NAKIVO > Bloggen

Ein Leitfaden zur Datenschutz-Grundverordnung

Veröffentlicht am: März 5, 2024

Written by: NAKIVO Team

Datenschutz und Datensicherheit sind im vergangenen Jahr in einem zunehmend komplexen technologischen Kontext wieder in den Fokus gerückt. In der EU wurde über die Notwendigkeit einer „DSGVO 2.0” diskutiert, da die Cloud und KI ihre eigenen Herausforderungen für den Datenschutz mit sich bringen, von Modellen der geteilten Verantwortung bis hin zur Verarbeitung biometrischer Daten und der Verwendung von Gesichtserkennung.

Was ist also die DSGVO oder die Datenschutz-Grundverordnung, was umfasst sie und kann sie 12 Jahre nach ihrer ersten Ausarbeitung Antworten auf die heutigen Herausforderungen liefern? Werfen wir einen Blick auf den Zweck und die Anforderungen dieser Gesetzgebung und darauf, wie Sie durch Ihre Strategie zur Datensicherheit die Einhaltung sicherstellen können.

Back Up Directly to Cloud

Back Up Directly to Cloud

Avoid a single point of failure with NAKIVO by backing up virtual, cloud and physical workloads directly to the most popular clouds and other S3-compatible platforms.

DISCOVER SOLUTION

Was ist die DSGVO?

Die Die Datenschutz-Grundverordnung (DSGVO) ist ein Datenschutzgesetz, das regelt, wie Organisationen personenbezogene Daten von EU-Bürgern erheben, speichern, verarbeiten und teilen dürfen. Die DSGVO trat am 25. Mai 2018 in Kraft. Sie basiert auf Artikel 8 der EU-Grundrechtecharta zum Schutz personenbezogener Daten und stützt sich auf die „freiwillige Einwilligung” als Rechtsgrundlage für den Umgang mit personenbezogenen Daten.

Diese Verordnung zielt darauf ab, die Bestimmungen zur Datensicherheit in der gesamten Europäischen Union zu harmonisieren und die Datenschutzrechte der EU-Bürger unabhängig vom geografischen Standort der Organisation, die personenbezogene Daten verarbeitet, zu schützen.

Die wichtigsten Grundsätze der DSGVO

Die Datenschutz-Grundverordnung basiert auf sieben Grundsätzen, die die rechtmäßige Verarbeitung personenbezogener Daten regeln. Diese Grundsätze sind nicht nur Richtlinien, sondern rechtlich bindend und für die Einhaltung der DSGVO von zentraler Bedeutung. Sie verlangen von Organisationen, den Datenschutz in jeder Phase der Datenverarbeitung zu berücksichtigen, von der ersten Erhebung der Daten bis zu ihrer endgültigen Löschung oder Vernichtung.

  1. Rechtmäßigkeit, Fairness und Transparenz. Die Verarbeitung personenbezogener Daten muss eine Rechtsgrundlage haben, darf für die betroffenen Personen nicht irreführend oder nachteilig sein und muss gegenüber den Personen klar und offen sein, wie ihre Daten verwendet und verarbeitet werden.
  2. Zweckbindung. Daten müssen aus bestimmten, eindeutigen, ausdrücklichen und rechtmäßigen Gründen erhoben werden, und ihre Verwendung darf nicht im Widerspruch zum ursprünglichen Zweck stehen.
  3. Datenminimierung. Die erhobenen und verarbeiteten Daten müssen auf das für den vorgesehenen Zweck erforderliche Maß beschränkt sein.
  4. Richtigkeit. Personenbezogene Daten müssen sachlich richtig sein und erforderlichenfalls auf den neuesten Stand gebracht werden. Ungenaue Daten sollten unverzüglich berichtigt oder gelöscht werden.
  5. Speicherbegrenzung. Personenbezogene Daten dürfen nur in einem Format gespeichert werden, das die Identifizierung der betroffenen Personen für den zur Erfüllung des vorgesehenen Zwecks erforderlichen Zeitraum ermöglicht.
  6. Integrität und Vertraulichkeit (Sicherheit). Die Verarbeitung personenbezogener Daten sollte geeignete Maßnahmen zur Sicherheit umfassen, um sie vor unbefugter oder unrechtmäßiger Verarbeitung und Beschädigung zu schützen.
  7. Rechenschaftspflicht. Unternehmen müssen in der Lage sein, die erforderlichen Richtlinien und Verfahren zur Einhaltung der DSGVO anzuwenden und auf Anfrage nachweisen zu können, dass sie dies auch tatsächlich getan haben.

