Fünf Dinge, die Sie über GDPR wissen müssen

A_Hicken-75x75

Von Arthur Hicken

1. Februar 2018

8  min lesen

Nach der DSGVO müssen Unternehmen sicherstellen, dass Benutzerdaten gut geschützt und nicht missbraucht werden, dass Benutzer eine Einverständniserklärung erhalten und dass die Nichteinhaltung durch hohe finanzielle Sanktionen geahndet wird.

Der Winter kommt. Das EU-Datenschutzverordnung Die Durchsetzung der Datenschutz-Grundverordnung (DSGVO) beginnt am 25. Mai 2018. Wenn Sie die DSGVO-Webseite aufrufen, sehen Sie dort tatsächlich einen Countdown bis zur Durchsetzungsuhr. Es ist real und es kommt bald. Na und is GDPR, für wen gilt sie und was passiert, wenn Sie gegen ihre Vorschriften verstoßen?

Sie können die offiziellen Vorschriften lesen und versuchen zu verstehen, was sie bedeuten, aber es ist rau. Es ist voll von kleinen Edelsteinen wie diesem:

„Eine Gruppe von Unternehmen sollte ein Kontrollunternehmen und seine kontrollierten Unternehmen umfassen, wobei das Kontrollunternehmen das Unternehmen sein sollte, das einen beherrschenden Einfluss auf die anderen Unternehmen ausüben kann“ (DSGVO-Artikel 37).

… Du kannst dir das nicht ausdenken!

Daher dachte ich, es wäre hilfreich, es zumindest aus Software-Sicht aufzuschlüsseln und herauszufinden, welche Hauptprobleme Sie verstehen sollten. Wenn Sie sehen, dass es Sie betreffen wird, möchten Sie auf jeden Fall einen tieferen Tauchgang machen. GDPR wird am Ende viele Teile Ihres Unternehmens berühren, und Sie werden es richtig machen wollen.

Nach der DSGVO müssen Unternehmen sicherstellen, dass Benutzerdaten gut geschützt und nicht missbraucht werden, dass Benutzer eine Einverständniserklärung erhalten und dass die Nichteinhaltung durch hohe finanzielle Sanktionen geahndet wird. Weitere Informationen finden Sie weiter.

Was ist die DSGVO?

Bei der DSGVO geht es darum, die Daten der Bürger zu schützen. Dies bedeutet, den Zugriff auf die Daten zu schützen, nicht benötigte Daten nicht zu speichern, personenbezogene Daten zu verschlüsseln und Daten nach Möglichkeit zu anonymisieren. Mit anderen Worten, alle Schritte, die Sie unternehmen können, um die Möglichkeit eines Datenverstoßes und die Auswirkungen eines Verstoßes zu begrenzen. Darüber hinaus umfasst der Datenschutz die nicht autorisierte Verwendung von Daten, z. B. das Verfolgen von Benutzern ohne deren Zustimmung und jede andere Verwendung von Daten ohne ausdrückliche Zustimmung.

Auf ihrer Website selbst wurde die DSGVO „entwickelt, um die Datenschutzgesetze in ganz Europa zu harmonisieren, den Datenschutz aller EU-Bürger zu schützen und zu stärken und die Art und Weise, wie Organisationen in der gesamten Region mit dem Datenschutz umgehen, neu zu gestalten.“

Die DSGVO berücksichtigt auch das allgemeine „Recht der EU, vergessen zu werden“, was in diesem Zusammenhang bedeutet, dass wenn jemand möchte, dass seine Daten aus Ihrem System entfernt werden, dies innerhalb eines angemessenen Zeitrahmens erfolgen muss. Darüber hinaus gibt es strenge Meldepflichten - Sie können keinen Verstoß haben und ihn verbergen, wie dies kürzlich in den USA mehrmals der Fall war.

Werfen wir einen Blick auf die 5 Hauptthemen unten.

1. Wer muss die DSGVO-Bestimmungen befolgen?

Natürlich müssen Unternehmen in der EU der DSGVO folgen, aber wie sich herausstellt, unterliegen Sie auch der DSGVO, selbst wenn Sie sich an einem anderen Ort befinden und Kunden in der EU haben.

Wenn Sie keine personenbezogenen Daten speichern, ist dies einfach, aber jeder mit personenbezogenen Daten aus der EU muss die Richtlinien befolgen. Gleiches gilt, wenn Sie Mitarbeiter in der EU haben.

