DSGVO-Datenminimierung Compliance 

Teil2 / Systemseitig Verfahren mit Anonymisierung und Pseudonymisierung

Hier unser Teil 2 zum Thema DSGVO Umsetzung der Datenminimierung.

Seit Mai 2018 ist die Europäische Datenschutzgrundverordnung (EU-DSGVO)  in Kraft getreten. Unternehmer müssen somit deutlich höhere Anforderungen im Umgang mit personenbezogenen Daten erfüllen. Hier erhalten Ratschläge, wie Sie die Datenminimierung umsetzen können.

Durch die immer stärkere Vernetzung und die Verlagerung von Datenansammlungen in die Cloud sind Unternehmensdaten folglich immer größeren Gefahren auch durch die Cyberkriminalität ausgesetzt. Nicht nur die personenbezogenen Daten, sondern unter anderem auch die sensiblen Unternehmensdaten sind vor unberechtigtem Zugriff zu schützen.

 

Datenschutz durch Pseudonymisierung

Grundsätzliche Prinzipien bei der Verarbeitung von personenbezogenen Daten sind „Data protection by design“ und „Data protection by default“.

Die Verordnung empfiehlt hier die Pseudonymisierung zur Erreichung des angemessenen Schutzniveaus. Der Artikel 25 des EU-DSGVO beschreibt, dass die Pseudonymisierung vor allem hilft den Datenschutzgrundsatz “Datenminimierung” wirksam umzusetzen und somit die Rechte der betroffenen Personen zu schützen.

Positiv: Pseudonymisierung ist hervorragend, um Risiken wie Insider-Bedrohungen oder die Auswirkungen von Datenabflüssen sowie Reduzierung von unerlaubten Zugriffen und Einsichtsnahmen.

Diese Möglichkeiten der Anonymisierungs- und Pseudonymisierungsverfahren schützen sensible Daten vor unerlaubten Zugriffen durch Dritte.

Bei beiden Verfahren werden gerne als Verschlüsselungsverfahren eingesetzt.

 

Wie funktioniert die Pseudonymisierung?

Bei der Pseudonymisierung wird das Originaldatum durch einen anderen Wert ersetzt. Zur Nachvollziehbarkeit Erfolgt auch eine Speicherung der erfolgten Zuordnung zwischen Original und Ersatz.

Beim Bedarf zum späteren Zeitpunkt kann somit anhand der gespeicherten Zuordnung jederzeit das Originaldatum abgerufen und rekonstruiert werden.

 

Datenschutz durch Anonymisierung

Im Gegensatz dazu wird bei der Anonymisierung das Original derart ersetzt, dass ein Rückschluss aus den anonymisierten Daten auf die ursprünglichen Daten nicht mehr nachvollziehbar ist. Bei der Anonymisierung wird der Verschlüsselungscode “vernichtet”. Damit ist die Rekonstruktion der Daten ausgeschlossen.

Anonymisierung kommt in der IT zum Einsatz bei:

  • Testdatenbereitstellung
  • Datenübergabe an Sekundärsysteme wie Data Warehousesund Reporting Lösung

Wenn immer wieder Zugriff auf die Originaldaten erforderlich wird, ist die Pseudonymisierung das richtige Verfahren der Wahl:

 

Achtung bei der Auswahl

Die Auswahl des geeigneten Verfahrens ist zum einen von den jeweiligen Geschäftsanforderungen und des weiteren von den IT-technischen Rahmenbedingungen abhängig. Bei der Auswahl der Daten ist sorgfältig darauf zu achten, zum einen die gesetzlichen Vorgaben einzuhalten und gleichzeitig auch flexible Auswertungsmöglichkeiten wie Beispielsweise für Data Analytics zu gewährleisten.

 

Wichtig ! Durch die Einführung von Datenschutzmaßnahmen ist die Prozess-Effizienz dahingegen nicht zu beeinträchtigen.

Zusätzlich sind die technischen Lösungen hochgradig skalierbar zu sein.

 

Fazit

Sowohl für die Anonymisierung als auch für die Pseudonymisierung sind unterschiedliche Produkte verfügbar. Das Leistungsangebot ist ausreichend vorhanden. Von der Verschlüsselung über Ersatzmechanismen bis hin zum Löschen von Daten. Verschlüsselungsarten können beispielsweise einzelne Datenbank-Spalten von Datensätzen, sowie komplette Dateien sowie auch ganze Speicher sein.

Sehr ausgeprägte Lösungen gibt es schon in vielen Bereichen. Unter anderem bei der Verarbeitung von Kreditkartendaten nach dem Payment Card Industry Data Security Standard (PCI DSS), wo vor allem Ersatzmechanismen in Form von Tokens zum Einsatz kommen.

Weiterhin bieten die Cloud-Anbieter hier häufig eigene Verschlüsselungs-Lösungen an.

Zusätzlich etablieren sich eigenständige Anbieter mit speziellen Lösungen für die sichere Datenspeicherung in der Cloud.

 

Haben Sie schon unseren Teil 1 zur Datenminimierung gelesen?

DSGVO: TEIL 1  Datenminimierung und Datensparsamkeit

https://datenschutzbeauftragter-dsgvo.com/dsgvo-teil-1-datenminimierung-und-datensparsamkeit/

 

DSGVO: Löschkonzept – Das müssen Sie beim Löschen beachten:

https://datenschutzbeauftragter-dsgvo.com/dsgvo-loeschkonzept-das-muessen-sie-beim-loeschen-beachten/