Empfohlenes Webinar: Vorstellung von Parasoft C/C++test CT für kontinuierliche Tests und Compliance-Exzellenz | Zum Video

DSGVO: Was müssen Sie wissen?

Kopfschuss von Arthur Hicken, Evangelist bei Parasoft
15. Dezember 2023
15 min lesen

Organisationen müssen die DSGVO-Anforderungen einhalten, um Benutzerdaten zu schützen, Missbrauch zu verhindern, die Einwilligung der Benutzer nach Aufklärung einzuholen und müssen bei Nichteinhaltung mit hohen Geldstrafen rechnen. Schauen Sie sich diesen Beitrag an, um wichtige Erkenntnisse zu erhalten.

Da EU-Datenschutzverordnung Die Durchsetzung der Datenschutz-Grundverordnung (DSGVO) begann am 25. Mai 2018. Die tatsächlichen und schwerwiegenden Strafen wurden bereits verhängt. Was ist also die DSGVO, für wen gilt sie und was passiert, wenn Sie gegen ihre Vorschriften verstoßen?

Sie können die offiziellen Vorschriften lesen und versuchen zu verstehen, was sie bedeuten, aber es ist rau. Es ist voll von kleinen Edelsteinen wie diesem:

„Eine Unternehmensgruppe sollte ein beherrschendes Unternehmen und die von ihm kontrollierten Unternehmen umfassen, wobei das beherrschende Unternehmen das Unternehmen sein sollte, das einen beherrschenden Einfluss auf die anderen Unternehmen ausüben kann.“ —DSGVO Artikel 37

… Du kannst dir das nicht ausdenken!

Daher dachte ich, es wäre hilfreich, es zumindest aus Software-Perspektive aufzuschlüsseln und herauszufinden, welche Schlüsselthemen Sie verstehen sollten. Wenn Sie erkennen, dass es Auswirkungen auf Sie hat, möchten Sie auf jeden Fall tiefer eintauchen. Die DSGVO wird letztendlich viele Bereiche Ihres Unternehmens betreffen, und Sie möchten es richtig machen.

Nach der DSGVO müssen Unternehmen sicherstellen, dass Benutzerdaten gut geschützt und nicht missbraucht werden, dass Benutzer eine Einverständniserklärung erhalten und dass die Nichteinhaltung durch hohe finanzielle Sanktionen geahndet wird. Weitere Informationen finden Sie weiter.

Was ist DSGVO?

Die DSGVO verlangt von Unternehmen, sicherzustellen, dass Benutzerdaten gut geschützt sind und nicht missbraucht werden. Benutzer erhalten eine Einverständniserklärung. Bei Nichteinhaltung drohen hohe Geldstrafen

Bei der DSGVO geht es darum, die Daten der Bürger zu schützen. Dies bedeutet, den Zugriff auf die Daten zu schützen, nicht benötigte Daten nicht zu speichern, personenbezogene Daten zu verschlüsseln und Daten nach Möglichkeit zu anonymisieren. Mit anderen Worten, alle Schritte, die Sie unternehmen können, um die Möglichkeit eines Datenverstoßes und die Auswirkungen eines Verstoßes zu begrenzen. Darüber hinaus umfasst der Datenschutz die nicht autorisierte Verwendung von Daten, z. B. das Verfolgen von Benutzern ohne deren Zustimmung und jede andere Verwendung von Daten ohne ausdrückliche Zustimmung.

Auf ihrer Website selbst wurde die DSGVO „entwickelt, um die Datenschutzgesetze in ganz Europa zu harmonisieren, den Datenschutz aller EU-Bürger zu schützen und zu stärken und die Art und Weise, wie Organisationen in der gesamten Region mit dem Datenschutz umgehen, neu zu gestalten.“

Die DSGVO berücksichtigt das allgemeine „Recht der EU auf Vergessenwerden“, was in diesem Zusammenhang bedeutet, dass, wenn jemand möchte, dass seine Daten aus Ihrem System entfernt werden, dies innerhalb eines angemessenen Zeitrahmens erfolgen muss. Darüber hinaus gelten strenge Meldepflichten. Man kann keinen Sicherheitsverstoß haben und ihn dann verstecken, wie es kürzlich in den USA mehrmals passiert ist.

Welche Strafen drohen bei Nichteinhaltung der DSGVO?

Geldbußen. Bußgelder sind das, was passiert. Die EU kann Ihnen bei anhaltenden Verstößen ein tägliches Bußgeld verhängen. Die Höhe des Bußgeldes kann sich nach den Einnahmen der Mutterorganisation richten und daher höher ausfallen, als Sie denken. Die Bußgelder variieren je nach Art des Verstoßes und können bis zu 20 Millionen Euro betragen. Stellen Sie sicher, dass Sie die Einhaltung nachweisen können.

