LibCat » Книги » Приключения » unrecognised » David Klein - DS-GVO/BDSG

David Klein - DS-GVO/BDSG

Здесь есть возможность читать онлайн «David Klein - DS-GVO/BDSG» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: unrecognised, на немецком языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
DS-GVO/BDSG
Автор:
David Klein
Жанр:
unrecognised / на немецком языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
4 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 80
- 1
- 2
- 3
- 4
- 5

DS-GVO/BDSG: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «DS-GVO/BDSG»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Sind Sie bereit für das neue Datenschutzrecht?Am 25. Mai 2018 haben die Europäische Datenschutz-Grundverordnung (DS-GVO) sowie das Datenschutzanpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) das bisherige Datenschutzrecht ersetzt. Für die tägliche Datenschutzpraxis brachte dieser Stichtag weitreichende Änderungen mit sich. So können für Unternehmen Verstöße gegen den Datenschutz künftig sehr kostspielig werden, da Bußgelder in Höhe von bis zu 4 % des Vorjahresumsatzes des betroffenen Unternehmens verhängt werden können. Für Datenschutzverpflichtete gilt es, sicher erkennen zu können, welche Maßnahmen zur Vermeidung von Verstößen gegen das neue Recht ergriffen werden müssen. Eine erfolgreiche Umstellung auf das neue Datenschutzrecht erfordert daher nicht nur profunde Kenntnisse über Auslegung und Anwendung der DS-GVO, sondern auch über das korrespondierende deutsche Datenschutzrecht. Der vorliegende Heidelberger Kommentar bietet der Datenschutzpraxis beides!Den Einstieg in das neue Datenschutzrecht verschafft eine systematische Einführung, die die wichtigsten Änderungen kurz und prägnant vorstellt.Die Kommentierung entspricht durch ihren klaren Aufbau den Anforderungen der täglichen Praxis und ist so exakt auf die Bedürfnisse der Nutzer zugeschnitten. Jedem Artikel der DS-GVO werden die entsprechenden Erwägungsgründe sowie die entsprechende Norm des neuen BDSG zugeordnet und ausführlich kommentiert. Die Änderungen gegenüber dem alten Recht werden deutlich hervorgehoben. Mögliche Problempunkte, Fehlerquellen und Risiken werden dabei herausgearbeitet und konkrete Lösungsmöglichkeiten für die Praxis angeboten. Eine wichtige Informationsquelle für die Praxis sind auch die Beschlüsse der einschlägigen Expertenkreise für den Datenschutz, die innerhalb der Kommentierung berücksichtigt werden.Ergänzt wird die Kommentierung durch Praxishinweise mit ausführlichen Erläuterungen und Best Practice füröffentliche Stellennicht öffentliche Stellenbetroffene PersonenAufsichtsbehördenDatenschutzmanagementDas Autorenteam besteht aus ausgewiesenen Experten aus Wissenschaft, Aufsichtsbehörden sowie aus der Beraterschaft und ist ein Garant für umfassende und ausgewogene Informationen zum neuen Datenschutzrecht. Der vorliegende Kommentar bietet daher Unternehmen, Rechtsanwälten, Wissenschaftlern sowie Angehörigen der Datenschutzaufsicht das ideale Rüstzeug für eine erfolgreiche Umstellung auf das neue Datenschutzrecht.

DS-GVO/BDSG — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «DS-GVO/BDSG», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Auch die von der Bundesregierung eingesetzte Datenethikkomissionhat sich zum Begriff der Pseudonymisierung in ihrem Abschlussgutachten geäußert und die Notwendigkeit der Schaffung einheitlicher Standards zur rechtssicheren Anwendung der Pseudonymisierung betont.[216] Sie empfiehlt daher sowohl im Interesse der betroffenen Personen als auch der Rechtsanwender auf EU-Ebene die Entwicklung von Standards für DS-konforme Pseudonymisierungsmaßnahmen und verweist dabei auf den Entwurf eines Codes of Conducts der Fokusgruppe Datenschutz.[217]

