|
Vorwort |
5 |
|
|
Danksagung |
9 |
|
|
Inhaltsverzeichnis |
11 |
|
|
Über den Autor |
15 |
|
|
Abkürzungsverzeichnis |
16 |
|
|
1 Einführung |
17 |
|
|
1.1 Grundbegriffe des Datenschutzes |
17 |
|
|
1.2 Gesetzliche Grundlagen |
21 |
|
|
1.2.1 Die Datenschutz-Grundverordnung (DSGVO) |
22 |
|
|
1.2.2 Das deutsche Bundesdatenschutzgesetz (BDSG) |
23 |
|
|
1.2.3 Das österreichische Datenschutzgesetz (DSG) |
24 |
|
|
1.2.4 Das Schweizer Bundesgesetz über den Datenschutz (DSG) |
25 |
|
|
1.2.5 Die ePrivacy-Richtlinie und die ePrivacy-Verordnung der EU |
26 |
|
|
1.2.6 Datenschutzgesetze in den USA |
27 |
|
|
1.2.7 Die Data Protection Bill im Vereinigten Königreich |
28 |
|
|
1.3 Andere Referenzmodelle |
28 |
|
|
1.4 Datenschutz und Softwareanforderungen |
31 |
|
|
2 Allgemeine Grundlagen des Datenschutzes nach DSGVO |
34 |
|
|
2.1 Die europäische Datenschutzgrundverordnung (DSGVO) |
34 |
|
|
2.1.1 Grundbegriffe und Aufbau |
34 |
|
|
2.1.2 Anwendungsbereich der DSGVO |
36 |
|
|
2.2 Personenbezogene Daten |
39 |
|
|
2.2.1 Definition personenbezogener Daten |
39 |
|
|
2.2.2 Besondere Kategorien personenbezogener Daten |
40 |
|
|
2.2.3 Metadaten |
41 |
|
|
2.3 Identifizierbarkeit, Pseudonymisierung und Anonymisierung |
42 |
|
|
2.4 Rollen im Datenschutz |
48 |
|
|
2.5 Grundsätze des Datenschutzes nach DSGVO |
51 |
|
|
2.5.1 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz |
51 |
|
|
2.5.2 Zweckbindung |
55 |
|
|
2.5.3 Datenminimierung |
56 |
|
|
2.5.4 Richtigkeit |
56 |
|
|
2.5.5 Speicherbegrenzung |
57 |
|
|
2.5.6 Integrität und Vertraulichkeit |
58 |
|
|
2.5.7 Rechenschaftspflicht |
58 |
|
|
2.6 Rechte der Betroffenen |
59 |
|
|
2.7 Weitere Vorgaben zum Datenschutz nach DSGVO |
63 |
|
|
2.7.1 Technische und organisatorische Maßnahmen (TOM) |
63 |
|
|
2.7.2 Datenschutz durch Technikgestaltung |
63 |
|
|
2.7.3 Datenschutzfreundliche Voreinstellungen |
64 |
|
|
2.7.4 Zusammenarbeit mehrerer Beteiligter |
64 |
|
|
2.7.5 Verzeichnis von Verarbeitungstätigkeiten |
66 |
|
|
2.7.6 Meldung von Datenschutzverletzungen |
68 |
|
|
2.7.7 Datenschutz-Folgenabschätzung (DSFA) |
69 |
|
|
2.7.8 Datenschutzbeauftragte |
71 |
|
|
2.7.9 Zertifizierung |
73 |
|
|
2.7.10 Aufsichtsbehörden |
73 |
|
|
2.8 Konsequenzen bei Nicht-Beachtung |
74 |
|
|
3 Grundsätze des Datenschutzes und deren Umsetzung |
78 |
|
|
3.1 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz |
78 |
|
|
3.1.1 Rechtmäßigkeit der Verarbeitung |
79 |
|
|
3.1.2 Einwilligung |
79 |
|
|
3.1.3 Andere Rechtsgrundlagen |
83 |
|
|
3.1.4 Verarbeitung nach Treu und Glauben |
84 |
|
|
3.1.5 Transparenz |
84 |
|
|
3.1.6 Rechtmäßigkeit und Transparenz bei Webpräsenzen und Online-Marketing |
84 |
|
|
3.2 Zweckbindung |
91 |
|
|
3.2.1 Anforderungen |
91 |
|
|
3.2.2 Softwaretest mit Originaldaten |
92 |
|
|
3.2.3 Datenanalyse, Big Data und maschinelles Lernen |
97 |
|
|
3.3 Datenminimierung |
97 |
|
|
3.4 Richtigkeit |
99 |
|
|
3.5 Speicherbegrenzung |
99 |
|
|
3.5.1 Umsetzung in Softwareentwicklung und IT |
100 |
|
|
3.5.2 Aufbewahrungsfristen und Löschkonzepte |
103 |
|
|
3.5.3 Beispiel: Blockchain |
109 |
|
|
3.6 Integrität und Vertraulichkeit |
111 |
|
|
3.7 Rechenschaftspflicht |
111 |
|
|
4 Rechte der Betroffenen und deren Umsetzung |
114 |
|
|
4.1 Transparente Information und Auskunftsrechte |
114 |
|
|
4.1.1 Informationspflichten und Auskunftsrechte |
115 |
|
|
4.1.2 Authentifizierung von Betroffenen |
