So weisen Sie die Einhaltung von Artikel 25 der DSGVO nach

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Demo buchen

jung, weiblich, Unternehmer, Freiberufler, arbeiten, mit, einem, Laptop, in, Coworking

DSGVO Artikel 25 befasst sich mit dem Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.

Dieses Konzept stellt sicher, dass der Datenverantwortliche die Privatsphäre einer betroffenen Person in jeder Phase seines Betriebs berücksichtigt und Datenverarbeitungsvorgänge entwirft, die die DSGVO in den Mittelpunkt einer Reihe von Zielen stellen.

Um dies zu erreichen, müssen Organisationen zunächst eindeutige Datenschutzziele definieren, bevor sie die Entwicklung und anschließende Implementierung eines Datenverarbeitungsvorgangs (oder, stellvertretend, eines Produkts) in Angriff nehmen.

DSGVO Artikel 25 Gesetzestext

EU-DSGVO-Version

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

  1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der mit der Verarbeitung verbundenen Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen hat der Verantwortliche Folgendes zu tun: sowohl zum Zeitpunkt der Festlegung der Mittel zur Verarbeitung als auch zum Zeitpunkt der Verarbeitung selbst geeignete technische und organisatorische Maßnahmen, wie z. B. Pseudonymisierung, ergreifen, die darauf abzielen, datenschutzrechtliche Grundsätze, wie z. B. Datenminimierung, wirksam umzusetzen Art und Weise zu verarbeiten und die erforderlichen Garantien in die Verarbeitung zu integrieren, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen.

  2. Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind. Diese Verpflichtung gilt für den Umfang der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, die Dauer ihrer Speicherung und ihre Zugänglichkeit. Durch solche Maßnahmen soll insbesondere sichergestellt werden, dass personenbezogene Daten standardmäßig nicht ohne Zutun des Einzelnen einer unbestimmten Anzahl natürlicher Personen zugänglich gemacht werden.

  3. Ein genehmigter Zertifizierungsmechanismus gemäß Artikel 42 kann als Element zum Nachweis der Einhaltung der in den Absätzen 1 und 2 dieses Artikels festgelegten Anforderungen verwendet werden.

Britische DSGVO-Version

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

  1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der mit der Verarbeitung verbundenen Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen hat der Verantwortliche Folgendes zu tun: sowohl zum Zeitpunkt der Festlegung der Mittel zur Verarbeitung als auch zum Zeitpunkt der Verarbeitung selbst geeignete technische und organisatorische Maßnahmen, wie z. B. Pseudonymisierung, ergreifen, die darauf abzielen, datenschutzrechtliche Grundsätze, wie z. B. Datenminimierung, wirksam umzusetzen Art und Weise zu verarbeiten und die erforderlichen Garantien in die Verarbeitung zu integrieren, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen.

  2. Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind. Diese Verpflichtung gilt für den Umfang der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, die Dauer ihrer Speicherung und ihre Zugänglichkeit. Durch solche Maßnahmen soll insbesondere sichergestellt werden, dass personenbezogene Daten standardmäßig nicht ohne Zutun des Einzelnen einer unbestimmten Anzahl natürlicher Personen zugänglich gemacht werden.

  3. Ein genehmigter Zertifizierungsmechanismus gemäß Artikel 42 kann als Element zum Nachweis der Einhaltung der in den Absätzen 1 und 2 dieses Artikels festgelegten Anforderungen verwendet werden.

Zum Thema springen
Wenn Sie ISMS.online nicht nutzen, machen Sie sich das Leben schwerer als nötig!
Mark Wightman
Chief Technical Officer Aluma
100 % unserer Benutzer bestehen die Zertifizierung beim ersten Mal
Buchen Sie Ihre Demo

Technischer Kommentar

Wenn eine Organisation einen Datenverarbeitungsvorgang entwickeln möchte, der den Datenschutz „by Design“ und „by Default“ einhält, müssen mehrere wichtige Faktoren berücksichtigt werden:

  • Technologische Entwicklungen.

  • Implementierungskosten.

  • Die Art der Operation (Kontext und Zweck).

  • Risiken und Freiheiten des Einzelnen.

  • Umfang (d. h. wo Daten gesammelt werden sollen).

  • Datenminimierung.

  • Das Konzept der „angemessenen“ Maßnahmen.

ISO 27701 Abschnitt 5.2.1 (Die Organisation und ihren Kontext verstehen) und EU-DSGVO Artikel 25 (3)

Organisationen müssen sich einem Mapping unterziehen, das sowohl interne als auch externe Faktoren im Zusammenhang mit der Implementierung eines PIMS auflistet.

Die Organisation muss in der Lage sein, zu verstehen, wie sie ihre Datenschutzergebnisse erreichen will, und alle Probleme, die dem Schutz personenbezogener Daten im Wege stehen, sollten identifiziert und angegangen werden.

Bevor Organisationen versuchen, sich mit dem Schutz der Privatsphäre zu befassen und eine PII zu implementieren, müssen sie sich zunächst über ihre Pflichten als alleiniger oder gemeinsamer PII-Verantwortlicher und/oder -Verarbeiter informieren.

Dies beinhaltet:

  • Überprüfung aller geltenden Datenschutzgesetze, -vorschriften oder „gerichtlichen Entscheidungen“.

  • Berücksichtigung der einzigartigen Anforderungen der Organisation in Bezug auf die Art der von ihr verkauften Produkte und Dienstleistungen sowie unternehmensspezifischer Governance-Dokumente, Richtlinien und Verfahren.

  • Alle administrativen Faktoren, einschließlich des Tagesgeschäfts des Unternehmens.

  • Vereinbarungen oder Dienstleistungsverträge mit Dritten, die möglicherweise Auswirkungen auf personenbezogene Daten und den Schutz der Privatsphäre haben.

ISO 27701 Klausel 6.10.2.4 (Vertraulichkeits- oder Geheimhaltungsvereinbarungen) und EU-DSGVO Artikel 25 (1)(f)

Organisationen sollten Geheimhaltungsvereinbarungen (NDAs) und Vertraulichkeitsvereinbarungen nutzen, um die vorsätzliche oder versehentliche Weitergabe sensibler Informationen an unbefugtes Personal zu schützen.

Bei der Ausarbeitung, Umsetzung und Aufrechterhaltung solcher Vereinbarungen sollten Organisationen:

  • Bieten Sie eine Definition für die Informationen an, die geschützt werden sollen.

  • Geben Sie die voraussichtliche Laufzeit der Vereinbarung klar an.

  • Geben Sie alle erforderlichen Maßnahmen klar an, sobald eine Vereinbarung beendet wurde.

  • Alle Verantwortlichkeiten, die von bestätigten Unterzeichnern vereinbart wurden.

  • Eigentum an Informationen (einschließlich geistigem Eigentum und Geschäftsgeheimnissen).

  • Wie Unterzeichner die Informationen nutzen dürfen.

  • Beschreiben Sie klar und deutlich das Recht der Organisation, vertrauliche Informationen zu überwachen.

  • Alle Konsequenzen, die sich aus der Nichteinhaltung ergeben.

  • Überprüfen Sie regelmäßig ihre Vertraulichkeitsbedürfnisse und passen Sie zukünftige Vereinbarungen entsprechend an.

Vertraulichkeitsgesetze variieren von Gerichtsbarkeit zu Gerichtsbarkeit, und Organisationen sollten bei der Ausarbeitung von NDAs und Vertraulichkeitsvereinbarungen ihre eigenen rechtlichen und behördlichen Verpflichtungen berücksichtigen (siehe ISO 27002 Kontrollen 5.31, 5.32, 5.33 und 5.34).

Unterstützung von ISO 27002-Kontrollen

  • ISO 27002 5.31
  • ISO 27002 5.32
  • ISO 27002 5.33
  • ISO 27002 5.34

ISO 27701 Abschnitt 6.11.2.1 (Secure Development Policy) und EU-DSGVO Artikel 25 (1)

Unternehmen müssen sicherstellen, dass der Entwicklungslebenszyklus unter Berücksichtigung des Datenschutzes erstellt wird.

Um dies zu erreichen, sollten Organisationen:

  1. Arbeiten Sie mit separaten Entwicklungs-, Test- und Entwicklungsumgebungen (siehe ISO 27002 Control 8.31).

  2. Veröffentlichen Sie Leitlinien zum Schutz der Privatsphäre während des gesamten Entwicklungslebenszyklus, einschließlich Methoden, Codierungsrichtlinien und Programmiersprachen (siehe ISO 27002-Kontrollen 8.28, 8.27 und 5.8).

  3. Skizzieren Sie Sicherheitsanforderungen in der Spezifikations- und Designphase (siehe ISO 27002 Control 5.8).

  4. Implementieren Sie Sicherheitskontrollpunkte in allen relevanten Projekten (siehe ISO 27002 Control 5.8).

  5. Führen Sie System- und Sicherheitstests durch, einschließlich Code-Scans und Penetrationstests (siehe ISO 27002 Control 5.8).

  6. Bieten Sie sichere Repositorys für den gesamten Quellcode an (siehe ISO 27002 Controls 8.4 und 8.9).

  7. Führen Sie strenge Versionskontrollverfahren durch (siehe ISO 27002 Control 8.32).

  8. Bieten Sie Mitarbeitern Schulungen zum Datenschutz und zur Anwendungssicherheit an (siehe ISO 27002 Control 8.28).

  9. Analysieren Sie die Fähigkeit eines Entwicklers, Schwachstellen zu lokalisieren, zu mindern und zu beseitigen (siehe ISO 27002 Control 8.28).

