Datenschutz für Softwareentwicklung und IT - Eine praxisorientierte Einführung
von: Ralf Kneuper
Springer Vieweg, 2021
ISBN: 9783662630877
Sprache: Deutsch
225 Seiten, Download: 3903 KB
Format: PDF, auch als Online-Lesen
Vorwort | 5 | ||
Danksagung | 9 | ||
Inhaltsverzeichnis | 11 | ||
Über den Autor | 15 | ||
Abkürzungsverzeichnis | 16 | ||
1 Einführung | 17 | ||
1.1 Grundbegriffe des Datenschutzes | 17 | ||
1.2 Gesetzliche Grundlagen | 21 | ||
1.2.1 Die Datenschutz-Grundverordnung (DSGVO) | 22 | ||
1.2.2 Das deutsche Bundesdatenschutzgesetz (BDSG) | 23 | ||
1.2.3 Das österreichische Datenschutzgesetz (DSG) | 24 | ||
1.2.4 Das Schweizer Bundesgesetz über den Datenschutz (DSG) | 25 | ||
1.2.5 Die ePrivacy-Richtlinie und die ePrivacy-Verordnung der EU | 26 | ||
1.2.6 Datenschutzgesetze in den USA | 27 | ||
1.2.7 Die Data Protection Bill im Vereinigten Königreich | 28 | ||
1.3 Andere Referenzmodelle | 28 | ||
1.4 Datenschutz und Softwareanforderungen | 31 | ||
2 Allgemeine Grundlagen des Datenschutzes nach DSGVO | 34 | ||
2.1 Die europäische Datenschutzgrundverordnung (DSGVO) | 34 | ||
2.1.1 Grundbegriffe und Aufbau | 34 | ||
2.1.2 Anwendungsbereich der DSGVO | 36 | ||
2.2 Personenbezogene Daten | 39 | ||
2.2.1 Definition personenbezogener Daten | 39 | ||
2.2.2 Besondere Kategorien personenbezogener Daten | 40 | ||
2.2.3 Metadaten | 41 | ||
2.3 Identifizierbarkeit, Pseudonymisierung und Anonymisierung | 42 | ||
2.4 Rollen im Datenschutz | 48 | ||
2.5 Grundsätze des Datenschutzes nach DSGVO | 51 | ||
2.5.1 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz | 51 | ||
2.5.2 Zweckbindung | 55 | ||
2.5.3 Datenminimierung | 56 | ||
2.5.4 Richtigkeit | 56 | ||
2.5.5 Speicherbegrenzung | 57 | ||
2.5.6 Integrität und Vertraulichkeit | 58 | ||
2.5.7 Rechenschaftspflicht | 58 | ||
2.6 Rechte der Betroffenen | 59 | ||
2.7 Weitere Vorgaben zum Datenschutz nach DSGVO | 63 | ||
2.7.1 Technische und organisatorische Maßnahmen (TOM) | 63 | ||
2.7.2 Datenschutz durch Technikgestaltung | 63 | ||
2.7.3 Datenschutzfreundliche Voreinstellungen | 64 | ||
2.7.4 Zusammenarbeit mehrerer Beteiligter | 64 | ||
2.7.5 Verzeichnis von Verarbeitungstätigkeiten | 66 | ||
2.7.6 Meldung von Datenschutzverletzungen | 68 | ||
2.7.7 Datenschutz-Folgenabschätzung (DSFA) | 69 | ||
2.7.8 Datenschutzbeauftragte | 71 | ||
2.7.9 Zertifizierung | 73 | ||
2.7.10 Aufsichtsbehörden | 73 | ||
2.8 Konsequenzen bei Nicht-Beachtung | 74 | ||
3 Grundsätze des Datenschutzes und deren Umsetzung | 78 | ||
3.1 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz | 78 | ||
3.1.1 Rechtmäßigkeit der Verarbeitung | 79 | ||
3.1.2 Einwilligung | 79 | ||
3.1.3 Andere Rechtsgrundlagen | 83 | ||
3.1.4 Verarbeitung nach Treu und Glauben | 84 | ||
3.1.5 Transparenz | 84 | ||
3.1.6 Rechtmäßigkeit und Transparenz bei Webpräsenzen und Online-Marketing | 84 | ||
3.2 Zweckbindung | 91 | ||
3.2.1 Anforderungen | 91 | ||
3.2.2 Softwaretest mit Originaldaten | 92 | ||
3.2.3 Datenanalyse, Big Data und maschinelles Lernen | 97 | ||
3.3 Datenminimierung | 97 | ||
3.4 Richtigkeit | 99 | ||
3.5 Speicherbegrenzung | 99 | ||
3.5.1 Umsetzung in Softwareentwicklung und IT | 100 | ||
3.5.2 Aufbewahrungsfristen und Löschkonzepte | 103 | ||
3.5.3 Beispiel: Blockchain | 109 | ||
3.6 Integrität und Vertraulichkeit | 111 | ||
3.7 Rechenschaftspflicht | 111 | ||
4 Rechte der Betroffenen und deren Umsetzung | 114 | ||
4.1 Transparente Information und Auskunftsrechte | 114 | ||
4.1.1 Informationspflichten und Auskunftsrechte | 115 | ||
4.1.2 Authentifizierung von Betroffenen | 119 | ||
4.1.3 Transparenz und Datenschutzerklärung bei Webpräsenzen | 120 | ||
4.2 Recht auf Berichtigung | 122 | ||
4.3 Recht auf Löschung | 122 | ||
4.4 Recht auf Einschränkung der Verarbeitung (Sperrung) | 125 | ||
4.5 Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung der Verarbeitung | 126 | ||
4.6 Recht auf Datenübertragbarkeit | 126 | ||
4.7 Widerspruchsrecht | 128 | ||
4.8 Automatisierte Einzelfallentscheidungen | 130 | ||
5 Austausch von Daten zwischen Beteiligten | 131 | ||
5.1 Rahmenbedingungen für den Austausch von personenbezogenen Daten | 131 | ||
5.2 Auftragsverarbeitung | 134 | ||
5.3 Gemeinsame Verantwortlichkeit | 136 | ||
5.4 Übermittlung personenbezogener Daten in Drittländer | 137 | ||
5.5 Nutzung von Cloud-Diensten | 140 | ||
6 Technische und organisatorische Gestaltung des Datenschutzes | 144 | ||
6.1 Technische und organisatorische Maßnahmen (TOM) | 144 | ||
6.2 Organisatorische Regelungen | 147 | ||
6.2.1 Grundregeln | 147 | ||
6.2.2 Umgang mit Datenschutzverletzungen | 148 | ||
6.2.3 Schulung und Verpflichtung der Mitarbeiter | 151 | ||
6.3 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen | 152 | ||
6.3.1 Datenschutz durch Technikgestaltung | 152 | ||
6.3.2 Datenschutzfreundliche Voreinstellungen | 153 | ||
6.3.3 Privacy by Design nach Cavoukian | 154 | ||
6.4 Das Standard-Datenschutzmodell | 155 | ||
6.5 Anonymisierung von Daten | 157 | ||
6.5.1 Grundbegriffe | 157 | ||
6.5.2 Vorgehensweise zur Anonymisierung | 160 | ||
6.5.3 Anonymisierung auf Basis von Anonymitätsmodellen | 165 | ||
6.5.4 k-Anonymität | 166 | ||
6.5.5 Differentielle Privatheit (Differential Privacy) | 167 | ||
6.6 Einbettung des Datenschutzes in den Software-Lebenszyklus | 170 | ||
6.6.1 Analyse | 171 | ||
6.6.2 Design und Architektur | 172 | ||
6.6.3 Implementierung | 174 | ||
6.6.4 Test und Abnahme | 174 | ||
6.6.5 Übernahme in den IT-Betrieb | 175 | ||
6.6.6 IT-Betrieb | 175 | ||
6.6.7 Änderungsmanagement | 176 | ||
6.6.8 Außerdienststellung | 177 | ||
6.6.9 Agile Entwicklung | 177 | ||
6.7 Datenschutz bei Plattformen und Software-Ökosystemen | 179 | ||
7 Grundbegriffe der IT-Sicherheit | 183 | ||
7.1 IT-Sicherheit | 183 | ||
7.2 IT-Sicherheitsmanagement | 185 | ||
7.3 Identifikation, Authentifizierung und Autorisierung | 186 | ||
7.3.1 Identifikation | 186 | ||
7.3.2 Authentifizierung | 187 | ||
7.3.3 Autorisierung | 193 | ||
7.4 Verschlüsselung | 193 | ||
7.4.1 Grundbegriffe | 194 | ||
7.4.2 Sicherheit der Verschlüsselungsverfahren | 194 | ||
7.4.3 Symmetrische und asymmetrische Verschlüsselung | 195 | ||
7.4.4 Kryptografische Hash-Funktionen | 198 | ||
7.4.5 Langfristiger Schutz von personenbezogenen Daten | 200 | ||
7.4.6 Ausblick: Quantencomputing und Post-Quanten-Kryptologie | 200 | ||
7.4.7 Sicherer Datenaustausch | 201 | ||
Literatur | 204 | ||
8 Datenschutz innerhalb einer IT-Organisation | 205 | ||
8.1 Softwareentwickler und IT als Betroffene des Datenschutzes | 205 | ||
8.2 Umsetzung des Datenschutzes innerhalb einer IT-Organisation | 208 | ||
8.3 Selbstdatenschutz | 209 | ||
A Auszüge aus wichtigen Datenschutzgesetzen | 211 | ||
A.1 Charta der Grundrechte der Europäischen Union | 211 | ||
A.2 Datenschutz-Grundverordnung (DSGVO) | 211 | ||
A.3 Links zu relevanten Gesetzestexten | 215 | ||
Glossar | 216 | ||
Stichwortverzeichnis | 218 |