Definitionen und Terminologie der DSGVO

Nachfolgend finden Sie ein kurzes Glossar mit den wichtigsten Begriffen und Definitionen der DSGVO:

Personenbezogene Daten beziehen sich auf alle Informationen über eine Person, d. h. betroffene Person, die direkt oder indirekt identifiziert werden kann, beispielsweise durch ihren Namen, eine Identifikationsnummer, ihren Standort oder andere Identifikatoren, die mit ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität in Verbindung stehen.

Einwilligung ist jede „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene“ Willensbekundung der betroffenen Person , mit der sie einwilligt, dass ihre personenbezogenen Daten für den angegebenen Zweck verarbeitet werden.

Verantwortlicher ist eine Person oder Organisation, die für die Einhaltung der Grundsätze der DSGVO verantwortlich ist und die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Dies ist die Stelle, an die sich betroffene Personen wenden können, die ihre Rechte ausüben möchten. Die eigentliche Datenverarbeitung kann jedoch an eine andere Person oder Organisation delegiert werden, d. h. an den Datenverarbeiter.

Der Datenverarbeiter ist eine Person oder Organisation, die personenbezogene Daten im Auftrag des Datenverantwortlichen. Diese Partei unterliegt den Anweisungen des Datenverantwortlichen.

Die betroffene Person ist eine Person, die der Verarbeitung ihrer personenbezogenen Daten durch einen Datenverantwortlichen oder Datenverarbeiterzustimmt.

Verarbeitung ist jeder mit personenbezogenen Daten vorgenommene Vorgang, wie z. B. das Erheben, das Erfassen, die Organisation, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Weitergabe, die Sperrung oder Löschung sowie jede andere mit personenbezogenen Daten vorgenommene Handlung, die den von der DSGVO erfassten Optionen entspricht.

Recht auf Auskunft ist das Recht einer betroffenen Person , innerhalb von 1 Monat nach Eingang eines entsprechenden Antrags kostenlos Auskunft vom Verantwortlichen über ihre personenbezogenen Daten, deren Verarbeitung, den Zweck der Verarbeitung usw. zu erhalten.

Anforderungen und Herausforderungen der DSGVO-Konformität

Die DSGVO hat die Grundlage für robuste Standards der Datensicherheit geschaffen. Die Dynamik der Technologie führt jedoch zu Komplexitäten und testet die Grundprinzipien der EU-Datenschutzverordnung zunehmend.

Wer muss die DSGVO einhalten?

Innerhalb der EU. Jede Organisation, die personenbezogene Daten von Personen in der EU verarbeitet, unterliegt der DSGVO. Dazu gehören öffentliche und private Unternehmen, Regierungen, Wohltätigkeitsorganisationen und andere gemeinnützige Organisationen.

Außerhalb der EU. Die DSGVO gilt über die Grenzen der EU hinaus für alle Organisationen, die Waren oder Dienstleistungen für EU-Bürger bereitstellen oder deren Verhalten innerhalb der EU beobachten. Das bedeutet, dass ein Unternehmen mit Sitz irgendwo auf der Welt die DSGVO einhalten muss, wenn es Daten von EU-Bürgern verarbeitet.

Globale Internet- und Technologieunternehmen, einschließlich Social-Media-Plattformen, die Nutzer in der EU haben, sind verpflichtet, die DSGVO einzuhalten.

Technologieanbieter und geteilte Verantwortung

Mit der Verbreitung von SaaS, IaaS, PaaS und anderen Plattformen, die IT-Ressourcen und -Dienste über das Internet bereitstellen, kommt Technologieanbietern und Subunternehmern, die personenbezogene Daten verarbeiten, eine wichtige Rolle bei der Einhaltung der DSGVO zu. Wenn ein Unternehmen Dienste/Plattformen von Drittanbietern zur Verarbeitung oder Speicherung personenbezogener Daten nutzt, müssen auch diese Anbieter die DSGVO einhalten.

Beachten Sie, dass die meisten dieser Dienste auf einem Modell der geteilten Verantwortung basieren, bei dem:

  • Unternehmen als Dateneigentümer für ihre Daten verantwortlich sind und je nach Art des Dienstes auch für die Anwendungen und/oder Betriebssysteme verantwortlich sein können.
  • Anbieter sind für Server, Speicher, Netzwerke, physische Standorte usw. verantwortlich.

Gemäß der DSGVO sind Organisationen dafür verantwortlich, die Einwilligung einzuholen und sicherzustellen, dass die Daten für den vorgesehenen Zweck verwendet werden. Sie müssen auch sicherstellen, dass die Anbieter, denen sie die Verarbeitung personenbezogener Daten anvertrauen, dies in Übereinstimmung mit der Verordnung tun.

Einige der Herausforderungen, die Cloud Computing für private Daten mit sich bringt, beziehen sich auf:

  • potenzielle Lecks sensibler Informationen
  • die Kontrolle des Datenflusses zwischen verschiedenen Rechtsordnungen
  • Sicherstellung, dass Anbieter die gleichen Datenschutzverpflichtungen gegenüber den betroffenen Personen anwenden
  • Wirksame Umsetzung von Aufbewahrungsrichtlinien
  • Umgang mit Verstößen gegen den Datenschutz
  • Risikomanagement im Allgemeinen

DSGVO und KI

Der EU-Gesetz über künstliche Intelligenz, das weltweit erste Gesetz zur Regulierung von KI, soll 2025 in Kraft treten, um einige der neuen Herausforderungen für die Datenschutzrechte der EU-Bürger anzugehen. Es ist jedoch wichtig, heute bereits einige der Herausforderungen zu verstehen, denen Organisationen gegenüberstehen, die sich bei der Verarbeitung personenbezogener Daten auf KI verlassen:

  • Datenminimierung und Zweckbindung. KI stellt eine Herausforderung für Datenverantwortliche dar, die die Datenerhebung auf das unbedingt Notwendige und für einen bestimmten Zweck beschränken müssen.
  • Grenzüberschreitende Datenübermittlungen. KI und datengesteuerte Technologien werden häufig grenzüberschreitend eingesetzt. Dies kann strengere Kontrollen erfordern, um die Einhaltung der DSGVO sicherzustellen.
  • Automatisierte Entscheidungsfindung und Profiling. KI birgt das Risiko, dass Entscheidungen ohne menschliches Zutun auf der Grundlage der Verarbeitung personenbezogener Daten getroffen werden, wozu auch Profiling gehört. Diese Verwendung personenbezogener Daten ist gemäß der DSGVO stark eingeschränkt.

Wichtige Anforderungen zur Einhaltung der DSGVO

Für Organisationen, die die DSGVO einhalten müssen, gelten folgende allgemeine Anforderungen:

  • Maßnahmen zur Datensicherheit. Unternehmen müssen robuste Lösungen und Maßnahmen für die Datensicherheit implementieren, darunter Verschlüsselung, sichere Datenspeicherung und regelmäßige Sicherheitsaudits. Dazu gehört auch, die Auswirkungen der DSGVO zu berücksichtigen, wenn neue Technologien wie KI, Cloud Computing und Big-Data-Analysen eingeführt werden.
  • Einwilligungsmanagement. Organisationen müssen über klare Richtlinien verfügen, um vor der Verarbeitung personenbezogener Daten eine eindeutige, informierte und freiwillige Einwilligung einzuholen. Dazu gehört auch, dass klare Mechanismen für das Lebenszyklusmanagement personenbezogener Daten vorhanden sind.
  • Aufzeichnungen über die Datenverarbeitung. Es ist obligatorisch, detaillierte Aufzeichnungen über die Datenverarbeitungsaktivitäten zu behalten, aus denen hervorgeht, welche Daten zu welchem Zweck erhoben werden und wie sie verarbeitet und geschützt werden.
  • Datenschutzbeauftragter. Bestimmte Arten von Organisationen müssen möglicherweise einen Beauftragten für Datensicherheit ernennen, der die Einhaltung der DSGVO überwacht, insbesondere wenn sie mit sensiblen Daten arbeiten, die in großem Umfang verarbeitet werden.