  10. Dokumentieren Sie alle aktuellen oder zukünftigen Lizenzanforderungen (siehe ISO 27002 Control 8.30).

Unterstützung von ISO 27002-Kontrollen

  • ISO 27002 5.8
  • ISO 27002 8.4
  • ISO 27002 8.9
  • ISO 27002 8.27
  • ISO 27002 8.28
  • ISO 27002 8.30
  • ISO 27002 8.31

Siehe ISMS.online
in Aktion

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Wir sind kostengünstig und schnell

Entdecken Sie, wie das Ihren ROI steigert
Holen Sie sich Ihr Angebot

ISO 27701 Abschnitt 6.11.2.5 (Sichere Entwicklungsumgebung) und EU-DSGVO Artikel 25 (1)

Das Organisationssystem sollte unter Berücksichtigung des Datenschutzes entworfen, dokumentiert, implementiert und gewartet werden:

Technische Grundsätze sollten Folgendes analysieren:

  • Eine breite Palette von Sicherheitskontrollen, die zum Schutz personenbezogener Daten vor spezifischen und allgemeinen Bedrohungen erforderlich sind.

  • Wie gut die Sicherheitskontrollen für den Umgang mit größeren Sicherheitsvorfällen ausgestattet sind.

  • Gezielte, auf einzelne Geschäftsprozesse abgestimmte Kontrollen.

  • Wo im Netzwerk und wie Sicherheitskontrollen sollten implementiert werden.

  • Wie verschiedene Steuerungen im Einklang miteinander arbeiten.

Technische Grundsätze sollten Folgendes berücksichtigen:

  1. Architektonische Integration.

  2. Technische Sicherheitsmaßnahmen (Verschlüsselung, IAM, DAM etc.)

  3. Wie gut die Organisation für die Implementierung und Wartung der gewählten Lösung gerüstet ist.

  4. Best-Practice-Richtlinien der Branche.

Secure Systems Engineering sollte Folgendes umfassen:

  • Bewährte, branchenübliche Architekturprinzipien.

  • Eine umfassende Designüberprüfung, die Schwachstellen aufzeigt und dabei hilft, einen durchgängigen Ansatz zur Einhaltung zu entwickeln.

  • Vollständige Offenlegung aller Sicherheitskontrollen, die nicht den erwarteten Anforderungen entsprechen.

  • Systemhärtung.

Unternehmen sollten bei der Sicherheit standardmäßig einen „Zero Trust“-Ansatz verfolgen.

Wenn die Organisation die Entwicklung an Drittorganisationen auslagert, sollten Anstrengungen unternommen werden, um sicherzustellen, dass die Sicherheitsprinzipien des Partners mit denen der Organisation übereinstimmen.

Unterstützung von ISO 27002-Kontrollen

  • ISO 27002 5.15
  • ISO 27002 5.18
  • ISO 27002 8.2
  • ISO 27002 8.5

ISO 27701 Klausel 7.4.2 (Einschränkung der Verarbeitung) und EU-DSGVO Artikel 25 (2)

Organisationen sollten PII außerdem nur dann verarbeiten, wenn sie relevant, verhältnismäßig und notwendig sind, um einen angegebenen Zweck zu erfüllen, einschließlich:

  1. Offenlegung.

  2. Lagerung.

  3. Zugänglichkeit.

Unterstützende ISO 27701-Klauseln und ISO 27002-Kontrollen

DSGVO-ArtikelISO 27701-KlauselISO 27002-Kontrollen
EU-DSGVO Artikel 25 (3)ISO 27701 5.2.1Andere
EU-DSGVO Artikel 25 Absatz 1 Buchstabe fISO 27701 6.10.2.4ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34
EU-DSGVO Artikel 25 (1)ISO 27701 6.11.2.1ISO 27002 5.8
ISO 27002 8.4
ISO 27002 8.9
ISO 27002 8.27
ISO 27002 8.28
ISO 27002 8.30
ISO 27002 8.31
EU-DSGVO Artikel 25 (1)ISO 27701 6.11.2.5ISO 27002 5.15
ISO 27002 5.18
ISO 27002 8.2
ISO 27002 8.5
EU-DSGVO Artikel 25 (2)ISO 27701 7.4.2Andere

Wie ISMS.online hilft

Wir stellen Ihnen eine vorgefertigte Umgebung zur Verfügung, in der Sie beschreiben und demonstrieren können, wie Sie die Daten Ihrer europäischen und britischen Kunden schützen.

Die ISMS.online-Plattform verfügt über integrierte Anleitungen für jeden Schritt in Kombination mit unserem Implementierungsansatz „Adopt, Adapt, Add“, sodass der Aufwand für die Demonstration Ihres Ansatzes zur DSGVO erheblich reduziert wird.

Sie profitieren außerdem von einer Reihe leistungsstarker zeitsparender Funktionen.

  • ROPA leicht gemacht
  • Bewertungsvorlagen
  • Ein sicherer Raum für DRR (Data Subject Rights Requests)
  • Verletzungsmanagement

Erfahren Sie mehr von Buchen Sie eine kurze 30-minütige Demo.

Entdecken Sie unsere Plattform

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Einfach. Sicher. Nachhaltig.

Erleben Sie unsere Plattform in Aktion mit einer maßgeschneiderten praktischen Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.

Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren