Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
wiki:user:spielwiese [2018/11/26 18:42] – [Weblinks] Adminwiki:user:spielwiese [2022/02/25 09:01] (aktuell) Admin
Zeile 1: Zeile 1:
 +====== Handeln bei IT-Sicherheitsvorfällen ======
  
 +  * heruntergefahrene Systeme nicht hochfahren aber noch laufende Systeme nicht herunterfahren sondern nur vom (Daten-)Netz trennen (NICHT: Stromnetz). [[https://www.datenschutzbeauftragter-info.de/spurensicherung-im-arbeitsspeicher-stop-pulling-the-plug/]]
  
-Auch wenn Software gestestet wird, gelten die allgemeinen [[Datenschutz]]-Regeln insbesondere zu  [[VVT]], [[AVV]], [[TOM]] und [[Datenschutzkonzept]]. Es gibt in der [[DSGVO]] und dem [[ThürDSG]] keine Sonderregeln.+[[:Schadenersatz]]
  
  
-Für die Praxis ist das eine schwierige Situation, da die genannten Dokumente oft erst entwickelt werden müssen und dazu gerade auch Test notwendig sind. Da es hierzu praktisch keine Literatur gibt, folgende vorläufige Hinweise:+[[:tu:Prüfung in elektronischer Form]]
  
  
-  * Tests finden wenn möglich nicht mit echten, personenbezogenen Daten statt. +{{tag>Entwurf}}
- +
-  * Vorzugswürdig ist es, fiktive Beispielsdatensätze zu erstellen. +
- +
-  * Wenn das nicht umsetzbar ist, zum Beispiel, weil Massen an realtitätsnahen Datensätzen für Performancemessungen benötigt werden, muss eine [[Pseudonymisierung]] stattfinden. +
- +
-    * Zumindest sollte der Name verfremdet werden, indem entweder der Name durch eine zufällige Buchstabenfolge ersetzt wird oder wenn der Name für Verkettungen benötigt wird, nach einem festen Schlüssel. +
- +
-    * Soweit es auf das genaue Geburtsdatum nicht ankommt, kann auch dieses mit wenig Aufwand z.B. auf den 1.1. des jeweiligen Jahres gesetzt werden. +
- +
-    * Auch Wohnanschrift und Emailadresse sollten verfremdet werden +
- +
-    * Soweit sensible Datenkategorien erfasst werden, sollte um so genauer hinterfragt werden, ob diese für den Test unabdingbar sind und dann sollte für die Durchführung der Tests ein eigenes [[Datenschutzkonzept]] erstellt und umgesetzt werden. +
- +
-  * Ohne Pseudonymisierung sollten Test nur erfolgen, wenn vorherige Tests mit Pseudonymisierung keine relevanten Mängel ergeben haben und die Dokumentation zumindest weitgehend abgeschlossen ist +
- +
-  * Sobald erstmalig personenbezogene Echtdaten eingespielt werden, müssen (mindestens) die gleichen TOM angewendet werden, wie im Produktivbetrieb +
- +
- +
- +
-Es sollte eine Selbstverständlichkeit sein, dass Tests stets dokumentiert werden, so dass nachvollziehbar ist, was mit welchen Daten und welchen Schutzmaßnahmen getestet wurde. +
- +
-====== Weblinks ====== +
-  * [[https://beck-online.beck.de/Dokument?vpath=bibdata%2Fkomm%2Fauerreinsdorffconradhdbitdsr_2%2Fcont%2Fauerreinsdorffconradhdbitdsr.glsect34.glviii.gl6.htm&pos=2&hlwords=on#FNID0E3YWCB|Conrad in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, Rn. 586-591, 2. Auflage 2016]] +
-  * Arbeitskreis „Technische und organisatorische Datenschutzfragen“ der Konferenz der Datenschutzbeauftragten des Bundes und der Länder; Stand: 2. November 2009:[[https://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/Artikel/OH_Projekt-Produktivbetrieb.html|Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb]] +
Drucken/exportieren
QR-Code
QR-Code Handeln bei IT-Sicherheitsvorfällen (erstellt für aktuelle Seite)