Daten-Intelligenz

GDPR: 7 Grundsätze für den Umgang mit personenbezogenen Daten

Actian Germany GmbH

Februar 20, 2019

gdpr-7-Prinzipien

Im Dezember 2018 fragte sich Matthieu Blanc, Ex VP of Product bei Zeenea: "Wie wird die GDPR die Big Data verändern?" In dieser Artikelserie konzentrieren wir uns auf die rechtlichen Aspekte, die er auf seiner Konferenz auf der XebiCon'17 erläuterte.

Die Behandlung personenbezogener Daten muss diesen 7 Grundsätzen entsprechen:

1. Die Grundsätze der Rechtmäßigkeit, Loyalität und Transparenz

Das Gesetz schreibt vor, dass die Daten loyal und rechtmäßig erhoben und behandelt werden müssenDas Gesetz schreibt vor, dass die Datenerhebung und -verarbeitung loyal und rechtmäßig sein muss, und schreibt dem Verantwortlichen implizit vor, dass sie für die betroffene Person transparent sein muss.

Gehen wir noch etwas tiefer:

  • Das Gesetz garantiert den Personen, die ihre Daten übermitteln, die notwendigen Informationen über die sie betreffenden Behandlungen.
  • Sie gewährleistet die Möglichkeit der persönlichen Kontrolle.
  • Der Verantwortliche für personenbezogene Daten ist verpflichtet, die Betroffenen zu warnen, sobald die Daten erhoben werden und wenn die Daten an Dritte weitergegeben werden.

2. Das Prinzip der Zweckbestimmung

Alle personenbezogenen Daten, die erhoben und verarbeitet werden, müssen legitimen Zwecken dienen, die dem Verantwortlichen oder den Aufgaben des Unternehmens entsprechen. Der Missbrauch dieser Daten wird strafrechtlich geahndet.

3. Das Prinzip der Proportion

Die Verordnung verlangt, dass die Daten für eine bestimmte Behandlung erhoben werden und klar definiert sein müssen.

Ein Beispiel: Im Falle einer Marketingmaßnahme, bei der Name, Vorname und E-Mail-Adresse für die beabsichtigte Behandlung ausreichen, wird die Erhebung von Adresse, familiärer Situation, finanzieller Situation usw. als unverhältnismäßig und damit strafbar angesehen.

4. Der Grundsatz der Relevanz der Daten

Mit anderen Worten: Die Unternehmen müssen sicherstellen, dass die dass die Daten genau und gegebenenfalls auf dem neuesten Stand sind.

5. Der Grundsatz des beschränkten Zugangs und der Aufbewahrung von Daten

Diese Informationen können nicht unbegrenzt lange in den Informationssystemen des Unternehmens aufbewahrt werden. Für jede Datei muss ein Zeitlimit festgelegt werden. Nach Ablauf dieser Frist müssen die Daten gelöscht oder anonymisiert werden.

6. Der Grundsatz der Sicherheit und Vertraulichkeit

Mit der Verordnung werden die Sicherheitsmaßnahmen verstärkt. Die Unternehmen sind für die Sicherheit der von ihnen verarbeiteten Daten verantwortlich und müssen geeignete Maßnahmen ergreifen, um diese Sicherheit zu gewährleisten (Pseudonymisierung der Daten, Folgenabschätzung, Einbruchsversuche usw.).

Dies bedeutet, dass die für ihre Behandlung verantwortliche Person an diese Sicherheitsmaßnahmen gebunden ist. Sie müssen diese umsetzen:

  • die Vertraulichkeit der Daten zu gewährleisten und deren Weitergabe zu verhindern. Mit anderen Worten, die verantwortliche Person muss sicherstellen, dass Dritte, die keine Berechtigung für ihre Daten haben, keinen Zugang erhalten.
  • Verhindern Sie, dass Daten verzerrt oder beschädigt werden.

Diese Verantwortung wird durch den neuen Grundsatz "Privacy by Design" hervorgehoben. Dieser Grundsatz bezieht sich auf den Prozess der Ergreifung aller notwendigen Schritte zum Schutz der Rechte der Menschen (d. h. vom Entwurf eines Produkts oder einer Dienstleistung an) und während des gesamten Lebenszyklus der Daten (von der Erhebung bis zur Löschung).

Es müssen sowohl physische als auch logische Sicherheitsmaßnahmen getroffen werden.

Zum Beispiel: Brandschutz, backup , Installation von Antiviren-Software, häufige Änderung von Passwörtern usw.). Die Sicherheitsmaßnahmen sollten der Art der Daten und den mit der Behandlung verbundenen Risiken angemessen sein.

7. Das Prinzip der Verantwortung

Eine der wichtigsten Änderungen ist das Prinzip der Verantwortung. Dieser Grundsatz verpflichtet die Unternehmen dazu alle Maßnahmen und Verfahren in Bezug auf die Sicherheit personenbezogener Daten zu dokumentieren.

Diese Dokumentation dient als Nachweis der Konformität mit den neuen Regeln und Vorschriften, falls ein Unternehmen jemals einer Verwaltungskontrolle unterzogen werden sollte. Diese Maßnahme führt zu der Verpflichtung, ein Behandlungsregister zu führen. Dieses Register ermöglicht es, eine Datenbank für die Behandlungen einzurichten, kann aber auch dazu dienen, alle vom Unternehmen durchgeführten Konformitätsschritte zu zentralisieren und zu verfolgen.
Die Abschaffung der Verpflichtung zur Vorabmeldung bei der CNIL. Diese Maßnahme spiegelt den Grundsatz wider, der der DSGVO zugrunde liegt: die Stärkung der Unternehmen durch die Entwicklung der Selbstkontrolle.

Es ist nicht mehr Aufgabe der Regulierungsbehörden, zu beweisen, dass Sie im Unrecht sind, sondern es ist Ihre Aufgabe zu beweisen, dass Sie im Recht sind.

actian avatar logo

Über Actian Corporation

Actian macht Daten einfach. Unsere Datenplattform vereinfacht die Verbindung, Verwaltung und Analyse von Daten in Cloud-, Hybrid- und lokalen Umgebungen. Mit jahrzehntelanger Erfahrung in den Bereichen Datenmanagement und -analyse liefert Actian leistungsstarke Lösungen, die es Unternehmen ermöglichen, datengesteuerte Entscheidungen zu treffen. Actian wird von führenden Analysten anerkannt und wurde für seine Leistung und Innovation mit Branchenpreisen ausgezeichnet. Unsere Teams präsentieren bewährte Anwendungsfälle auf Konferenzen (z. B. Strata Data) und tragen zu Open-Source-Projekten bei. Im ActianBlog behandeln wir Themen wie Echtzeit-Dateneingabe, Datenanalyse, Data Governance, Datenmanagement, Datenqualität, Datenintelligenz und KI-gesteuerte Analysen.