„Um die Einhaltung dieser Verordnung nachzuweisen, sollte der Verantwortliche oder Auftragsverarbeiter Aufzeichnungen über die Verarbeitungstätigkeiten unter seiner Verantwortung führen.“ —DSGVO Artikel 82

CCPA vs. DSGVO

Der California Consumer Privacy Act (CCPA) verfolgt ähnliche Ziele wie die GPDR, unterscheidet sich jedoch hauptsächlich im Geltungsbereich, da der CCPA spezifisch für Kalifornien und die GPDR für die EU gilt. Zusammenfassend sind die wichtigsten Unterschiede:

  • Zuständigkeit. Beide Gesetze befassen sich mit dem Datenschutz, ihre Zuständigkeiten unterscheiden sich jedoch.
  • Umfang. Die DSGVO gilt ausschließlich für Einzelpersonen, während die CCPA zwischen der Anwendung auf Verbraucher und Haushalte unterscheidet.
  • Anwendung. Die DSGVO hat einen viel größeren Anwendungsbereich und erstreckt sich auf alle Unternehmen, die personenbezogene Daten verwenden könnten. Der CCPA hingegen befasst sich ausschließlich mit Unternehmen, die mit Einwohnern, „Verbrauchern“ und „Haushalten“ Kaliforniens, operieren.
  • Besonderheiten personenbezogener Daten. Es gibt bestimmte spezifische Aspekte personenbezogener Daten, auf die CCPA nicht im Detail eingeht, wie z. B. Cookies, Datenübertragung und Einwilligung.
  • Opt-in vs. Opt-out. Ein Grundprinzip der DSGVO besteht darin, dass Einzelpersonen die Möglichkeit haben, der Nutzung ihrer Daten zuzustimmen, sodass der Datenschutz immer der Standard ist. CCPA stützt sich auf das Opt-out für Verbraucher, wobei ihre Daten standardmäßig so lange verwendet werden können, bis sie selbst die Maßnahmen zum Opt-out ergreifen. Wenn Sie sich dafür entscheiden, werden beide Regelungen eingehalten.
  • Umfang der Durchsetzungsstrafen. Die CCPA-Strafen sind im Vergleich zu den strafrechtlich verfolgten Fällen zur Durchsetzung der DSGVO relativ gering. Der größte GPDR-Vergleich mit Meta belief sich auf 1.2 Milliarden Euro.

Beispiele für die Durchsetzung des CCPA

Das Justizministerium des US-Bundesstaates Kalifornien veröffentlicht seine Beispiele für CCPA-Durchsetzungsfälle. Obwohl keine Einzelheiten zu Firmennamen und Strafen aufgeführt sind, ist klar, dass die Durchsetzung die Art und Weise verändert, wie einige Unternehmen online agieren. Einige Beispiele sind:

  • Treueprogramme von Online-Händlern, die personenbezogene Daten sammeln und ihnen Rabatte oder andere Vorteile versprechen. In diesen Fällen wurden die Verbraucher nicht darüber informiert, dass ihre Daten gesammelt und verwendet oder verkauft wurden.
  • Ein Medizingeräteunternehmen verkaufte Patientendaten ohne Benachrichtigung oder Erlaubnis.
  • Viele Unternehmen fügen einen Link „Meine persönlichen Daten nicht verkaufen“ hinzu, aber in einigen Fällen sind die Auswahlmöglichkeiten verwirrend oder funktionieren nicht richtig.
  • Unternehmen haben Schwierigkeiten, die Anforderung und Löschung personenbezogener Daten ordnungsgemäß zu unterstützen.
    Der CCPA sieht Strafen in Höhe von 2500 US-Dollar für jeden unbeabsichtigten Verstoß und 7500 US-Dollar für vorsätzliche Verstöße vor. Allerdings ist die Die Gefahr von Verbraucherklagen stellt ein größeres Risiko dar.

Beispiele für die Durchsetzung der DSGVO

Die Durchsetzung der DSGVO hat in der Regel einen viel größeren Umfang als CCPA und die Beispiele zeigen den großen Unterschied in Umfang und Geltungsbereich der beiden Verordnungen:

  • Meta verhängte im Jahr 1.2 eine Geldstrafe von 1.3 Milliarden Euro (2023 Milliarden US-Dollar) wegen der Übermittlung von Daten, die von Facebook-Nutzern in der EU gesammelt wurden, in die USA und verstieß damit gegen die internationalen Übermittlungsrichtlinien der DSGVO.
  • Amazon verhängte im Jahr 746 eine Geldstrafe in Höhe von 780.9 Millionen Euro (2021 Millionen US-Dollar), weil das Unternehmen Benutzerdaten verfolgt hatte, ohne die entsprechende Zustimmung der Benutzer einzuholen oder die Möglichkeit bereitzustellen, sich von dieser Verfolgung abzumelden.
  • WhatsApp verhängte im Jahr 225 eine Geldstrafe in Höhe von 247 Millionen Euro (2021 Millionen US-Dollar) wegen unklarer Datenschutzrichtlinien und mangelnder Transparenz bei der Verwendung von Benutzerdaten.
  • Google Irland hat im Jahr 90 eine Geldstrafe in Höhe von 99 Millionen Euro (2021 Millionen US-Dollar) verhängt, weil es Nutzern weder im Rahmen der DSGVO noch der Datenschutzrichtlinie für elektronische Kommunikation eine einfache Möglichkeit geboten hat, Cookies abzulehnen.