Es wird manchmal etwas schwierig, wenn Sie Benutzerdaten freigeben oder Benutzerdaten von einem anderen Ort abrufen. Wenn jemand das Recht ausübt, vergessen zu werden, müssen Sie alle diese Freigaben jagen und die Daten überall löschen. Selbst wenn Sie Daten von einer anderen Person erhalten, die personenbezogene Daten aus der EU weitergibt, können Sie den Richtlinien unterliegen.

2. Zustimmung und Transparenz

Die DSGVO erklärt, dass Benutzer der Erhebung von Daten über sie zustimmen müssen und dass diese Zustimmung auf „einer eindeutigen positiven Handlung“ beruht. Klar und positiv bedeutet, dass der Benutzer eine Aktion ausführen muss, um sich anzumelden, und nicht die übliche Methode "Sie sind dabei, es sei denn, Sie entscheiden sich ab".

"Damit die Einwilligung informiert werden kann, sollte die betroffene Person zumindest die Identität des für die Verarbeitung Verantwortlichen und die Zwecke der Verarbeitung kennen, für die die personenbezogenen Daten bestimmt sind." (DSGVO Artikel 42)

Ein gutes Beispiel im Web ist ein Anmeldeformular mit dem Hinweis, dass Daten erfasst werden, welche Daten es sind, wie sie verwendet werden, wie Sie sich später abmelden (oder vergessen werden) und dann Der Benutzer muss etwas tun, um zuzustimmen, z. B. ein Kontrollkästchen anklicken. Die Tage der vorab angekreuzten Kästchen gelten nicht mehr - die DSGVO verbietet ausdrücklich solche derzeit typischen Methoden:

"Schweigen, vorab angekreuzte Kästchen oder Inaktivität sollten daher keine Zustimmung darstellen." (DSGVO Artikel 32).

Die Verwendung der Daten muss einen Zweck haben, der damit zusammenhängt, warum die Daten gesammelt werden, und muss dem Benutzer erklärt werden:

"Es sollte für natürliche Personen transparent sein, dass personenbezogene Daten, die sie betreffen, gesammelt, verwendet, konsultiert oder auf andere Weise verarbeitet werden und inwieweit die personenbezogenen Daten verarbeitet werden oder werden." 
(DSGVO Artikel 39)

3. Kontrolle personenbezogener Daten

EU-Bürger erhalten die volle Kontrolle über ihre personenbezogenen Daten, einschließlich Zugang, Übermittlung, Korrektur und Recht auf Vergessen, einschließlich „Mechanismen, um kostenlos Zugang zu und Berichtigung oder Löschung personenbezogener Daten sowie die Ausübung des Widerspruchsrechts zu beantragen und gegebenenfalls kostenlos zu erhalten. ” (DSGVO Artikel 59)

Das Recht auf Zugang zu eigenen Daten basiert auf Artikel 63 der DSGVO: „Eine betroffene Person sollte das Recht haben, auf personenbezogene Daten zuzugreifen."Während das Recht auf Korrekturen an den vorgenommenen Daten in Artikel 65 der DSGVO enthalten ist,"Eine betroffene Person sollte das Recht haben, personenbezogene Daten über sie oder ihn berichtigen zu lassen.Denken Sie darüber nach, wenn Sie das nächste Mal gegen eine Kreditauskunftei kämpfen, und Sie möchten, dass dies auf Ihre eigenen Daten angewendet wird.

GDPR stellt ferner sicher, dass keine Benutzer-Sperren für Benutzerdaten vorhanden sind. Das Recht zur Datenübertragung ist ebenfalls aufgeführt:

"Die betroffene Person sollte auch die Möglichkeit haben, personenbezogene Daten über sie oder ihn, die sie einem Controller zur Verfügung gestellt hat, in einem strukturierten, allgemein verwendeten, maschinenlesbaren und interoperablen Format zu empfangen und an einen anderen Controller zu übertragen." (DSGVO Artikel 68)

Dies bedeutet, dass Sie Ihre Daten in einer angemessenen digitalen Form von einem Anbieter beziehen können, um sie an einen anderen Anbieter zu übertragen.

Das Recht, vergessen zu werden, erstreckt sich auf Organisationen, mit denen Daten geteilt wurden:

„Das Recht auf Löschung sollte auch so erweitert werden, dass ein für die Verarbeitung Verantwortlicher, der die personenbezogenen Daten veröffentlicht hat, verpflichtet sein sollte, die für die Verarbeitung Verantwortlichen, die diese personenbezogenen Daten verarbeiten, zu informieren, um Links zu oder Kopien oder Replikationen dieser personenbezogenen Daten zu löschen . ” (DSGVO Artikel 66)

Mit anderen Worten, die Löschung muss kaskadieren.

