Vorlesung 4 Flashcards
Ab wann besteht die Pflicht zur Benennung eines Datenschutzbeauftragten?
Bestellpflicht nach § 38 Abs. 1 Satz 1 BDSG (Bundesdatenschutzgesetz):
– Verantwortliche und Auftragsverarbeiter müssen einen
Datenschutzbeautragten beschäftigen, »soweit sie in der Regel
mindestens zehn Personen ständig mit der automatisierten Verarbeitung
personenbezogener Daten beschätigen.«
Wie hat ein Unternehmen zu reagieren bei Datenschutzverletzungen?
- unverzüglich und möglichst binnen 72 Stunden der Aufsichtsbehörde zu melden, außer es führt nicht zu einem Risiko der Rechte und Freiheiten natürlicher Personen
- Information der Betroffenen
- Information der Öffentlichkeit (ggf. über Anzeigen)
Was ist die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO?
- Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten bei erhöhtem Risiko
- Rat des DSB einholen
- erforderlich bei Bewertung persönlicher Aspekte, Verarbeitung besonderer Kategorien, Überwachung öffentl. Bereiche
Was enthält eine Datenschutz-Folgenabschätzung?
- systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke
- Bewertung der Notwendigkeit und Verhältnismäßigkeit
- Bewertung der Risiken
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren
Wie ist das Vorgehen bei einer Datenschutz-Folgenabschätzung gemäß Kurzpapier Nr. 5 der Datenschutzkonferenz?
- Modellierung der Risikoquellen
- Risikobeurteilung
- Auswahl geeigneter Abhilfemaßnahmen
- Erstellung des Datenschutz-Folgenabschätzungs-Berichts
Was ist IT-Sicherheit?
IT-Sicherheit = Schutz der Daten:
-versucht die Daten gegen Angriffe und unbeabsichtigte Ereignisse zu schützen
Was ist Datenschutz?
Datenschutz = Schutz der Menschen:
- Recht des Einzelnen auf informationelle Selbstbestimmung, Einzelner soll selbst über die Preisgabe und Verwendung persönlicher Daten bestimmen
- Organisation hat technisch-organisatorische Maßnahmen zu treffen, um dieses Recht zu gewährleisten
Wie sind IT-Sicherheit und Datenschutz miteinander verbunden?
Beide schützen:
- Schutz der Vertraulichkeit
- Integrität
- Verfügbarkeit
Was ist Art. 25 (1) Privacy by Design - Datenschutz durch Technikgestaltung?
- Berücksichtigung des Stands der Technik, Implementierungskosten, Umstände, Zwecke, Eintrittswahrscheinlichkeiten, Risiken
- geeignete technisch organisatorische Maßnahmen zur Umsetzung der Datenschutzgrundsätze und zur Durchsetzung der Betroffenenrechte
Was sind die Datenschutzgrundsätze?
- Transparenz
- Zweckbindung
- Datensparsamkeit
- Datensicherheit
Was ist Art. 25 (2) Privacy by Default - datenschutzfreundliche Voreinstellungen?
Beschränkung durch fest eingebaute Funktionalität:
- Beschränkung auf Verarbeitungszweck
- Beschränkung des Umfangs
- beschränkung auf Speicherfristen
- Beschränkung der Zugänglichkeit
Was ist Art. 32 (1) Sicherheit der Verarbeitung?
Geeignete technisch-organisatorische Maßnahmen
- zur Pseudonymisierung und Verschlüsselung
- zur Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit
- zur Wiederherstellung der Verfügbarkeit nach Zwischenfällen
- zur Überprüfung, Bewertung und Evaluierung der technisch-organisatorischen Maßnahmen
Was berücksichtigt man immer wenn der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen muss um angemessenes Schutzniveau zu gewährleisten?
- Stand der Technik
- Implementierungskosten
- Art, Umfang, Umstände, Zwecke
- Risiko
- technisch-organisatorische Maßnahmen
Wie sind Art, Umfang, Umstände und Zwecke bei Privacy by Design?
- Verbot mit Erlaubnisvorbehalt: Einwilligung oder gesetzliche Befugnis nötig
- Erforderlichkeit: muss notwendig sein, nicht nur nützlich
- Direkterhebung: Erhebung nur beim Betroffenen und mit seiner Kenntnis, Ausnahmen nur, wenn diese gesetzlich geregelt sind
In welcher Reihenfolge funktioniert das Risikomanagement bei Privacy by Design?
Identifikation->Bewertung->Steuerung->Überwachung->
Risiko = Eintrittswahrscheinlichkeit * Schadenshöhe
Wie geschieht bei der Identifikation von Bedrohungen beim Risikomanagemeht bei Privay by Design?