Die Nichteinhaltung der DSGVO kann schwerwiegende und schwere Strafen zur Folge haben. Der Strafrahmen basiert auf einem Höchstbetrag von 20 Millionen Euro oder 4 % des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist.

Wer muss die DSGVO-Vorschriften befolgen?

Natürlich müssen Unternehmen in der EU die DSGVO befolgen, aber es stellt sich heraus, dass auch Sie, selbst wenn Sie woanders ansässig sind und Kunden in der EU haben, der DSGVO unterliegen.

Wenn Sie keine personenbezogenen Daten speichern, ist dies einfach, aber jeder mit personenbezogenen Daten aus der EU muss die Richtlinien befolgen. Gleiches gilt, wenn Sie Mitarbeiter in der EU haben.

Es wird manchmal etwas schwierig, wenn Sie Benutzerdaten freigeben oder Benutzerdaten von einem anderen Ort abrufen. Wenn jemand das Recht ausübt, vergessen zu werden, müssen Sie alle diese Freigaben jagen und die Daten überall löschen. Selbst wenn Sie Daten von einer anderen Person erhalten, die personenbezogene Daten aus der EU weitergibt, können Sie den Richtlinien unterliegen.

Überblick über die DSGVO-Bestimmungen

Mit dem Ziel, die Kontrolle und Rechte des Einzelnen über seine personenbezogenen Daten zu verbessern, gilt die Verordnung für alle folgenden Personen mit Sitz in der EU und im EWR (Europäischer Wirtschaftsraum, zu dem Island, Liechtenstein und Norwegen gehören):

  • Jede Organisation
  • Der Datenverantwortliche, der Daten von Einzelpersonen sammelt
  • Der Auftragsverarbeiter ist eine Organisation, die Daten im Auftrag eines Datenverantwortlichen verarbeitet
  • Die betroffene Person, also eine Person

Ein wesentlicher Aspekt der DSGVO besteht darin, dass sie für Organisationen mit Sitz außerhalb der EU gilt, wenn sie personenbezogene Daten von Personen sammeln oder verarbeiten, die in der EU/im EWR leben, unabhängig davon, ob sie Staatsbürger sind oder nicht, und von allen EU-/EWR-Bürgern, unabhängig davon, wo sie sich befinden Leben. Wie wir gesehen haben, sind die Strafen hoch und werden oft gegen Technologieunternehmen außerhalb der EU verhängt. Leider ist der Anwendungsbereich der DSGVO groß und wird von Datenschutzexperten als „unbedeutend“ eingestuft. Gerade für kleine und mittelständische Unternehmen stellt Compliance eine große Herausforderung dar.

Schlüsselkonzepte und Definitionen

Die wichtigsten Definitionen der DSGVO beziehen sich auf Einzelpersonen und Organisationen, die ihre personenbezogenen Daten erheben, verarbeiten, speichern und übertragen.

  • Persönliche Daten. Als personenbezogene Daten gelten alle Informationen, die sich direkt oder indirekt auf eine bestimmte Person beziehen. Beispielsweise sind E-Mail-Adressen und Namen ebenso personenbezogen wie geografische Koordinaten, Geschlecht, ethnische Zugehörigkeit, biometrische Informationen, politische Meinungen, Web-Cookies und religiöse Überzeugungen. Die Definition kann auch für anonymisierte Daten gelten, wenn sich daraus einigermaßen leicht eine Person identifizieren lässt.
  • Datenverarbeitung. Als Datenverarbeitung wird jede Aktion bezeichnet, die mit Daten durchgeführt wird, ob automatisiert oder manuell. Dazu gehören Tätigkeiten zum Sammeln, Protokollieren, Organisieren, Strukturieren, Speichern, Verwenden und Löschen von Daten.
  • Betroffene Person. Die Person, deren Daten verarbeitet werden, ist die betroffene Person. In den meisten Fällen handelt es sich dabei um Nutzer Ihres Produkts oder Besucher Ihrer Website.
  • Datenprozessor. Jede Organisation oder Einrichtung, die Daten im Auftrag des Datenverantwortlichen verarbeitet.

