DSGVO Artikel 25 befasst sich mit dem Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.
Dieses Konzept stellt sicher, dass der Datenverantwortliche die Privatsphäre einer betroffenen Person in jeder Phase seines Betriebs berücksichtigt und Datenverarbeitungsvorgänge entwirft, die die DSGVO in den Mittelpunkt einer Reihe von Zielen stellen.
Um dies zu erreichen, müssen Organisationen zunächst eindeutige Datenschutzziele definieren, bevor sie die Entwicklung und anschließende Implementierung eines Datenverarbeitungsvorgangs (oder, stellvertretend, eines Produkts) in Angriff nehmen.
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
- Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der mit der Verarbeitung verbundenen Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen hat der Verantwortliche Folgendes zu tun: sowohl zum Zeitpunkt der Festlegung der Mittel zur Verarbeitung als auch zum Zeitpunkt der Verarbeitung selbst geeignete technische und organisatorische Maßnahmen, wie z. B. Pseudonymisierung, ergreifen, die darauf abzielen, datenschutzrechtliche Grundsätze, wie z. B. Datenminimierung, wirksam umzusetzen Art und Weise zu verarbeiten und die erforderlichen Garantien in die Verarbeitung zu integrieren, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen.
- Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind. Diese Verpflichtung gilt für den Umfang der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, die Dauer ihrer Speicherung und ihre Zugänglichkeit. Durch solche Maßnahmen soll insbesondere sichergestellt werden, dass personenbezogene Daten standardmäßig nicht ohne Zutun des Einzelnen einer unbestimmten Anzahl natürlicher Personen zugänglich gemacht werden.
- Ein genehmigter Zertifizierungsmechanismus gemäß Artikel 42 kann als Element zum Nachweis der Einhaltung der in den Absätzen 1 und 2 dieses Artikels festgelegten Anforderungen verwendet werden.
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
- Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der mit der Verarbeitung verbundenen Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen hat der Verantwortliche Folgendes zu tun: sowohl zum Zeitpunkt der Festlegung der Mittel zur Verarbeitung als auch zum Zeitpunkt der Verarbeitung selbst geeignete technische und organisatorische Maßnahmen, wie z. B. Pseudonymisierung, ergreifen, die darauf abzielen, datenschutzrechtliche Grundsätze, wie z. B. Datenminimierung, wirksam umzusetzen Art und Weise zu verarbeiten und die erforderlichen Garantien in die Verarbeitung zu integrieren, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen.
- Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind. Diese Verpflichtung gilt für den Umfang der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, die Dauer ihrer Speicherung und ihre Zugänglichkeit. Durch solche Maßnahmen soll insbesondere sichergestellt werden, dass personenbezogene Daten standardmäßig nicht ohne Zutun des Einzelnen einer unbestimmten Anzahl natürlicher Personen zugänglich gemacht werden.
- Ein genehmigter Zertifizierungsmechanismus gemäß Artikel 42 kann als Element zum Nachweis der Einhaltung der in den Absätzen 1 und 2 dieses Artikels festgelegten Anforderungen verwendet werden.
Wenn Sie ISMS.online nicht nutzen, machen Sie sich das Leben schwerer als nötig!
Wenn eine Organisation einen Datenverarbeitungsvorgang entwickeln möchte, der den Datenschutz „by Design“ und „by Default“ einhält, müssen mehrere wichtige Faktoren berücksichtigt werden:
Organisationen müssen sich einem Mapping unterziehen, das sowohl interne als auch externe Faktoren im Zusammenhang mit der Implementierung eines PIMS auflistet.
Die Organisation muss in der Lage sein, zu verstehen, wie sie ihre Datenschutzergebnisse erreichen will, und alle Probleme, die dem Schutz personenbezogener Daten im Wege stehen, sollten identifiziert und angegangen werden.
Bevor Organisationen versuchen, sich mit dem Schutz der Privatsphäre zu befassen und eine PII zu implementieren, müssen sie sich zunächst über ihre Pflichten als alleiniger oder gemeinsamer PII-Verantwortlicher und/oder -Verarbeiter informieren.
Dies beinhaltet:
Organisationen sollten Geheimhaltungsvereinbarungen (NDAs) und Vertraulichkeitsvereinbarungen nutzen, um die vorsätzliche oder versehentliche Weitergabe sensibler Informationen an unbefugtes Personal zu schützen.
Bei der Ausarbeitung, Umsetzung und Aufrechterhaltung solcher Vereinbarungen sollten Organisationen:
Vertraulichkeitsgesetze variieren von Gerichtsbarkeit zu Gerichtsbarkeit, und Organisationen sollten bei der Ausarbeitung von NDAs und Vertraulichkeitsvereinbarungen ihre eigenen rechtlichen und behördlichen Verpflichtungen berücksichtigen (siehe ISO 27002 Kontrollen 5.31, 5.32, 5.33 und 5.34).
Unternehmen müssen sicherstellen, dass der Entwicklungslebenszyklus unter Berücksichtigung des Datenschutzes erstellt wird.
Um dies zu erreichen, sollten Organisationen:
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Wir sind kostengünstig und schnell
Das Organisationssystem sollte unter Berücksichtigung des Datenschutzes entworfen, dokumentiert, implementiert und gewartet werden:
Technische Grundsätze sollten Folgendes analysieren:
Technische Grundsätze sollten Folgendes berücksichtigen:
Secure Systems Engineering sollte Folgendes umfassen:
Unternehmen sollten bei der Sicherheit standardmäßig einen „Zero Trust“-Ansatz verfolgen.
Wenn die Organisation die Entwicklung an Drittorganisationen auslagert, sollten Anstrengungen unternommen werden, um sicherzustellen, dass die Sicherheitsprinzipien des Partners mit denen der Organisation übereinstimmen.
Organisationen sollten PII außerdem nur dann verarbeiten, wenn sie relevant, verhältnismäßig und notwendig sind, um einen angegebenen Zweck zu erfüllen, einschließlich:
DSGVO-Artikel | ISO 27701-Klausel | ISO 27002-Kontrollen |
---|---|---|
EU-DSGVO Artikel 25 (3) | ISO 27701 5.2.1 | Andere |
EU-DSGVO Artikel 25 Absatz 1 Buchstabe f | ISO 27701 6.10.2.4 | ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
EU-DSGVO Artikel 25 (1) | ISO 27701 6.11.2.1 | ISO 27002 5.8 ISO 27002 8.4 ISO 27002 8.9 ISO 27002 8.27 ISO 27002 8.28 ISO 27002 8.30 ISO 27002 8.31 |
EU-DSGVO Artikel 25 (1) | ISO 27701 6.11.2.5 | ISO 27002 5.15 ISO 27002 5.18 ISO 27002 8.2 ISO 27002 8.5 |
EU-DSGVO Artikel 25 (2) | ISO 27701 7.4.2 | Andere |
Wir stellen Ihnen eine vorgefertigte Umgebung zur Verfügung, in der Sie beschreiben und demonstrieren können, wie Sie die Daten Ihrer europäischen und britischen Kunden schützen.
Die ISMS.online-Plattform verfügt über integrierte Anleitungen für jeden Schritt in Kombination mit unserem Implementierungsansatz „Adopt, Adapt, Add“, sodass der Aufwand für die Demonstration Ihres Ansatzes zur DSGVO erheblich reduziert wird.
Sie profitieren außerdem von einer Reihe leistungsstarker zeitsparender Funktionen.
Erfahren Sie mehr von Buchen Sie eine kurze 30-minütige Demo.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo