{"id":119172,"date":"2025-02-12T11:18:28","date_gmt":"2025-02-12T11:18:28","guid":{"rendered":"https:\/\/barc.com\/?p=119172"},"modified":"2025-02-25T08:41:25","modified_gmt":"2025-02-25T08:41:25","slug":"grundsaetze-privacy-by-design-default","status":"publish","type":"post","link":"https:\/\/barc.com\/de\/grundsaetze-privacy-by-design-default\/","title":{"rendered":"4 konkrete Grunds\u00e4tze f\u00fcr Privacy by Design und Default"},"content":{"rendered":"\n

Privacy by Design<\/strong> und Privacy by Default<\/strong> sind zentrale Anforderungen der Europ\u00e4ischen Datenschutz-Grundverordnung (DSGVO, Art. 5) und des revidierten Schweizer Datenschutzgesetzes (revDSG, Art. 7 und 8). Sie zielen darauf ab, Datenschutz von Anfang an in die Konzeption und Umsetzung von Prozessen und IT-Systemen einzubinden.<\/p>\n\n\n\n

Die gesetzlichen Vorgaben bleiben jedoch vage und stellen Unternehmen vor die Herausforderung, eigene Wege zur Umsetzung zu finden. Zus\u00e4tzlich m\u00fcssen diese Ma\u00dfnahmen dem „Stand der Technik“ entsprechen, was Interpretationsspielraum l\u00e4sst.<\/p>\n\n\n\n

Trotz dieser Unklarheiten gibt es vier Grunds\u00e4tze, die Unternehmen befolgen k\u00f6nnen, um die Anforderungen von Privacy by Design und Default zu erf\u00fcllen. Diese Prinzipien werden im Folgenden beschrieben.<\/p>\n\n\n\n

Grundsatz 1: Access-Management<\/strong><\/h2>\n\n\n\n

Ein effektives Access Management sch\u00fctzt personenbezogene Daten vor unberechtigtem Zugriff. Es basiert auf dem Need-to-know-Prinzip<\/strong>, das sicherstellt, dass nur autorisierte Personen f\u00fcr definierte Zwecke Zugriff auf Daten erhalten.<\/p>\n\n\n\n

Ein professionelles Access Management umfasst die folgenden Ma\u00dfnahmen:<\/p>\n\n\n\n

Ma\u00dfnahme<\/strong><\/td>Beschreibung<\/strong><\/td><\/tr>
Least-Privilege-Prinzip<\/strong><\/td>Begrenzung der Zugriffsrechte auf das erforderliche Minimum.<\/td><\/tr>
Multi-Faktor-Authentifizierung (MFA)<\/strong><\/td>Zus\u00e4tzliche Sicherheitspr\u00fcfung f\u00fcr Zug\u00e4nge, insbesondere f\u00fcr Administratoren.<\/td><\/tr>
Regelm\u00e4\u00dfige Audits<\/strong><\/td>\u00dcberpr\u00fcfung und Aktualisierung von Zugriffsrechten und Sicherheitsrichtlinien.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

<\/p>\n\n\n\n

Besonderes Augenmerk gilt Administrationsrechten<\/strong>, da diese oft weitreichende Zugriffsrechte auf sensible Systeme erm\u00f6glichen. Adminrechte sollten auf das notwendige Minimum beschr\u00e4nkt, streng kontrolliert und regelm\u00e4\u00dfig \u00fcberpr\u00fcft werden. MFA ist hier unerl\u00e4sslich, um unberechtigte Zugriffe zu verhindern.<\/p>\n\n\n\n

Ein gut umgesetztes Access Management reduziert Datenschutzrisiken, sch\u00fctzt sensible Daten und erf\u00fcllt die Anforderungen von Privacy by Design und Privacy by Default.<\/p>\n\n\n\n

\n\n\n\n

Grundsatz 2: End-to-End-Verschl\u00fcsselung<\/strong><\/h2>\n\n\n\n

Personenbezogene Daten m\u00fcssen sowohl bei der \u00dcbertragung als auch bei der Speicherung gesch\u00fctzt werden. End-to-End-Verschl\u00fcsselung sorgt daf\u00fcr, dass Informationen nur f\u00fcr den vorgesehenen Empf\u00e4nger zug\u00e4nglich sind, indem sie ausschlie\u00dflich auf den Endger\u00e4ten entschl\u00fcsselt werden.<\/p>\n\n\n\n

Typische Schwachstellen bei der Verschl\u00fcsselung:<\/h3>\n\n\n\n
    \n
  1. Transferdateien im Filesystem<\/strong>: Datenexporte, die ungesch\u00fctzt auf Dateisystemen abgelegt werden, sind ein potenzielles Einfallstor. Speichermedien m\u00fcssen ebenso wie \u00dcbertragungswege verschl\u00fcsselt und gesch\u00fctzt sein.<\/li>\n\n\n\n
  2. Berichte<\/strong>: Werden Berichte als E-Mails oder PDF-Dokumente versandt, sollten diese verschl\u00fcsselt oder durch Zugriffsbeschr\u00e4nkungen gesichert werden.<\/li>\n<\/ol>\n\n\n\n

    Checkliste f\u00fcr die Verschl\u00fcsselung<\/h3>\n\n\n\n