Umfang und Anwendung der DSGVO

Die DSGVO soll die Daten von EU-Bürgern und Einwohnern schützen. Sie gilt für alle Organisationen, die solche Daten verarbeiten, unabhängig davon, ob sie ihren Sitz in der EU haben oder nicht. Dies wird als „extraterritorialer Effekt“ bezeichnet.

Gemäß Artikel 3 der DSGVO:

  • Die Verordnung gilt für die Verarbeitung personenbezogener Daten durch eine Niederlassung in der EU, unabhängig davon, wo die Verarbeitung erfolgt.
  • Sie gilt auch für die Verarbeitung personenbezogener Daten betroffener Personen in der EU durch einen nicht in der EU ansässigen Verantwortlichen oder Auftragsverarbeiter, wenn die Verarbeitungstätigkeiten im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen für solche betroffenen Personen in der EU oder der Überwachung ihres Verhaltens innerhalb der EU stehen EU.
  • Die Verordnung gilt für die Verarbeitung personenbezogener Daten durch einen Verantwortlichen, der nicht in der EU, sondern an einem Ort ansässig ist, an dem aufgrund des Völkerrechts das Recht eines Mitgliedstaats gilt.

Die DSGVO gilt für Nicht-EU-Organisationen, die Waren oder Dienstleistungen für Menschen in der EU anbieten oder deren Online-Verhalten überwachen. Die Regulierungsbehörden suchen nach Hinweisen, um festzustellen, ob es sich die Organisation zum Ziel gesetzt hat, Menschen in der EU Waren und Dienstleistungen anzubieten.

Wenn eine Organisation beispielsweise Webtools verwendet, um Cookies oder IP-Adressen von Personen zu verfolgen, die ihre Website aus EU-Ländern besuchen, fällt sie in den Geltungsbereich der DSGVO.

Es gibt Ausnahmen, beispielsweise für „rein persönliche oder häusliche Tätigkeiten“, und Organisationen mit weniger als 250 Mitarbeitern können ausgeschlossen sein. Dennoch gilt die DSGVO nur für alle Organisationen, die eine „berufliche oder gewerbliche Tätigkeit“ ausüben, sodass viele kleine und mittlere Unternehmen möglicherweise nicht von der DSGVO ausgenommen sind.

Einwilligung gemäß DSGVO

Einwilligung und Transparenz

Die DSGVO besagt, dass Nutzer der Erhebung von Daten über sie zustimmen müssen und dass diese Einwilligung auf „einer klaren positiven Handlung“ beruht. Klar und positiv bedeutet, dass der Benutzer eine Aktion ausführen muss, um sich anzumelden, und nicht die übliche „Sie sind dabei, es sei denn, Sie entscheiden sich ab“-Methodik.

„Damit die Einwilligung informiert werden kann, muss die betroffene Person zumindest Kenntnis von der Identität des Verantwortlichen und den Zwecken der Verarbeitung haben, für die die personenbezogenen Daten bestimmt sind.“ —DSGVO Artikel 42

Ein gutes Beispiel im Web ist ein Anmeldeformular mit dem Hinweis, dass Daten erfasst werden, welche Daten es sind, wie sie verwendet werden, wie Sie sich später abmelden (oder vergessen werden) und dann Der Benutzer muss etwas tun, um zuzustimmen, z. B. ein Kontrollkästchen anklicken. Die Tage der vorab angekreuzten Kästchen gelten nicht mehr - die DSGVO verbietet ausdrücklich solche derzeit typischen Methoden:

„Schweigen, vorab angekreuzte Kästchen oder Untätigkeit sollten daher keine Einwilligung darstellen.“ —DSGVO Artikel 32

Die Verwendung der Daten muss einen Zweck haben, der damit zusammenhängt, warum die Daten gesammelt werden, und muss dem Benutzer erklärt werden:

„Für natürliche Personen sollte transparent sein, dass sie betreffende personenbezogene Daten erhoben, genutzt, eingesehen oder anderweitig verarbeitet werden und in welchem ​​Umfang die personenbezogenen Daten verarbeitet werden oder werden.“ —DSGVO Artikel 39

Kontrolle personenbezogener Daten

EU-Bürger haben die volle Kontrolle über ihre personenbezogenen Daten, einschließlich Zugang, Übermittlung, Berichtigung und des Rechts auf Vergessenwerden, einschließlich:

„Mechanismen, um insbesondere Zugang zu personenbezogenen Daten und deren Berichtigung oder Löschung sowie die Ausübung des Rechts auf Widerspruch zu verlangen und gegebenenfalls unentgeltlich zu erhalten.“ —DSGVO Artikel 59

Das Recht auf Auskunft über die eigenen Daten richtet sich nach Art. 63 DSGVO:

„Eine betroffene Person sollte das Recht auf Zugang zu personenbezogenen Daten haben“

Das Recht auf Berichtigung der Daten ist in Artikel 65 der DSGVO geregelt:

„Eine betroffene Person sollte das Recht haben, die sie betreffenden personenbezogenen Daten berichtigen zu lassen.“

Denken Sie darüber nach, wenn Sie das nächste Mal mit einer Kreditauskunftei streiten, und Sie werden sich wünschen, dass es auf Ihre eigenen Daten angewendet wird.