Die Wirksamkeitder Pseudonymisierung hängt von verschiedenen Faktoren ab. Eine Rolle dabei spielen der Zeitpunkt[218], die Rücknahmefestigkeit, die Größe der Population, in der sich der Betroffene verbirgt, die Verkettungsmöglichkeitvon einzelnen Transaktionen oder Datensätzen desselben Betroffenen und die Zufälligkeitund Vorhersagbarkeitsowie die Mengeder möglichen Pseudonyme.[219]

3. Abgrenzung zur Anonymisierung

Die Pseudonymisierung ist von der Anonymisierungabzugrenzen. Im Grundsatz sind anonymisierte Daten vom Anwendungsbereich der DS-GVO nicht erfasst.[220] Während die DSRL sich lediglich in ErwG 26 zur Frage der Anonymisierung und Pseudonymisierung äußerte, schafft die DS-GVO in Art. 4 Nr. 5durch ihre Definition und ErwG 26 klarere Verhältnisse. Eine eigene Definition der Anonymisierung ist indes auch in der DS-GVO nicht enthalten. Sie ergibt sich vielmehr aus einem Umkehrschlussaus der Definition der „personenbezogenen Daten“ aus Art. 4 Nr. 1[221] sowie aus ErwG 26: Danach sind anonyme Informationen „personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“.

Der Unterschied zwischen pseudonymisierten Daten und anonymisierten Daten liegt demzufolge darin, dass pseudonymisierte Daten der betroffenen Person unter Hinzuziehung der gesondert aufbewahrten oder ggf. öffentlich zugänglicher Informationen wieder entschlüsselt und damit die betroffene Person identifiziert werden kann, während dies bei anonymisierten Daten nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.[222] Hierbei ist die Frage, wann ein unverhältnismäßiger Aufwandanzunehmen ist, eng mit der Abgrenzung zwischen Anonymisierung und Pseudonymisierung (insbesondere mit der Frage einer Identifizierbarkeit[223]) verknüpft. Insofern ist die durch ErwG 26 vorgegebene und bereits im Rahmen von Art. 4 Nr. 1 angesprochene Verhältnismäßigkeitsprüfung[224] auch im Rahmen von Art. 4 Nr. 5maßgeblich. Im BDSG a.F. war der Maßstab hierfür noch in § 3 Abs. 6 BDSG a.F. ausgeführt und besagte, dass eine Anonymisierung jedenfalls dann erreicht war, wenn die Zuordnung der Angaben zu der betroffenen Person nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitsaufwand zu erreichen war. ErwG 26 der DS-GVO bezieht sich demgegenüber auf „alle Mittel (…) die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person (…) zu identifizieren. [Hierbei] sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologischen Entwicklungen zu berücksichtigen sind.“ Entscheidend sind also die Kostender Identifizierung, der erforderliche Zeitaufwand, die verfügbaren Technologiensowie technologischen Entwicklungen.[225] Insofern ist hinsichtlich der Frage eines unverhältnismäßigen Aufwands im Rahmen von Art. 4 Nr. 5wie schon bei Art. 4 Nr. 1eine Verhältnismäßigkeitsprüfung anhand der genannten Gesichtspunkte im Einzelfall erforderlich.

Findet bspw. eine Trennung von Zuordnungsregeln und Daten nur innerhalb einer Unternehmensgruppe oder durch TOM bei dem Verantwortlichen selbst statt, ist davon auszugehen, dass es sich bei dem Datenbestand im Rahmen der internen Verarbeitung um pseudonymisierte, nicht aber um anonymisierte Daten handelt.[226] In einem solchen Fall ist das Missbrauchsrisiko durch die vorgenommene Maßnahme durchaus minimiert, jedoch nach allgemeiner Lebenserfahrung nicht vollkommen auszuschließen. Nach Ansicht der Datenethikkommissionliegt darüber hinaus eine Anonymisierung jedenfalls dann vor, wenn der Personenbezug von Daten unwiederbringlich entferntwird.[227] Dies sei insbesondere durch eine Randomisierungoder durch eine Generalisierungvon Daten möglich. Während eine Randomisierung eine Veränderung von Daten dergestalt ist, dass eine Zuordnung nicht mehr möglich ist (etwa durch eine Verfälschung von Daten), beinhaltet die Generalisierung die Vergröberung von Daten, etwa durch Aggregation.[228] Insofern liefert die Datenethikkommission Beispiele für zwei in Betracht kommende Anonymisierungstechniken, bei denen auch die materiell-rechtlichen Voraussetzungen der DS-GVO im Hinblick auf eine Nicht-Identifizierbarkeit erfüllt sind. Diese Beispiele bieten wichtige Hilfestellungen für Rechtsanwender.