Wie man die Anforderungen der DSGVO erfüllt

Die Erfüllung der Anforderungen der DSGVO ist keine einmalige Angelegenheit, sondern ein kontinuierlicher Prozess der Bewertung und Überwachung. Unternehmen müssen umfassende Maßnahmen ergreifen, die den Umgang mit personenbezogenen Daten, die Datensicherheit und die Wiederherstellung sowie die Sicherheit umfassen:

  • Daten verstehen und abbilden. Führen Sie eine gründliche Prüfung durch, um zu verstehen, welche personenbezogenen Daten erfasst werden, warum sie erfasst werden, wie sie verarbeitet werden, wo sie gespeichert werden und wie sie geteilt werden. Erstellen Sie eine Datenflusskarte, um den Weg personenbezogener Daten durch das Unternehmen zu verfolgen. Dies hilft bei der Identifizierung von Risikobereichen.
  • Stellen Sie eine rechtmäßige Grundlage für die Verarbeitung sicher. Bestimmen Sie die Rechtsgrundlage für die Verarbeitung personenbezogener Daten, z. B. Einwilligung, Vertrag, gesetzliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigte Interessen. Wenn Sie sich auf eine Einwilligung stützen, stellen Sie sicher, dass diese „freiwillig, spezifisch, informiert und eindeutig“ ist. Einwilligungsmechanismen sollten leicht verständlich sein und die Option bieten, die Einwilligung einfach zu widerrufen.
  • Implementieren Sie Datenschutzrichtlinien. Entwickeln oder aktualisieren Sie interne Datenschutzrichtlinien und -verfahren, um die Einhaltung der DSGVO sicherzustellen. Integrieren Sie Datensicherheit standardmäßig und von Anfang an in alle Geschäftsprozesse, Systeme und Dienste, die personenbezogene Daten beinhalten.
  • Minimieren Sie die Datenverarbeitung. Stellen Sie sicher, dass nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden und der Zugriff auf personenbezogene Daten auf diejenigen beschränkt ist, die diese benötigen.
  • Datenaufbewahrung. Die DSGVO verlangt von Organisationen, dass sie kritisch prüfen und verwalten, wie lange sie personenbezogene Daten aufbewahren, um sicherzustellen, dass Daten nicht länger als nötig behalten werden. Dies erfordert einen proaktiven Ansatz beim Datenmanagement mit klaren Richtlinien, regelmäßigen Überprüfungen und wirksamen Verfahren zum Löschen oder Anonymisieren von Daten, wobei die Einhaltung der DSGVO mit anderen gesetzlichen Anforderungen in Einklang gebracht werden muss.
  • Erleichterung der Rechte der betroffenen Personen. Richten Sie Verfahren ein, um den Rechten der betroffenen Personen gerecht zu werden, einschließlich Anträgen auf Datenzugriff, Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch gegen die Verarbeitung.
  • Planen Sie Maßnahmen zur Reaktion auf Datenverletzungen und zur Meldung solcher Vorfälle. Erstellen und implementieren Sie einen robusten Plan zur Reaktion auf Vorfälle mit einem Plan zur Reaktion auf Datenverletzungen. Seien Sie darauf vorbereitet, die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Datenverletzung zu benachrichtigen und in bestimmten Fällen die betroffenen Personen zu informieren.
  • Überprüfen Sie die Einhaltung der Vorschriften durch Anbieter und Datenverarbeiter. Stellen Sie sicher, dass alle Anbieter oder Datenverarbeiter, die mit den personenbezogenen Daten Ihres Unternehmens umgehen, ebenfalls die DSGVO einhalten.
  • Führen Sie kontinuierliche Bewertungen durch. Führen Sie regelmäßig Audits der Aktivitäten im Bereich der Datenverarbeitung durch und überprüfen Sie die Richtlinien, um die kontinuierliche Einhaltung der DSGVO sicherzustellen.
  • Achten Sie auf internationale Übermittlungen. Bei der Übermittlung von Daten außerhalb des EWR ist sicherzustellen, dass angemessene Schutzmaßnahmen getroffen werden, einschließlich Standardvertragsklauseln (SCCs) oder die Einhaltung einer Angemessenheitsentscheidung der Europäischen Kommission.
  • Behalten Sie Aufzeichnungen und Dokumentationen.. Führen Sie umfassende Aufzeichnungen über Datenverarbeitungsaktivitäten, einschließlich des Zwecks der Verarbeitung, der Datenkategorien und der Datenempfänger.

DSGVO und Datensicherheit

In Bezug auf Datensicherung und Disaster Recovery müssen Unternehmen sichere Prozesse zum Backup implementieren, um personenbezogene Daten zu schützen und die Einhaltung der DSGVO sicherzustellen . Dazu gehört die Bereitstellung von Datensicherheit Disaster Recovery-Lösungen, die folgende Funktionen umfassen:

  • Verschlüsselung von Backup-Daten im Speicher-Repository (im Ruhezustand) und bei der Übertragung (in Transit). Wählen Sie Lösungen, mit denen Sie starke Verschlüsselungsstandards implementieren können, um Sicherungsdaten auch im Falle einer Sicherheitsverletzung für Unbefugte unlesbar zu machen .
  • Zugriffskontrollen und Authentifizierung. Konfigurieren Sie die rollenbasierte Zugriffskontrolle (RBAC), um den Zugriff auf personenbezogene Daten zu beschränken, und die Multi-Faktor-Authentifizierung (MFA), um die Sicherheit vor der Gewährung des Zugriffs zu erhöhen.
  • Datenminimierung und Speicherbegrenzung. Eines der Kernprinzipien der Datenschutz-Grundverordnung ist die Speicherbegrenzung, die sich direkt auf die Richtlinien zur Aufbewahrung von Backups auswirkt. Stellen Sie sicher, dass Backup-Lösungen ausreichend Flexibilität bieten, um unterschiedliche Pläne und Aufbewahrungsrichtlinien für verschiedene Datenebenen zu erstellen.
  • Standort der Backup-Daten im Cloud-Speicher. Informieren Sie sich darüber, wo die Backup-Daten gespeichert werden, und wählen Sie die Regionen entsprechend der Art der verarbeiteten personenbezogenen Daten aus.
  • Regelmäßige Überprüfung der Integrität der Backup-Daten. Führen Sie regelmäßige Backups durch, um die Integrität der personenbezogenen Daten zu gewährleisten, und implementieren Sie Maßnahmen zum Testen der Wiederherstellung.
  • Management/Compliance von Anbietern und Dritten. Stellen Sie sicher, dass die Speicherlösungen von Drittanbietern und andere in Ihre Backup-Lösung integrierte Plattformen über den richtigen Bereich an Funktionen verfügen, damit Sie die Kontrolle darüber behalten, wie und wo die Daten gespeichert werden.

Datensicherheit mit NAKIVO

NAKIVO Backup & Replikation & Datensicherheit mit NAKIVO NAKIVO Backup & Replikation Datensicherheit mit NAKIVO NAKIVO Backup & Replikation Datensicherheit mit NAKIVO xml-ph-0371@dee Sie können Anwendungen und Systeme in virtuellen, physischen, Cloud- und SaaS-Umgebungen schützen und die Einhaltung der DSGVO-Anforderungen mithilfe von Funktionen wie Verschlüsselung im Ruhezustand und während der Übertragung, Backup-Planung und -Automatisierung, flexiblen Aufbewahrungseinstellungen, Backup-Überprüfung usw. gewährleisten.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Empfohlene Artikel

Picture
So installieren Sie Kali Linux auf VirtualBox: Ausführliche Anleitung
Picture
Wie arbeitet Tape-Backup-Software und warum brauchen Sie sie?
Picture
So verwenden Sie das PC-Ordner-Backup von OneDrive