Datenschutz
Kurz erklärt: Datenschutz
Datenschutz soll den Einzelnen davor schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Mit Datenschutz wird daher der Schutz personenbezogener Daten vor etwaigem Missbrauch durch Dritte bezeichnet (nicht zu verwechseln mit Datensicherheit).
Für den Begriff "Datenschutz" existieren zwei englische Übersetzungen: Dabei bezeichnet "data protection" den Datenschutz als Rechtsbegriff. "Privacy" zielt dagegen auf die gesellschaftliche Lebensweise ab (Schutz der Privatsphäre) und wird überwiegend im amerikanischen Sprachumfeld und mittlerweile auch im EU-Raum vermehrt genutzt.
Gewährleistungsziele des Datenschutzes
Als Gewährleistungsziele gelten die Sicherung der Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit, Nicht-Verkettung von personenbezogenen Verfahren, ergänzt um die übergreifende Anforderung der "Datenminimierung". Diese Gewährleistungsziele sind vollständig in Art. 5 der DS-GVO verankert. Die zusätzliche Anforderung "Belastbarkeit" aus Art. 32, Abs. 1 lit b fordert bestimmte Eigenschaften ein, die die aus den vorgenannten Gewährleistungszielen abgeleiteten funktionalen Anforderungen sowie die Schutzmaßnahmen für die Verarbeitungstätigkeiten erfüllen müssen.
Die Gewährleistungsziele der Datensicherheit
Gewährleistungsziele spielen seit Ende der 1980er Jahre unter dem Begriff Schutzziele eineRolle in der Gestaltung technischer Systeme, deren Sicherheit gewährleistet werden soll. Zu den „klassischen“ Gewährleistungszielen der Datensicherheit zählen:
1. Verfügbarkeit,
2. Integrität und
3. Vertraulichkeit.
(1) Das Gewährleistungsziel Verfügbarkeit bezeichnet die Anforderung, dass personenbezogeneDaten zur Verfügung stehen müssen und ordnungsgemäß im vorgesehenen Prozess verwendet werden können. Dazu müssen sie im Zugriff von Berechtigten liegen und die vorgesehenenMethoden zu deren Verarbeitung müssen auf sie angewendet werden können. Das setzt voraus, dass die Methoden mit den vorliegenden Datenformaten umgehen können.Die Verfügbarkeit umfasst die konkrete Auffindbarkeit von Daten (z. B. mit Hilfe von Adressverzeichnissen, Geschäfts- oder Aktenzeichen), die Fähigkeit der verwendeten technischen Systeme, Daten auch für Menschen zugänglich angemessen darzustellen und die inhaltliche Interpretierbarkeit der Daten (ihre semantische Erfassbarkeit).
(2) Das Gewährleistungsziel Integrität bezeichnet einerseits die Anforderung, dass informationstechnische Prozesse und Systeme die Spezifikationen kontinuierlich einhalten, die zur Ausübung ihrer zweckbestimmten Funktionen für sie festgelegt wurden. Integrität bezeichnet andererseits die Eigenschaft, dass die zu verarbeitenden Daten unversehrt, vollständig und aktuell bleiben. Abweichungen von diesen Eigenschaften müssen ausgeschlossen werden oder zumindest feststellbar sein, damit sie berücksichtigt bzw. korrigiert werden können. Integrität wird zudem als eine Form der Richtigkeit im Sinne des Art. 5 Abs. 1 lit. d DSGVO verstanden, woraus der Anspruch resultiert, dass zwischen der rechtlich-normativen Anforderung und der gelebten Praxis eine hinreichende Deckung besteht, sowohl in Bezug auf technische Details wie auch im großen Zusammenhang der Verarbeitung und dessen Zwecksetzung insgesamt.
(3) Das Gewährleistungsziel Vertraulichkeit bezeichnet die Anforderung, dass keine unbefugte Person personenbezogene Daten zur Kenntnis nehmen kann. Unbefugte sind nicht nur Dritte außerhalb der verantwortlichen Stelle, mögen sie mit oder ohne kriminelle Absicht handeln, sondern auch Beschäftigte von technischen Dienstleistern, die zur Erbringung der Dienstleistung keinen Zugriff zu personenbezogenen Daten benötigen, oder Personen in Organisationseinheiten, die keinerlei inhaltlichen Bezug zu einer Verarbeitungstätigkeit oder zu der oder dem jeweiligen Betroffenen haben.
Diese Ziele decken sich mit denen der Informationssicherheit!
Auf den Schutz Betroffener ausgerichtete Gewährleistungsziele
Die folgenden, auf den spezifischen Schutzbedarf natürlicher Personen ausgerichteten Datenschutz-Gewährleistungsziele geben die datenschutzrechtlichen Anforderungen in einer praktisch umsetzbaren Form wieder:
4. Nichtverkettung,
5. Transparenz und
6. Intervenierbarkeit.
(4) Das Gewährleistungsziel Nichtverkettung bezeichnet die Anforderung, dass personenbezogene Daten nicht zusammengeführt, also verkettet, werden dürfen. Eine Zusammenführung darf nur dann erfolgen, wenn die in Art. 5 Abs. 1 lit. b DS-GVO normierte Anforderung beachtet wird, dass Daten nur für den Zweck verarbeitet und ausgewertet werden, für den sie erhoben werden.
Datenbestände sind prinzipiell dazu geeignet, für weitere Zwecke eingesetzt zu werden und mit anderen, unter Umständen öffentlich zugänglichen Daten kombiniert zu werden. Je größer und aussagekräftiger Datenbestände sind, umso größer können die Begehrlichkeiten sein, die Daten, über die ursprüngliche Rechtsgrundlage hinaus, zu nutzen. Rechtlich zulässig sind derartige Weiterverarbeitungen nur unter eng definierten Umständen. Art. 6 Abs. 4 DSGVO lässt Verarbeitungen nur zu auf Basis einer fortdauernden Einwilligung der Betroffenen nach Benachrichtigung, auf Basis einer Rechtsvorschrift für Zwecke nach Art. 23 Abs. 1 DSGVO, für kompatible Zwecke, die nach den Kriterien des Art. 6 Abs. 4 DS-GVO bestimmt wurden, sowie insbesondere für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke und fordert für diese Fälle ausdrücklich Garantien für die Rechte und Freiheiten der betroffenen Personen.
Diese Garantien sollen durch technische und organisatorische Maßnahmen sichergestellt werden. Neben Maßnahmen zur Datenminimierung und zur Pseudonymisierung sind hierfür auch Maßnahmen geeignet, mit denen die Weiterverarbeitung organisations- bzw. systemseitig getrennt von der Ursprungsverarbeitung geschieht. Der Datenbestand kann bspw. durch Pseudonymisierung und Reduzierung auf den für den neuen Zweck erforderlichen Umfang angepasst werden.
(5) Das in Art. 5 Abs. 1 lit. a DS-GVO genannte Gewährleistungsziel Transparenz bezeichnet die Anforderung, dass in einem unterschiedlichen Maße sowohl Betroffene, als auch die Betreiber von Systemen sowie zuständige Kontrollinstanzen erkennen können, welche Daten für welchen Zweck bei einer Verarbeitungstätigkeit erhoben und verarbeitet werden, welche Systeme und Prozesse dafür genutzt werden, wohin die Daten zu welchem Zweck fließen und wer die rechtliche Verantwortung für die Daten und Systeme in den verschiedenen Phasen einer Datenverarbeitung besitzt. Transparenz ist für die Beobachtung und Steuerung von Daten, Prozessen und Systemen von ihrer Entstehung bis zu ihrer Löschung erforderlich und eine Voraussetzung dafür, dass eine Datenverarbeitung rechtskonform betrieben und in diese, soweit erforderlich, von Betroffenen informiert eingewilligt werden kann. Transparenz der gesamten Datenverarbeitung und der beteiligten Instanzen kann dazu beitragen, dass insbesondere Betroffene und Kontrollinstanzen Mängel erkennen und ggf. entsprechende Änderungen an der Verarbeitung einfordern können.
(6) Das Gewährleistungsziel Intervenierbarkeit bezeichnet die Anforderung, dass den Betroffenen die ihnen zustehenden Rechte auf Benachrichtigung, Auskunft, Berichtigung, Sperrung und Löschung jederzeit wirksam gewährt und die verarbeitende Stelle verpflichtet ist, die entsprechenden Maßnahmen umzusetzen. Dazu müssen die für die Verarbeitungsprozesse verantwortlichen Stellen jederzeit in der Lage sein, in die Datenverarbeitung vom Erheben bis zum Löschen der Daten einzugreifen.
Quelle(n): https://www.datenschutzzentrum.de/uploads/sdm/SDM-Methode_V1.1.pdf