119 |
|
|
4.1.3 Transparenz und Datenschutzerklärung bei Webpräsenzen |
120 |
|
|
4.2 Recht auf Berichtigung |
122 |
|
|
4.3 Recht auf Löschung |
122 |
|
|
4.4 Recht auf Einschränkung der Verarbeitung (Sperrung) |
125 |
|
|
4.5 Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung der Verarbeitung |
126 |
|
|
4.6 Recht auf Datenübertragbarkeit |
126 |
|
|
4.7 Widerspruchsrecht |
128 |
|
|
4.8 Automatisierte Einzelfallentscheidungen |
130 |
|
|
5 Austausch von Daten zwischen Beteiligten |
131 |
|
|
5.1 Rahmenbedingungen für den Austausch von personenbezogenen Daten |
131 |
|
|
5.2 Auftragsverarbeitung |
134 |
|
|
5.3 Gemeinsame Verantwortlichkeit |
136 |
|
|
5.4 Übermittlung personenbezogener Daten in Drittländer |
137 |
|
|
5.5 Nutzung von Cloud-Diensten |
140 |
|
|
6 Technische und organisatorische Gestaltung des Datenschutzes |
144 |
|
|
6.1 Technische und organisatorische Maßnahmen (TOM) |
144 |
|
|
6.2 Organisatorische Regelungen |
147 |
|
|
6.2.1 Grundregeln |
147 |
|
|
6.2.2 Umgang mit Datenschutzverletzungen |
148 |
|
|
6.2.3 Schulung und Verpflichtung der Mitarbeiter |
151 |
|
|
6.3 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen |
152 |
|
|
6.3.1 Datenschutz durch Technikgestaltung |
152 |
|
|
6.3.2 Datenschutzfreundliche Voreinstellungen |
153 |
|
|
6.3.3 Privacy by Design nach Cavoukian |
154 |
|
|
6.4 Das Standard-Datenschutzmodell |
155 |
|
|
6.5 Anonymisierung von Daten |
157 |
|
|
6.5.1 Grundbegriffe |
157 |
|
|
6.5.2 Vorgehensweise zur Anonymisierung |
160 |
|
|
6.5.3 Anonymisierung auf Basis von Anonymitätsmodellen |
165 |
|
|
6.5.4 k-Anonymität |
166 |
|
|
6.5.5 Differentielle Privatheit (Differential Privacy) |
167 |
|
|
6.6 Einbettung des Datenschutzes in den Software-Lebenszyklus |
170 |
|
|
6.6.1 Analyse |
171 |
|
|
6.6.2 Design und Architektur |
172 |
|
|
6.6.3 Implementierung |
174 |
|
|
6.6.4 Test und Abnahme |
174 |
|
|
6.6.5 Übernahme in den IT-Betrieb |
175 |
|
|
6.6.6 IT-Betrieb |
175 |
|
|
6.6.7 Änderungsmanagement |
176 |
|
|
6.6.8 Außerdienststellung |
177 |
|
|
6.6.9 Agile Entwicklung |
177 |
|
|
6.7 Datenschutz bei Plattformen und Software-Ökosystemen |
179 |
|
|
7 Grundbegriffe der IT-Sicherheit |
183 |
|
|
7.1 IT-Sicherheit |
183 |
|
|
7.2 IT-Sicherheitsmanagement |
185 |
|
|
7.3 Identifikation, Authentifizierung und Autorisierung |
186 |
|
|
7.3.1 Identifikation |
186 |
|
|
7.3.2 Authentifizierung |
187 |
|
|
7.3.3 Autorisierung |
193 |
|
|
7.4 Verschlüsselung |
193 |
|
|
7.4.1 Grundbegriffe |
194 |
|
|
7.4.2 Sicherheit der Verschlüsselungsverfahren |
194 |
|
|
7.4.3 Symmetrische und asymmetrische Verschlüsselung |
195 |
|
|
7.4.4 Kryptografische Hash-Funktionen |
198 |
|
|
7.4.5 Langfristiger Schutz von personenbezogenen Daten |
200 |
|
|
7.4.6 Ausblick: Quantencomputing und Post-Quanten-Kryptologie |
200 |
|
|
7.4.7 Sicherer Datenaustausch |
201 |
|
|
Literatur |
204 |
|
|
8 Datenschutz innerhalb einer IT-Organisation |
205 |
|
|
8.1 Softwareentwickler und IT als Betroffene des Datenschutzes |
205 |
|
|
8.2 Umsetzung des Datenschutzes innerhalb einer IT-Organisation |
208 |
|
|
8.3 Selbstdatenschutz |
209 |
|
|
A Auszüge aus wichtigen Datenschutzgesetzen |
211 |
|
|
A.1 Charta der Grundrechte der Europäischen Union |
211 |
|
|
A.2 Datenschutz-Grundverordnung (DSGVO) |
211 |
|
|
A.3 Links zu relevanten Gesetzestexten |
215 |
|
|
Glossar |
216 |
|
|
Stichwortverzeichnis |
218 |
|