GDPR stellt ferner sicher, dass keine Benutzer-Sperren für Benutzerdaten vorhanden sind. Das Recht zur Datenübertragung ist ebenfalls aufgeführt:

„Der betroffenen Person sollte es außerdem gestattet sein, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln.“ —DSGVO Artikel 68

Dies bedeutet, dass Sie Ihre Daten in einer angemessenen digitalen Form von einem Anbieter beziehen können, um sie an einen anderen Anbieter zu übertragen.

Das Recht, vergessen zu werden, erstreckt sich auf Organisationen, mit denen Daten geteilt wurden:

„Das Recht auf Löschung sollte auch dahingehend erweitert werden, dass ein Verantwortlicher, der die personenbezogenen Daten öffentlich gemacht hat, verpflichtet sein sollte, die Verantwortlichen, die diese personenbezogenen Daten verarbeiten, zu informieren, alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen dieser personenbezogenen Daten zu löschen.“ .“ —DSGVO Artikel 66

Mit anderen Worten, die Löschung muss kaskadieren.

Wenn Sie Daten über eine Person von einer anderen Organisation erhalten und diese verwenden und/oder speichern möchten, müssen Sie diese Person benachrichtigen – damit sie eine informierte Einwilligung erteilen kann (siehe DSGVO Artikel 60,61). Dies gilt auch dann, wenn Sie sich für eine Datenverwendung entscheiden, die nicht in der ursprünglichen Einwilligung vorgesehen war.

„Wenn der Verantwortliche beabsichtigt, die personenbezogenen Daten für einen anderen Zweck als den, für den sie erhoben wurden, zu verarbeiten, sollte der Verantwortliche der betroffenen Person vor dieser weiteren Verarbeitung Informationen über diesen anderen Zweck und andere notwendige Informationen zur Verfügung stellen.“ —DSGVO Artikel 61

Und achten Sie auf vollautomatische Algorithmen wie Kreditanträge:

„Die betroffene Person sollte das Recht haben, keiner Entscheidung zu unterliegen, die eine Maßnahme zur Bewertung persönlicher Aspekte in Bezug auf sie oder ihn umfassen kann basiert ausschließlich auf automatisierter Verarbeitung und die ihm gegenüber rechtliche Wirkung entfaltet oder ihn in ähnlicher Weise erheblich beeinträchtigt, wie etwa die automatische Ablehnung eines Online-Kreditantrags oder E-Recruiting-Praktiken ohne jegliches menschliches Eingreifen.“ —DSGVO Artikel 71

Wenn Sie vollautomatische Algorithmen verwenden, um Entscheidungen zu treffen, kann dieser Sie stolpern.

Datenschutz – verwalten und verteidigen

Sobald Sie die Daten einer Person haben, müssen Sie diese ordnungsgemäß verwalten und schützen. Der eigentliche Schlüssel dazu ist das, was als „Ppersönlich identifizierbare Informationen“ (PII). PII hat eine sehr weit gefasste Definition – zum Beispiel Cookie IE, das eine Person direkt oder indirekt identifiziert, einschließlich der IP-Adresse. Wenn Sie irgendeine Art von Webanalyse durchführen, sammeln Sie personenbezogene Daten und müssen sicherstellen, was Sie tun entspricht der DSGVO.

Einer der Schlüsselaspekte beim Umgang mit personenbezogenen Daten in der DSGVO ist das Konzept von Sicher durch Design. Die Verordnung besagt:

„Der Verantwortliche sollte interne Richtlinien festlegen und Maßnahmen umsetzen, die insbesondere den Grundsätzen des Datenschutzes durch Technikgestaltung und des Datenschutzes durch datenschutzfreundliche Voreinstellungen entsprechen.“ —DSGVO Artikel 78

Mit der „Secure by Design“-Methodik lässt sich sagen, dass Sie Sicherheit und Datenschutz nicht einfach in Ihrer Anwendung testen können. Anstatt Code zu erstellen und zu versuchen, ihn im Red-Team zu testen, müssen Sie die Anwendung zunächst so gestalten, dass sie sicher ist, sodass Dinge wie die Verschlüsselung standardmäßig nur bei genehmigten Ausnahmen deaktiviert werden. Sicher durch Design bedeutet, sich auch ernsthaft mit der Analyse statischer Codes zu befassen, mit einem großen Schwerpunkt auf Software-Engineering-Standards und „präventiven“ Regeln für die statische Analyse.