Wenn Sie Daten über eine Person von einer anderen Organisation erhalten und diese verwenden und / oder speichern möchten, müssen Sie diese Person benachrichtigen, damit sie eine Einverständniserklärung abgeben kann (siehe Artikel 60,61, XNUMX der DSGVO). Dies gilt auch dann, wenn Sie sich entscheiden, die Daten auf eine Weise zu verwenden, die nicht in der ursprünglichen Einwilligung enthalten war.

„Wenn der für die Verarbeitung Verantwortliche beabsichtigt, die personenbezogenen Daten für einen anderen als den Zweck zu verarbeiten, für den sie erhoben wurden, sollte der für die Verarbeitung Verantwortliche der betroffenen Person vor dieser weiteren Verarbeitung Informationen zu diesem anderen Zweck und andere erforderliche Informationen zur Verfügung stellen.“ (DSGVO Artikel 61)

Und achten Sie auf vollautomatische Algorithmen wie Kreditanträge:

„Die betroffene Person sollte das Recht haben, keiner Entscheidung zu unterliegen, die eine Maßnahme zur Bewertung persönlicher Aspekte in Bezug auf sie oder ihn umfassen kann basiert ausschließlich auf automatisierter Verarbeitung und die rechtliche Auswirkungen auf ihn oder sie hat oder ihn in ähnlicher Weise erheblich beeinträchtigt, wie die automatische Ablehnung eines Online-Kreditantrags oder E-Recruiting-Praktiken ohne menschliches Eingreifen”(DSGVO Artikel 71)

Wenn Sie vollautomatische Algorithmen verwenden, um Entscheidungen zu treffen, kann dieser Sie stolpern.

4. Datenschutz - verwalten und verteidigen

Sobald Sie die Daten einer Person haben, müssen Sie diese ordnungsgemäß verwalten und schützen. Der eigentliche Schlüssel dazu ist das, was als „Ppersönlich identifizierbare Informationen“ (PII). PII hat eine sehr weit gefasste Definition – zum Beispiel Cookie IE, das eine Person direkt oder indirekt identifiziert, einschließlich der IP-Adresse. Wenn Sie irgendeine Art von Webanalyse durchführen, sammeln Sie personenbezogene Daten und müssen sicherstellen, was Sie tun entspricht der DSGVO.

Einer der Schlüsselaspekte beim Umgang mit personenbezogenen Daten in der DSGVO ist das Konzept von Sicher durch Design. Die Verordnung besagt:

„Der für die Verarbeitung Verantwortliche sollte interne Richtlinien verabschieden und Maßnahmen umsetzen, die insbesondere den Grundsätzen des Datenschutzes durch Design und des Datenschutzes standardmäßig entsprechen.“ (DSGVO Artikel 78)

Mit der Secure-by-Design-Methode können Sie die Sicherheit und den Datenschutz in Ihrer Anwendung nicht einfach testen. Anstatt Code zu erstellen und zu versuchen, ihn im Red-Team zu testen, müssen Sie die Anwendung zunächst so gestalten, dass sie sicher ist. Daher ist die Verschlüsselung standardmäßig nur bei genehmigten Ausnahmen deaktiviert. Sicher durch Design bedeutet, sich auch ernsthaft mit der statischen Code-Analyse zu befassen, wobei der Schwerpunkt auf Software-Engineering-Standards und „vorbeugenden“ statischen Analyseregeln liegt.

Und wenn Sie gesundheitsbezogene Daten sammeln, müssen Sie besonders vorsichtig sein, um diese zu sichern (siehe Artikel 53 der DSGVO), obwohl es einige Bestimmungen für bestimmte Arten von Forschung gibt, wenn es eher um Gesundheit als um Vermarktungsmöglichkeiten geht (siehe Artikel 54 der DSGVO) ).

Die Vorratsdatenspeicherung ist ein weiteres wichtiges Thema beim Sammeln und Speichern von PII. Das Hauptprinzip besteht darin, Daten nicht länger als nötig aufzubewahren:

„… Das Recht, seine persönlichen Daten löschen und nicht mehr verarbeiten zu lassen, wenn die persönlichen Daten nicht mehr benötigt werden“ (DSGVO Artikel 65).

