Gewährleistungsziele allgemein
In dem Standard Datenschutzmodell (vgl.: SDM) sind sieben Gewährleistungsziele beschrieben. Vorrangig, als primus inter pares, steht das Gebot der Datensparsamkeit. So wenig wie möglich, so viel als nötig, an personenbezogene Daten zu erheben, ist mit Datensparsamkeit gemeint. Damit wird einer möglichen Bevorratung, quasi auf Lager legen, von personenbezogenen Daten durch den Gesetzgeber entgegengewirkt. Big Data Anwendungen sind damit eigentlich unmöglich, außer Daten werden so aufbereitet, dass kein Rückschluss auf Personen mehr möglich ist. (vgl.: differential privacy et al.)
Systematik der Schutzziele
Hinter jedem Gewährleistungsziel steht eine Anzahl von konkreten organisatorischen und technischen Maßnahmen. Die Gewährleistungsziele an sich, leiten sich direkt aus der Datenschutz Grundverordnung, Artikel 5, (vgl.: DSGVO) ab. Die mittels Kante verbundenen Gewährleistungsziele stellen Wirkungspaare dar. Wird eine Maßnahme für ein Gewährleistungsziel gesetzt, dann geht das in der Regel zu Lasten des verbundenen Wirkungsziels. Diese Abhängigkeit ist auf der einen Seite für die Risikobewertung, Datenschutzfolgenabschätzung, zu beachten, genauso, wie es für organisatorische und technische Umsetzung wichtig ist.
Wirkungspaar Nichtverkettbarkeit und Transparenz
Nichtverkettbarkeit ist dann gegeben, wenn Daten, Systeme und Prozesse ausschließlich für den definierten Anwendungszweck verwendet werden. Transparenz ist dann gegeben, wenn Daten, Systeme und Prozesse durchgängigprüffähig sind. Prüffähigkeit ist dann gegeben, wenn sowohl Dokumentation(en), als auch Protokolle, vollständig sind.
Nichtverkettbarkeit wird für Daten umgesetzt in Form von Anonymität, Pseudonymität, attributbasierenden Credentials und differential Privacy (vgl.: Verrauschung von Daten). Durch Trennung und Isolierung von Datenbeständen, Systemen und Prozessen wird die Nichtverkettbarkeit auf Systemebene umgesetzt. Auf Prozessebene wird die Nichtverkettbarkeit durch Identity Management, Anonymitätsinfrastrukturen und Audits umgesetzt.
Transparenz von Daten ist bei vollständiger Dokumentation und Protokollierung gegeben. Systeme sind dann transparent, wenn eine vollständige Systemdokumentation vorliegt und alle Änderungen an der Konfiguration protokolliert werden. Prozesse sind dann transparent, wenn diese Verfahrensweisen eindeutig beschreiben und auch protokolliert werden.
Wirkungspaar Vertraulichkeit und Verfügbarkeit
Vertraulichkeit ist für Daten und Systeme ist dann gegeben, wenn Verschlüsselung eingesetzt wird. In Prozesse dargestellte und organisatorisch umgesetzte Rechte- und Rollenkonzepte sind die entsprechenden Maßnahmen auf der Systemebene.
Verfügbarkeit für Daten, Systeme und Prozesse ist mit Redundanz, Schutz und Reparaturstrategie gegeben.
Wird die Verfügbarkeit durch physische Redundanz erhöht, dann geht das zu Lasten der Vertraulichkeit, weil ein und die selben Daten vervielfacht werden. Konsequenz ist eine größere mögliche Angriffsfläche.
Wirkungspaar Intervenierbarkeit und Integrität
Intervenierbarkeit ist dann gegeben, wenn überdefinierte Punkte, Schnittstellen auf Daten zugegriffen werden kann. Integrität ist dann gegeben, wenn die Unversehrtheit und Unverändertheit gewährleistet werden kann.
Die Intervenierbarkeit auf der Ebene Daten ist dann gegeben, wenn Beauskunftung, Änderung, Sperrung und Löschung für einen Betroffenen jederzeit durchgeführt werden kann. Systeme sind durch ihre (physische) Zugänglichkeit betroffen. Prozesse müssen eine einheitliche Kommunikationsstrategie, wie Single Point of Contact (vgl. SPOC) umsetzen. Vor allem als Schnittstelle sind hier gemeint, Beauskunftung, Änderungen und Löschung im Auftrag des Betroffenen. Intervenierbarkeit ist Teil eines unternehmensweiten Change-Management Sytems.
Integrität für Daten wird vor allem durch Einsatz von Hash-Wert Verfahren gewährleistet. Das eingesetzte Verfahren und der Algorithmus sind ebenso wie bei der Verschlüsselung explizit anzuführen. Systeme gewährleisten Integrität dann, wenn Schreibrechte eingeschränkt werden und regelmäßig auf ihre Integrität überprüft werden. Die Integrität von Prozessen wird über die Festlegung von Referenzwerten und zulässigen Ergebnisräumen definiert, die zur Steuerung und auch zur Beurteilung der Prozessqualität herangezogen werden können.
Zusammenfassung
- Gewährleistungsziele beeinflussen sich gegenseitig
- Betrachtungsobjekte sind Daten, Systeme und Prozesse pro Gewährleistungsziel aus der Angreiferperspektive
- Technische und organisatorische Maßnahmen sind der (wirtschaftlichen) Situation anzupassen
- Eine regelmäßige Überprüfung der Gewährleistungsziele ist die Antwort auf eine dynamische Umwelt
- Verschlüsselung ist nur ein Teilaspekt und reicht sicher nicht alleine!
1 Gedanke zu „Systematik Gewährleistungsziele“