Und wenn Sie gesundheitsbezogene Daten sammeln, müssen Sie besonders vorsichtig sein, um diese zu sichern (siehe Artikel 53 der DSGVO), obwohl es einige Bestimmungen für bestimmte Arten von Forschung gibt, wenn es eher um Gesundheit als um Vermarktungsmöglichkeiten geht (siehe Artikel 54 der DSGVO) ).

Die Vorratsdatenspeicherung ist ein weiteres wichtiges Thema beim Sammeln und Speichern von PII. Das Hauptprinzip besteht darin, Daten nicht länger als nötig aufzubewahren:

„…das Recht, dass seine oder ihre personenbezogenen Daten gelöscht und nicht mehr verarbeitet werden, wenn die personenbezogenen Daten nicht mehr erforderlich sind“ – Artikel 65 der DSGVO

Mit anderen Worten: Daten, die Sie nur für vorübergehende Zwecke benötigen, beispielsweise für den Abschluss einer Transaktion, sollten nur für die erforderliche Zeitspanne vorhanden sein. Danach sollten Sie die Daten löschen, anstatt sie zur Vereinfachung oder für zukünftige Analysen zu speichern.

Es ist wichtig zu zeigen, dass Sie die erfassten Daten auch benötigen:

„Eine betroffene Person kann zum Zeitpunkt und im Zusammenhang mit der Erhebung personenbezogener Daten vernünftigerweise davon ausgehen, dass eine Verarbeitung zu diesem Zweck stattfinden wird“ – Artikel 47 DSGVO

Und später können Sie die Daten nicht einfach für etwas anderes verwenden, es sei denn, dass etwas anderes mit der ursprünglichen Verwendung der Daten und / oder der Verarbeitung (Analyse) der Daten zusammenhängt.

„Die Verarbeitung personenbezogener Daten für andere Zwecke als diejenigen, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung mit den Zwecken vereinbar ist, für die die personenbezogenen Daten ursprünglich erhoben wurden.“ —DSGVO Artikel 50

Die DSGVO-Grundsätze

Nachfolgend sind die wichtigsten Datenschutzgrundsätze der DSGVO aufgeführt.

Rechtmäßigkeit, Fairness und Transparenz

Die Verarbeitung muss rechtmäßig, fair und für die betroffene Person transparent sein.

Zweckbindung

Sie müssen die Daten für die legitimen Zwecke verarbeiten, die der betroffenen Person bei der Erhebung ausdrücklich mitgeteilt wurden.

Datenminimierung

Sie sollten nur so viele Daten erheben und verarbeiten, wie für die genannten Zwecke unbedingt erforderlich sind.

Genauigkeit

Sie müssen dafür sorgen, dass Ihre personenbezogenen Daten korrekt und aktuell sind.

Speicherbeschränkung

Sie dürfen personenbezogene Daten nur so lange speichern, wie es für den angegebenen Zweck erforderlich ist.

Integrität und Vertraulichkeit

Die Verarbeitung muss so erfolgen, dass angemessene Sicherheit, Integrität und Vertraulichkeit gewährleistet sind (z. B. durch den Einsatz von Verschlüsselung).

Verantwortlichkeit

Der Datenverantwortliche ist dafür verantwortlich, die DSGVO-Konformität mit all diesen Grundsätzen nachweisen zu können.

Wichtige Rechte gemäß DSGVO

Ein wichtiger Aspekt der DSGVO ist die Festlegung und Durchsetzung der Rechte des Einzelnen in Bezug auf die Nutzung von Websites, Software und Produkten, die möglicherweise personenbezogene Daten erfassen.

Das Recht auf Information

Organisationen müssen klar darüber informieren und dokumentieren, wie und welche personenbezogenen Daten verwendet werden.

Das Recht auf Berichtigung

Einzelpersonen haben das Recht, unrichtige personenbezogene Daten zu korrigieren.

Das Auskunftsrecht

Alle personenbezogenen Daten sind für den Einzelnen zugänglich und können kostenlos abgefragt werden.

Das Recht auf Vergessenwerden (Löschung)

Einzelpersonen können beantragen und erhalten, dass alle ihre Daten dauerhaft gelöscht werden.

Das Recht, die Verarbeitung Ihrer Daten einzuschränken

Einzelpersonen können eine Einschränkung der Verarbeitung ihrer Daten oder die Löschung ihrer Daten verlangen.

Das Recht auf Datenübertragbarkeit

Bedeutet, dass alle Daten von der Organisation erhältlich und für den Einzelnen nutzbar sind.

Das Widerspruchsrecht

Einzelpersonen können der Verwendung ihrer Daten für Marketingzwecke widersprechen.

Rechte in Bezug auf automatisiertes Profiling und Entscheidungsfindung

Dies schränkt ein, wie weit die Daten einer Person von automatisierten Prozessen, einschließlich KI, genutzt werden können.