Welche Bedrohungen sind relevant?
Methoden & Werkzeuge:
- Checklisten und Workshops
- Fehler- und Angriffsbäume
- Szenarioanalysen
- Historische Daten
Herausforderungen:
-Vollständige Erfassung aller Bedrohungen
Was geschieht bei der Bewertung von Risiken beim Risikomanagement bei Privacy by Design?
Wie groß sind Eintrittswahrscheinlichkeit und Schadenshöhe eines potentiellen Schadensereignisses?
Methoden & Werkzeuge:
- Qualitative Bewertung
- Quantitative Bewertung
- Spieltheorie
- Maximalwirkungsanalyse
Herausforderungen:
- Abhängigkeit von den Assets
- Strategische Angreifer
- Korrelationen
- Quantifizierbarkeit
Was geschieht bei der Steuerung von Risiken beim Risikomanagement bei Privacy by Design?
Welche Risiken sollen behandelt werden?
Methoden:
- Risikovermeidung
- Risikobehandlung
- Risikoüberwälzung
- Risikoakzeptanz
Herausforderungen:
- Komplexität der Problemstellung
- Finden von geeigneten Musterlösungen
- Komposition eines sicheren Gesamtsystems aus sicheren Teillösungen
Was geschieht bei der Überwachung der Risiken und Maßnahmen beim Risikomanagement bei Privacy by Design?
Waren die Maßnahmen effektiv und effizient? Wie sicher ist die Organisation?
Methoden:
- Kennzahlen- und Scorecard-Systeme
- Return on Security Investment (ROSI)
Herausforderungen:
- richtigen Kennzahlen verwenden
- Kennzahlen richtig ermitteln
- Kennzahlen aktuell halten
Was ist Return on Security Investment (ROSI)?
- basiert auf dem ALE-Konzept (Annual Loss Expenditure)
- soll Analogie zum klassischen Return on Investment herstellen
- verschiedene Darstellungsformen und Weiterentwicklungen
->ROSI – Return on Security Investment – »Ersparnis« durch Abwenden der
wahrscheinlichen Schäden abzügl. der Kosten der Sicherheitsmaßnahmen
ROSI = Savings(Reduzierung der Schäden) - Total Costs (Kosten der Maßnahmen)
Wie ist die Reihenfolge des IT-Sicherheitsprozess in der Standard-Absicherung?
- Initiierung des IT-Sicherheitsprozesses (Verantwortung, Konzept, Planung, Erstellung der Leitlinie, Aufbau der Organisation)
- Erstellung einer Sicherheitskonzeption
- Umsetzung der Sicherheitskonzeption
- Aufrechterhaltung und kontinuierliche Verbesserung
Wie erstellt man eine IT-Sicherheitskonzeption?
- Strukturanalyse (Prozesse und Anwendungen erfassen)
- Schutzbedarfsanalyse
- Modellierung (Auswahl SIcherheitsanforderungen, Bausteins)
- IT-Grundschutz-Check (Teil 1 Soll-Ist-Vergleich)
(5. , bei hohem Risiko). Risikoanalyse - Konsolidierung und IT-Grundschutz Check (Teil 2 Soll-Ist-Vergleich)
Was ist die Methode des Standard Datenschutzmodells?
– Datenschutzberatung und -prüfung auf der Basis einheitlicher
Gewährleistungsziele
– Überprüfung der Übereinstimmung der gesetzlichen Anforderungen im
Umgang mit personenbezogenen Daten und der entsprechenden
Umsetzung dieser Vorgaben
Was sind die Schutzziele des Datenschutzmodells?
- Vertraulichkeit
- Integrität (keine unbefugte Modifikation)
- Verfügbarkeit
- Anonymität, Unbeobachtbarkeit
- Zurechenbarkeit, Rechtsverbindlichkeit
- Erreichbarkeit
Wodurch kann man Vertraulichkeit der Daten erreichen?
- Verschlüsselung
- Steganographie
Wodurch kann man Integrität der Daten erreichen?
- Message Authentification Codes
- Challenge-Response-Authentifikation
Womit kann man die Verfügbarkeit der Daten erreichen?
- Redundanz
- Diversität
Wie kann man Anonymität, Unbeobachtbarkeit der Daten erreichen?
- Web-Anonymisierer
- Remailer
- anonyme Zahlungssysteme
Wie kann man Zurechenbarkeit, Rechtsverbindlichkeit der Daten erreichen?
-digitale Signaturen
