Datenschutz für Softwareentwicklung und IT (eBook)

Vorwort 5
Danksagung 9
Inhaltsverzeichnis 11
Über den Autor 15
Abkürzungsverzeichnis 16
1 Einführung 17
1.1 Grundbegriffe des Datenschutzes 17
1.2 Gesetzliche Grundlagen 21
1.2.1 Die Datenschutz-Grundverordnung (DSGVO) 22
1.2.2 Das deutsche Bundesdatenschutzgesetz (BDSG) 23
1.2.3 Das österreichische Datenschutzgesetz (DSG) 24
1.2.4 Das Schweizer Bundesgesetz über den Datenschutz (DSG) 25
1.2.5 Die ePrivacy-Richtlinie und die ePrivacy-Verordnung der EU 26
1.2.6 Datenschutzgesetze in den USA 27
1.2.7 Die Data Protection Bill im Vereinigten Königreich 28
1.3 Andere Referenzmodelle 28
1.4 Datenschutz und Softwareanforderungen 31
2 Allgemeine Grundlagen des Datenschutzes nach DSGVO 34
2.1 Die europäische Datenschutzgrundverordnung (DSGVO) 34
2.1.1 Grundbegriffe und Aufbau 34
2.1.2 Anwendungsbereich der DSGVO 36
2.2 Personenbezogene Daten 39
2.2.1 Definition personenbezogener Daten 39
2.2.2 Besondere Kategorien personenbezogener Daten 40
2.2.3 Metadaten 41
2.3 Identifizierbarkeit, Pseudonymisierung und Anonymisierung 42
2.4 Rollen im Datenschutz 48
2.5 Grundsätze des Datenschutzes nach DSGVO 51
2.5.1 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz 51
2.5.2 Zweckbindung 55
2.5.3 Datenminimierung 56
2.5.4 Richtigkeit 56
2.5.5 Speicherbegrenzung 57
2.5.6 Integrität und Vertraulichkeit 58
2.5.7 Rechenschaftspflicht 58
2.6 Rechte der Betroffenen 59
2.7 Weitere Vorgaben zum Datenschutz nach DSGVO 63
2.7.1 Technische und organisatorische Maßnahmen (TOM) 63
2.7.2 Datenschutz durch Technikgestaltung 63
2.7.3 Datenschutzfreundliche Voreinstellungen 64
2.7.4 Zusammenarbeit mehrerer Beteiligter 64
2.7.5 Verzeichnis von Verarbeitungstätigkeiten 66
2.7.6 Meldung von Datenschutzverletzungen 68
2.7.7 Datenschutz-Folgenabschätzung (DSFA) 69
2.7.8 Datenschutzbeauftragte 71
2.7.9 Zertifizierung 73
2.7.10 Aufsichtsbehörden 73
2.8 Konsequenzen bei Nicht-Beachtung 74
3 Grundsätze des Datenschutzes und deren Umsetzung 78
3.1 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz 78
3.1.1 Rechtmäßigkeit der Verarbeitung 79
3.1.2 Einwilligung 79
3.1.3 Andere Rechtsgrundlagen 83
3.1.4 Verarbeitung nach Treu und Glauben 84
3.1.5 Transparenz 84
3.1.6 Rechtmäßigkeit und Transparenz bei Webpräsenzen und Online-Marketing 84
3.2 Zweckbindung 91
3.2.1 Anforderungen 91
3.2.2 Softwaretest mit Originaldaten 92
3.2.3 Datenanalyse, Big Data und maschinelles Lernen 97
3.3 Datenminimierung 97
3.4 Richtigkeit 99
3.5 Speicherbegrenzung 99
3.5.1 Umsetzung in Softwareentwicklung und IT 100
3.5.2 Aufbewahrungsfristen und Löschkonzepte 103
3.5.3 Beispiel: Blockchain 109
3.6 Integrität und Vertraulichkeit 111
3.7 Rechenschaftspflicht 111
4 Rechte der Betroffenen und deren Umsetzung 114
4.1 Transparente Information und Auskunftsrechte 114
4.1.1 Informationspflichten und Auskunftsrechte 115
