Datenschutz-Grundverordnung: Teil 5 – Eingebauter Datenschutz
Ist Ihr Unternehmen schon bereit für die neue Datenschutz-Grundverordnung (kurz: DSGVO)? Security Today gibt Ihnen in dieser Reihe von fünf Beiträgen unverbindliche Tipps an die Hand, die Sie bei der Umsetzung beachten sollten. Der fünfte Teil der Beitragsreihe dreht sich um den eingebauten Datenschutz.
Ein Ausdruck, der auch als das Konzept „Privacy by Design“ bekannt ist und das nun Bestandteil der DSGVO ist. Es besagt, dass der Datenschutz in die Entwicklung von Geschäftsprozessen für Services von Anfang an integriert wird, anstatt ihn zu einem späteren Zeitpunkt zu ergänzen. Außerdem soll eine Minimierung von Daten angestrebt werden. Nur unbedingt notwendige Daten dürfen verarbeitet werden, um den Datenschutz zu erhöhen.
Handlungsempfehlung: Es gibt verschiedene Möglichkeiten, um den internen Datenschutz zu gewährleisten. Dazu zählt beispielsweise die Ende-zu-Ende-Verschlüsselung, die dafür sorgt, dass Daten nur an ihren Endpunkten en- und decodiert werden und somit auch nur dort lesbar sind. Auch die Hardware bietet FIPS 140-2 Level-2-zertifizierte Lösungen.
Eine weitere Möglichkeit besteht darin, Daten auf ihrer gesamten Wegstrecke zu verschlüsseln. Sowohl bei ihrer Übertragung (in-flight) als auch im Ruhezustand auf Datenspeichern (at-rest). Auf diese Weise wird der Datenschutz unabhängig vom Standort garantiert und über rollenbasierte Zugriffskontrolle ergänzt werden. Unbefugte können dadurch selbst dann nicht auf Daten zugreifen, wenn sie diese entschlüsseln können.
Quelle Titelbild: iStock / imaginima