Datenschutzverletzungen und DSGVO

Was stellt eine Datenschutzverletzung dar?

Die DSGVO definiert eine Datenschutzverletzung als „Sicherheitsverstoß, der zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt“. Diese Definition gilt sowohl für zufällige als auch für vorsätzliche Ursachen.

Vereinfacht ausgedrückt liegt eine Datenschutzverletzung im Sinne der DSGVO vor, wenn ein Sicherheitsvorfall vorliegt, der die Integrität oder Vertraulichkeit personenbezogener Daten gefährdet. Dies kann auf versehentliche oder rechtswidrige Handlungen zurückzuführen sein, die zur Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führen.

Verfahrenstechnische Reaktion auf eine Datenschutzverletzung

Die DSGVO enthält spezifische Richtlinien zu Datenschutzverletzungen. Gemäß Artikel 33 und 34 der DSGVO:

Eine Organisation muss eine Datenschutzverletzung einer Datenschutzbehörde (Data Protection Authority, DPA), auch bekannt als Aufsichtsbehörde (Supervisory Authority, SA), melden, wenn ein Vorfall vorliegt, der zu einer versehentlichen oder unrechtmäßigen Zerstörung, einem Verlust, einer Veränderung, einer unbefugten Offenlegung oder einem unbefugten Zugriff darauf führt , personenbezogene Daten, die ein potenzielles Risiko für die Rechte und Freiheiten der Menschen darstellen.

Wenn der Verstoß zum Verlust der Kontrolle über Ihre personenbezogenen Daten, zu Diskriminierung, Identitätsdiebstahl oder -betrug, finanziellen Verlusten, unbefugter Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit personenbezogener Daten, die durch das Berufsgeheimnis geschützt sind, oder zu anderen erheblichen wirtschaftlichen oder sonstigen Folgen führen könnte Kommt es zu einer sozialen Benachteiligung der betroffenen natürlichen Person, ist das Unternehmen verpflichtet, den Vorfall zu melden.

Obligatorische Meldung von Verstößen

Die Anforderungen an die Meldung von Datenschutzverletzungen sind gemäß der DSGVO obligatorisch und zeitkritisch. Organisationen müssen Verstöße gegen den Schutz personenbezogener Daten der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntnisnahme des Verstoßes melden.

Das Versäumnis, eine Datenschutzbehörde über einen Verstoß zu informieren, kann zu einer Geldstrafe von 10 Millionen Euro (11.3 Millionen US-Dollar) oder 2 Prozent des weltweiten Umsatzes eines Unternehmens führen.

GDPR-Konformität

Die Einhaltung der DSGVO bedeutet, dass eine Organisation die Anforderungen ordnungsgemäß erfüllt Umgang mit personenbezogenen Daten wie im Gesetz definiert. Angesichts des rechtlichen Status und der hohen Strafen erfordert die Einhaltung von Vorschriften ernsthafte Aufmerksamkeit für Organisationen, die personenbezogene Daten sammeln, verarbeiten und speichern, wozu die meisten kommerziellen Websites, aber auch Anwendungen und physische Produkte gehören.

Schritte zur Einhaltung der DSGVO

Zu den wichtigsten Aspekten, die Organisationen berücksichtigen müssen, gehören die folgenden:

  • Bei der Einwilligung zur Nutzung personenbezogener Daten handelt es sich immer um ein Opt-in und nicht um ein Opt-out. Standardmäßiger Datenschutz, jedes Mal.
  • Stellen Sie stets sicher, dass Website-Besucher, Anwendungen und Produktbenutzer über die erfassten Daten informiert werden.
  • Einholung der ausdrücklichen Zustimmung der Benutzer für diese Informationserhebung.
  • Rechtzeitige Benachrichtigung der Besucher, wenn ihre auf der Website gespeicherten personenbezogenen Daten jemals verletzt werden.
  • Durchführung einer vorgeschriebenen Bewertung der Website Datensicherheit.
  • Einstellung eines dedizierten Datenschutzbeauftragten (DPO) oder von Mitarbeitern zur Wahrnehmung dieser Funktion.
  • Sie können nachweisen, dass Richtlinien und Verfahren vorhanden sind.
  • Regelmäßige Compliance-Überprüfungen von Richtlinien und Verfahren stellen die Einhaltung sicher.

Wichtige Tipps zur Einhaltung der DSGVO

Die DSGVO hat einen großen Anwendungsbereich. Es gibt einige Schlüsselprinzipien, die Softwareentwickler heute befolgen können, um den für die Compliance erforderlichen Aufwand und Arbeitsaufwand zu reduzieren.

Hier sind einige erste Schritte, die Softwareentwickler unternehmen können, um die Einhaltung der DSGVO sicherzustellen.