4. Verschlüsselte Daten

Die Verschlüsselung wird in ErwG 83 als eine Möglichkeit genannt, um das Risiko eines Datenmissbrauchs zu verhindern. Um verschlüsselte Daten handelt es sich dann, wenn personenbezogene Daten so abgelegt werden, dass sie nur mit Hilfe eines Schlüssels, in der Regel ein Passwort, wieder lesbar sind. Verschlüsselte Daten sind pseudonymisierte Daten, da sie jederzeit mit Hilfe des Schlüssels wieder lesbar gemacht werden können. Damit sind auch Daten, die, obwohl verschlüsselt, in der Cloud abgelegt sind, personenbezogene Daten.[229] Die Entschlüsselung der Daten kann durch den rechtmäßigen Schlüsselinhaber, als auch von einem unberechtigten Dritten erfolgen, der den Schlüssel unrechtmäßig verwendet. Insoweit hat die Verschlüsselung dem jeweiligen Stand der Technik zu entsprechen, um zumindest den bestmöglichen Schutz zu gewährleisten.[230]

5. Verfahren und technisch-organisatorische Anforderungen der Pseudonymisierung

Eine Pseudonymisierung von Daten erfolgt in der Regel dadurch, dass in einem Datenbestand das Identifizierungsmerkmal einer betroffenen Person (etwa der Name) durch ein Pseudonym ersetzt wird, das keinen Rückschluss auf den Betroffenen zulässt. Pseudonyme können eine Kennzahl oder auch eine Fantasiebezeichnung sein. Von einer Pseudonymisierung ist aber etwa auch dann auszugehen, wenn eine Datensammlung durch die Anwendung eines Algorithmus nur für denjenigen einen Personenbezug erkennbar macht, der über den dazu erforderlichen Algorithmus verfügt.[231]

Zur Umsetzung einer Pseudonymisierung können verschiedene Verfahren zum Einsatz kommen. So können bspw. Zuordnungstabellen bzw. Pseudonymisierungslistenverwendet werden, in der jedem Klartextdatum ein Pseudonym zugeordnet wird.[232] Alternativ können auch kryptographische (Berechnungs-)Verfahreneingesetzt werden, die jeweils ein Klartextdatum in ein Pseudonym umwandeln.[233] Die Sicherheit des Pseudonymisierungsverfahrens kann ferner dadurch erhöht werden, dass Mischverfahrenzum Einsatz kommen, bei denen die Bildung von Pseudonymen durch mehrere unabhängige Stellen durchgeführt wird.[234]

Hinsichtlich der Anforderungen an Pseudonyme kann es bei der Verarbeitung erforderlich sein, dass die erzeugten pseudonymisierten Daten bestimmte Eigenschaften der zugrundliegenden Klartextdaten enthalten. Diese werden als Verfügbarkeitsanforderungenan eine Pseudonymisierung bezeichnet. Mögliche Verfügbarkeitsoptionen sind etwa die Aufdeckbarkeitdes dem Pseudonym zugrundeliegenden Klartextes unter bestimmten Voraussetzungen sowie eine Verkettbarkeithinsichtlich einer bestimmten Relation.[235] So kann z.B. für zwei Pseudonyme bestimmt werden, ob die zugrundeliegenden Klartexte in einem spezifischen Zusammenhang stehen. Darüber hinaus kommen eine Rollenbindungoder eine Zweckbindungals Verfügbarkeitsoption in Betracht.[236]