Mit anderen Worten, Daten, die Sie nur für vorübergehende Zwecke wie das Abschließen einer Transaktion benötigen, sollten nur für die erforderliche Zeit vorhanden sein. Danach sollten Sie die Daten löschen, anstatt sie zur Vereinfachung oder für zukünftige Analysen zu speichern.

Es ist wichtig zu zeigen, dass Sie tatsächlich auch die gesammelten Daten benötigen:

"Eine betroffene Person kann zum Zeitpunkt und im Zusammenhang mit der Erhebung der personenbezogenen Daten vernünftigerweise erwarten, dass die Verarbeitung zu diesem Zweck stattfinden kann." (DSGVO Artikel 47)

Und später können Sie die Daten nicht einfach für etwas anderes verwenden, es sei denn, dass etwas anderes mit der ursprünglichen Verwendung der Daten und / oder der Verarbeitung (Analyse) der Daten zusammenhängt.

"Die Verarbeitung personenbezogener Daten zu anderen Zwecken als denen, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung mit den Zwecken vereinbar ist, für die die personenbezogenen Daten ursprünglich erhoben wurden." (DSGVO Artikel 50)

5. Was passiert bei Verstößen?

Geldbußen. Geldstrafen sind das, was passiert. Die EU kann Sie täglich wegen anhaltender Verstöße bestrafen. Die Höhe der Geldbuße kann sich nach den Einnahmen der übergeordneten Organisation richten, sodass sie möglicherweise höher ist als Sie denken. Die Geldbußen variieren je nach den Verstößen gegen die Vorschriften und können bis zu 20 Mio. EUR betragen. Stellen Sie sicher, dass Sie die Konformität nachweisen können.

„Um die Einhaltung dieser Verordnung nachzuweisen, sollte der für die Verarbeitung Verantwortliche oder Verarbeiter Aufzeichnungen über die unter seiner Verantwortung stehenden Verarbeitungsaktivitäten führen.“ (DSGVO Artikel 82)

Also, was tun Sie?

Ich würde Ihnen gerne sagen, dass es ein Silver Bullet Tool oder eine Reihe von Tools gibt, mit denen Sie einfach die DSGVO einhalten können, aber das ist einfach nicht der Fall. Parasoft kann jedoch viel tun, um Ihnen zu helfen. Zunächst können Sie unsere statischen Code-Analyse-Engines für verwenden JavacC / C ++ und .NET mit guten Sicherheits- und Datenschutzkonfigurationen, um sicherzustellen, dass Ihr Code so sicher wie möglich ist. Sie können sie sogar so konfigurieren, dass strenge Codierungsrichtlinien erzwungen werden, z. B. standardmäßig Verschlüsselung.

Zweitens können Sie die Servicevirtualisierung nutzen, um vollständige End-to-End-Tests durchzuführen, selbst in einer frühen Phase auf dem Entwickler-Desktop. In der Lage zu sein, vollständig zu testen, was mit den Daten passiert, ohne teure Testlabore zur Verfügung zu haben, macht es viel einfacher, die Vorschriften einzuhalten, und indem Sie Entwicklern erlauben, tiefere Tests durchzuführen, werden Sie Probleme früher finden, wenn sie einfacher und billiger zu beheben sind.

Zusammenfassung

Es ist ein bisschen beängstigend und sollte es angesichts der möglichen finanziellen Nachteile in gewissem Sinne auch sein. Aber insgesamt ist es nicht so schrecklich, wenn Ihr Geschäftsmodell nicht darauf basiert, Benutzer zu verfolgen und ihre Daten zu verkaufen. Wenn Sie ein typisches Geschäftsmodell haben und über Kundendaten und Verkäufe verfügen, werden Sie feststellen, dass Compliance kein großes Problem darstellt und den zusätzlichen Vorteil hat, dass Ihr Gesamtsystem in einer Welt mit zunehmender Häufigkeit von Datenverletzungen sicherer wird. Stellen Sie die richtigen Richtlinien ein, führen Sie gründliche, umfassende Tests durch und stellen Sie Ihren Datenschutz mit einer starken statischen Code-Analyse sicher.

Neuer Call-to-Action

A_Hicken-75x75

Von Arthur Hicken

Arthur ist seit über 25 Jahren bei Parasoft im Bereich Software-Sicherheit und Testautomatisierung tätig. Er hilft bei der Erforschung neuer Methoden und Techniken (einschließlich 5 Patente) und hilft Kunden dabei, ihre Software-Praktiken zu verbessern.

Erhalten Sie die neuesten Nachrichten und Ressourcen zum Testen von Software sofort.