2. Schütze die Privatsphäre und gewähre Sicherheit

Ich schaffe Zuversicht und Vertrauen.

  • Ich kenne die Daten, Informationen und Geheimnisse und schütze sie.
  • Ich kenne den Schutzbedarf und das Risiko.
  • Ich integriere Sicherheit und Datenschutz von Anfang an.
  • Ich baue sichere Services und stelle die Privatsphäre sicher.

Was bedeutet das für mich konkret?

  • Ich kenne die Grundlagen für Privatsphäre, Datenschutz und -sicherheit.
  • Ich kenne meine Daten und klassifiziere sie als Grundlage für Datenschutz und -sicherheit.
  • Ich erhebe und kenne den Schutzbedarf meiner Daten und die anzuwendenden Gesetze und Vorschriften.
  • Ich sichere meine Daten und Services durch adäquate technische Maßnahmen.
  • Ich berücksichtige Datenschutz und -sicherheit beim Design und bei der Weiterentwicklung von Services.

Warum ist das ein Prinzip?

Es ist für die Anwender:innen als auch den Anbieter von digitalen Services wichtig, dass wir Privatsphäre und Sicherheit gewährleisten. Das Recht auf Privatsphäre gilt als Menschenrecht und kann nur aufgrund des öffentlichen Interesses an einer Person oder zu Zwecken der Strafverfolgung eingeschränkt werden.

Die Datensicherheit betrifft alle Daten, unabhängig davon, ob diese einen Personenbezug aufweisen oder nicht. Der Datenschutz schützt Personen hinsichtlich sicherer und zweckmäßiger Verarbeitung ihrer Daten.

Durch den Einsatz von geeigneten Maßnahmen wird für die bereitgestellten Services ein adäquates Maß an Schutz und Sicherheit gewährleistet. Grundlage dafür ist die Identifizierung und Klassifikation der Daten und Informationen, die das Service verarbeitet.

Durch die EU-Verordnung DSGVO (Datenschutz-Grundverordnung) stehen den Anwenderinnen und Anwendern deutlich erweiterte Rechte zu ihren persönlichen Daten zu. Verbraucher:innen sollen einfacher verstehen können als bisher, was mit ihren Daten geschieht.

Verletzungen der Vertraulichkeit, Verfügbarkeit und Integrität können unvorhersehbare, wirtschaftliche Folgen für das Unternehmen, seine Kunden und indirekt für die Bürger:innen haben. Aus Gründen der " Digital Ethics" ist besonders auf Datenschutz bei der maschinellen Verarbeitung mit künstlicher Intelligenz und/oder virtuellen Realitäten zu achten.

Anwender:innen
  • vertrauen, dass die bereitgestellten Informationen vertraulich sind und angemessen gespeichert werden.
  • vertrauen, dass das Service sicher ist.
  • wissen, wie ihre Informationen von dem Service-Anbieter verwendet werden.
  • haben aufgrund der DSGVO das Recht zu erfahren, welche Daten über sie gespeichert werden und verfügen gegebenenfalls über das Recht diese löschen zu lassen.
Anbieter von digitalen Services
  • stellen sicher, dass das Vertrauen der Anwender:innen gerechtfertigt ist.
  • ergreifen alle erforderlichen Maßnahmen zur Sicherstellung der Privatsphäre und Sicherheit.
  • stellen sicher, dass die Verarbeitung personenbezogener Daten transparent und sicher gestaltet wird.
  • stellen sicher, dass die von der Datenerhebung Betroffenen jederzeit, entsprechend der Rechtslage, beauskunftet werden können.

Wie setze ich das Prinzip praktisch um?

Beschreibe die Grundlagen für Privatsphäre, Datenschutz und -sicherheit
  • Ich identifiziere und beschreibe die Gesetze, Verordnungen, Vorgaben.
  • Ich beschreibe die Vorgaben für das Design des Services.
Erhebe die Betroffenenrechte
  • Ich identifiziere die Betroffenenrechte und insbesondere die Meldepflichten sowie die Informationspflicht.
Definiere die Aufbewahrung von Daten
  • Ich berücksichtige beim Design die Themen "Recht auf Löschung", "Einschränkung der Verarbeitung", "Mitteilungspflicht im Zusammenhang mit der Datensperrung oder -löschung", "Verpflichtung zum Nachweis geeigneter Datenschutzvorkehrungen", "Sicherstellung, dass Daten nicht länger als nötig gespeichert werden" sowie "Verfahren zur regelmäßigen Überprüfung der Wirksamkeit"
Erstelle ein Datenschutzkonzept
  • Ich erstelle spezifische Datenschutzvorgaben und -richtlinien.
  • Ich bewerte den Schutzbedarf.
  • Ich definiere das akzeptable Restrisiko.
  • Ich prüfe die Einhaltung der technischen und organisatorischen Maßnahmen.
  • Ich lege den Schutzbedarf fest.
Ergreife Datensicherheitsmaßnahmen
  • Ich berücksichtige Datensicherheit und Datenschutz bereits in der Entwicklung (Privacy by Design & Privacy by Default).
  • Ich nutze datenschutzfreundliche Voreinstellungen.
  • Ich nehme eine Datenklassifikation vor.
  • Ich erstelle ein Zugriffskonzept.
  • Ich sorge für eine Netzwerksicherheit.
  • Ich stelle die Verfügbarkeit sicher.
  • Ich stelle die Datenintegrität sicher.
  • Ich Stelle die Performance sicher.
  • Ich sorge für die Kommunikationssicherheit.
  • Ich stelle die Protokollierung sicher.
Setze das Prinzip der Datensparsamkeit ein
  • Ich verarbeite nur Daten, die für den jeweiligen Verarbeitungszweck unbedingt erforderlich sind.
  • Ich definiere Verfahren für Datenpseudonymisierung oder -anonymisierung.
Messe den Erfolg
  • Ich berücksichtige im Design des Services, dass Kennzahlen erhoben werden können.
  • Ich definiere die Kennzahlen zeitgerecht.