis Misch-Account Missbrauch von Kundendaten Mitarbeiter Mitbestimmung Mitbewerber Mitglieder Mitwirkung Mobiltelefon MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop OpenPGP Opfer Österreich Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer private Telefonnummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Profiling Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechtsabteilung rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiken Risiko Risikogruppen Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware Schüler Schulung schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Sitzungen Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standardvertragsklauseln Standort Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchmaschine Supercomputer Risikolage Support Swiss IT Security Gruppe Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TIBER TIBER-DE TKG TLS TMG TOM Totalrevision Tracking Tracking Tools Tracking-Tools Twitter Übergangsphase Übermittlung personenbezogener Daten Übernahme Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unzulässig Urteil US-Regierung USA UWG Vegan Vegetarier Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Verbraucher Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren C-311/18 Verlängerung verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Videokamera Videokonferenz Videoüberwachung Virus Vorsicht Vorteile Wachstum WAF WannaCry Web-Applikation-Firewalls Webcast Webseite Webseiten Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Weltanschauung Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wirklichkeitsmodell Wohnung X-Rechnung Youtube Zeiterfassung Zertifikat Zertifizierung Zoom Zugangsdaten Zugriff Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30