  • Ausbildung. Es ist wichtig, dass jeder in einer Organisation versteht, was personenbezogene Daten sind. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende natürliche Person beziehen. Verstehen Sie die wichtigsten Grundsätze der DSGVO und deren Anwendung auf Ihre Anwendung oder Ihr Produkt.
  • Datenschutz standardmäßig. Der Benutzer sollte über Einstellungen mit maximalem Datenschutz verfügen, wenn er mit der Arbeit mit Ihrer Software beginnt. Die Schutzstufe sollte unverändert bleiben, wenn der Benutzer keine Änderungen an den Einstellungen vornimmt.
  • Privatsphäre integriert. Integrieren Sie Datenschutz von Anfang an in Ihre Software, noch bevor die ersten persönlichen Informationen in das System gelangen.
  • Private Daten rationalisieren. Der beste Weg für eine datenschutzbewusste Zukunft besteht darin, nur das Nötigste an personenbezogenen Daten zu sammeln. Wenn Sie es nicht brauchen, sammeln Sie es nicht ein.
  • Verschlüsseln Sie alle persönlichen Daten. Durch die Verschlüsselung wird die Möglichkeit verringert, dass private Daten bei der Übertragung oder Speicherung preisgegeben werden. Nutzen Sie nach Möglichkeit eine Ende-zu-Ende-Verschlüsselung, um den Schaden einer möglichen Datenschutzverletzung zu mindern.
  • Pseudonymisierung. Bewahren Sie die Informationen, die eine Identifizierung der Person ermöglichen, und die Daten über diese Person getrennt auf. Persönliche Daten so weit verschleiern, dass ihre Identität nicht rekonstruiert werden kann.
  • Benutzerrechte verstehen und planen. Seien Sie sich der neuen Rechte der betroffenen Personen bewusst, wie z. B. das Recht auf „Vergessenwerden“ und das Recht auf Datenübertragbarkeit.
  • Melden Sie alle Datenschutzverstöße. Informieren Sie die Behörden und Benutzer über etwaige Datenschutzverstöße innerhalb von 72 Stunden nach deren Entdeckung. Die Strafen für Nichtbeachtung sind sehr strafbar.
  • Stellen Sie Datenschutzexperten ein. Jedes große Unternehmen muss einen Datenschutzbeauftragten (DPO) einstellen oder ausbilden.
  • Klare und prägnante Compliance-Dokumentation. Dokumentieren Sie klar und deutlich, wie Benutzerdaten erfasst werden und wofür sie verwendet werden. Teilen Sie dem Nutzer mit, wie die Daten gespeichert werden und wer Zugriff darauf hat, auch Dritte. Dokumentieren Sie Compliance-Audits und -Überprüfungen.

Also, was machen Sie als nächstes?

Ich würde Ihnen gerne sagen, dass es ein Allheilmittel oder eine Reihe von Tools gibt, mit denen Sie einfach die DSGVO einhalten können, aber das ist einfach nicht der Fall. Parasoft kann jedoch viel tun, um Ihnen zu helfen. Erstens können Sie unsere nutzen statische Code-Analyse Motoren für JavacC / C ++ und .NET mit guten Sicherheits- und Datenschutzkonfigurationen, um sicherzustellen, dass Ihr Code so sicher wie möglich ist. Sie können sie sogar so konfigurieren, dass strenge Codierungsrichtlinien erzwungen werden, z. B. standardmäßig Verschlüsselung.

Zweitens können Sie die Servicevirtualisierung nutzen, um vollständige End-to-End-Tests durchzuführen, selbst in einer frühen Phase auf dem Entwickler-Desktop. In der Lage zu sein, vollständig zu testen, was mit den Daten passiert, ohne teure Testlabore zur Verfügung zu haben, macht es viel einfacher, die Vorschriften einzuhalten, und indem Sie Entwicklern erlauben, tiefere Tests durchzuführen, werden Sie Probleme früher finden, wenn sie einfacher und billiger zu beheben sind.

Zusammenfassung

Es ist ein wenig beängstigend, und angesichts der möglichen finanziellen Strafen sollte es das in gewisser Weise auch sein. Aber im Großen und Ganzen ist es nicht so schlimm, es sei denn, Ihr Geschäftsmodell basiert auf der Verfolgung von Benutzern und dem Verkauf ihrer Daten. Wenn Sie über ein typisches Geschäftsmodell verfügen und über Kundendaten und Verkäufe verfügen, werden Sie feststellen, dass Compliance kein großes Problem darstellt und den zusätzlichen Vorteil hat, dass Ihr Gesamtsystem in einer Welt, in der es immer häufiger zu Datenschutzverletzungen kommt, sicherer wird. Legen Sie die richtigen Richtlinien fest, führen Sie gründliche, umfassende Tests durch und stellen Sie Ihren Datenschutz durch eine starke statische Codeanalyse sicher.

So wählen Sie ein modernes statisches Analysewerkzeug aus