4.1.2 Authentifizierung von Betroffenen 119
4.1.3 Transparenz und Datenschutzerklärung bei Webpräsenzen 120
4.2 Recht auf Berichtigung 122
4.3 Recht auf Löschung 122
4.4 Recht auf Einschränkung der Verarbeitung (Sperrung) 125
4.5 Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung der Verarbeitung 126
4.6 Recht auf Datenübertragbarkeit 126
4.7 Widerspruchsrecht 128
4.8 Automatisierte Einzelfallentscheidungen 130
5 Austausch von Daten zwischen Beteiligten 131
5.1 Rahmenbedingungen für den Austausch von personenbezogenen Daten 131
5.2 Auftragsverarbeitung 134
5.3 Gemeinsame Verantwortlichkeit 136
5.4 Übermittlung personenbezogener Daten in Drittländer 137
5.5 Nutzung von Cloud-Diensten 140
6 Technische und organisatorische Gestaltung des Datenschutzes 144
6.1 Technische und organisatorische Maßnahmen (TOM) 144
6.2 Organisatorische Regelungen 147
6.2.1 Grundregeln 147
6.2.2 Umgang mit Datenschutzverletzungen 148
6.2.3 Schulung und Verpflichtung der Mitarbeiter 151
6.3 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen 152
6.3.1 Datenschutz durch Technikgestaltung 152
6.3.2 Datenschutzfreundliche Voreinstellungen 153
6.3.3 Privacy by Design nach Cavoukian 154
6.4 Das Standard-Datenschutzmodell 155
6.5 Anonymisierung von Daten 157
6.5.1 Grundbegriffe 157
6.5.2 Vorgehensweise zur Anonymisierung 160
6.5.3 Anonymisierung auf Basis von Anonymitätsmodellen 165
6.5.4 k-Anonymität 166
6.5.5 Differentielle Privatheit (Differential Privacy) 167
6.6 Einbettung des Datenschutzes in den Software-Lebenszyklus 170
6.6.1 Analyse 171
6.6.2 Design und Architektur 172
6.6.3 Implementierung 174
6.6.4 Test und Abnahme 174
6.6.5 Übernahme in den IT-Betrieb 175
6.6.6 IT-Betrieb 175
6.6.7 Änderungsmanagement 176
6.6.8 Außerdienststellung 177
6.6.9 Agile Entwicklung 177
6.7 Datenschutz bei Plattformen und Software-Ökosystemen 179
7 Grundbegriffe der IT-Sicherheit 183
7.1 IT-Sicherheit 183
7.2 IT-Sicherheitsmanagement 185
7.3 Identifikation, Authentifizierung und Autorisierung 186
7.3.1 Identifikation 186
7.3.2 Authentifizierung 187
7.3.3 Autorisierung 193
7.4 Verschlüsselung 193
7.4.1 Grundbegriffe 194
7.4.2 Sicherheit der Verschlüsselungsverfahren 194
7.4.3 Symmetrische und asymmetrische Verschlüsselung 195
7.4.4 Kryptografische Hash-Funktionen 198
7.4.5 Langfristiger Schutz von personenbezogenen Daten 200
7.4.6 Ausblick: Quantencomputing und Post-Quanten-Kryptologie 200
7.4.7 Sicherer Datenaustausch 201
Literatur 204
8 Datenschutz innerhalb einer IT-Organisation 205
8.1 Softwareentwickler und IT als Betroffene des Datenschutzes 205
8.2 Umsetzung des Datenschutzes innerhalb einer IT-Organisation 208
8.3 Selbstdatenschutz 209
A Auszüge aus wichtigen Datenschutzgesetzen 211
A.1 Charta der Grundrechte der Europäischen Union 211
A.2 Datenschutz-Grundverordnung (DSGVO) 211
A.3 Links zu relevanten Gesetzestexten 215
Glossar 216
Stichwortverzeichnis 218