Pseudonymisierung und Verschlüsselung. (ART. 32 ABS. 1 LIT. A DS-GVO)
Pseudonymisierung und Verschlüsselung. (Art. 32 Abs. 1 lit. a DS-GVO)
Pseudonymisierung und Verschlüsselung. Die Pseudonymisierung und Verschlüsselung personenbezogener Daten (§ 32a DSGVO).
Pseudonymisierung und Verschlüsselung. Der Auftragsverarbeiter ergreift die folgenden Maßnahmen, um die Pseudonymisierung zu gewährleisten, falls erforderlich: • Gängige Pseudonymisierungsmaßnahmen dienen dazu, Namen und andere Identifikationsmerkmale mit Identifikatoren zu ersetzen. Ziel ist es, die Identifizierung der betroffenen Person zu verhindern oder erheblich zu erschweren. • Die Pseudonymisierung wird mit Hilfe verschiedener Identifikatoren, wie z.B. Personal-, Mandanten- oder Kundencodes, durchgeführt. Es werden also keine echten Namen verwendet. Die personenbezogenen Daten des Verantwortlichen werden mit Hilfe von Verschlüsselungstechniken geschützt. Bei der Übertragung personenbezogener Daten innerhalb eines Netzwerks, d.h. zwischen Nutzergeräten und Rechenzentren oder innerhalb der Rechenzentren selbst, wird mindestens die TLS-Version 1.2 verwendet. Zum Schutz von gespeicherten personenbezogenen Daten (data at rest) werden eine Reihe von integrierten Verschlüsselungsfunktionen angeboten. Dabei werden die folgenden Verfahren eingesetzt: • Symmetrische Verschlüsselung: Mit Hilfe eines Schlüssels werden Informationen verschlüsselt und entschlüsselt. • Asymmetrische Verschlüsselung: Mit Hilfe von zwei Schlüsseln, dem öffentlichen und dem privaten Schlüssel, werden Informationen ver- und entschlüsselt.
Pseudonymisierung und Verschlüsselung. (Art. 32 Abs. 1 lit. a DSGVO) Entsprechende Verschlüsselungssysteme für Datenträger und mobile Endgeräte sind implementiert (Bitlocker-Verschlüsselung). Verschlüsselungstechnologien bei der Übermittlung von Daten kommen ebenfalls zum Einsatz. Eine Richtlinie zum Umgang mit (mobilen) Datenträgern kommt zur Anwendung. Auch restriktive Zugriffsrechte beim Zugriff auf Server, Datenbanken etc. werden angewandt.
Pseudonymisierung und Verschlüsselung. Anforderung Bewertung für die Auftragsverarbeitung
Pseudonymisierung und Verschlüsselung. Für nicht-automatisierte Verarbeitungen von personenbezogenen Daten (also ohne Computer) sind die oben genannten Kontrollbereiche nach dem Gesetzeswortlaut nicht direkt anwendbar. Es wird jedoch empfohlen, für einen bestmöglichen Schutz auch in diesen Fällen die Datensicherheit in Anlehnung an die Kontrollbereiche zu organisieren. All diese Maßnahmen stellen wir in der Folge vor, um unseren Informationspflichten aus Art. 32 Abs. 3 lit. c nachzukommen.
Pseudonymisierung und Verschlüsselung. (Art. 32 Abs. 1 lit. a DSGVO)
Pseudonymisierung und Verschlüsselung. (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DSGVO) Regelungsgegenstand sind Maßnahmen, um physische, materielle oder immaterielle Schäden bzw. Beeinträchtigungen der Rechte und Freiheiten für betroffene Personen durch unbefugte Offenlegung von bzw. unbefugten Zugang zu den im Auftrag verarbeiteten Daten zu vermeiden.
a.) Eine Verschlüsselung ist für den Transport von Daten sowohl über unsichere Netze als auch für den physischen Transport vorgesehen. Beim Transport und Versand von Daten über unsichere Netze kommt VPN als Verschlüsselungstechnologie zum Einsatz. Hierbei sind sowohl IP-Sec-Tunnel, die speziell für den Kunden hierfür eingerichtet werden, wie auch browserseitige Verschlüsselungen (z.B. SSL, TLS), die für den Zugriff auf öffentliche Portale zum Einsatz kommen möglich. Beim physischen Transport und Versand von Daten erfolgt eine komplette Verschlüsselung des Datenträgers auf Basis AES 256-Bit. Alternativ können hierfür nach vorheriger kostenpflichtiger Beauftragung Data-Locker-Festplatten (Hardwareverschlüsselung) eingesetzt werden oder eine softwareseitige Verschlüsselung einer bestehenden USB-Festplatte aufgesetzt werden.
b.) Soweit mobile Datenträger zum Einsatz kommen, werden darauf befindliche Inhalte verschlüsselt. Hierfür stehen hardwarebasierte und softwarebasierte Verfahren zur Verfügung. Alle Datenträger in Mobilgeräten sind ebenfalls mit einer Disk -Encryption verschlüsselt, welche die gesamte Partition umfasst.
c.) Alle dienstlich eingesetzten Smartphones der Mitarbeiter von CANCOM befinden sich in einem Mobile Device Management, welches die Daten in einem verschlüsselten Container speichert und im Falle eines Verlusts ein Wiping von Remote ermöglicht.
d.) Im Übrigen wird die Verschlüsselung, durch die vom Kunden beigestellte und im Einsatz befindliche Applikation bedingt und liegt daher in Kundenverantwortung. Dies betrifft im Besondern auch eine Verschlüsselung von Daten und Datenbanken im laufenden Betrieb. Eine Verschlüsselung, auf der vom Kunden beigestellten und im Einsatz befindlichen Applikation kann im Rahmen einer gesonderten Beauftragung durch den Auftraggeber und nach einer technischen Prüfung durch CANCOM im Einzelfall gemeinsam abgestimmt werden.
e.) Auch eine Pseudonymisierung wird durch die vom Kunden beigestellte und im Einsatz befindliche Applikation des Kunden bedingt und liegt daher ebenfalls in Kundenverantwortung. Inwieweit die im Einsatz befindlichen IT-Systeme der CANCOM die jeweils konkreten Anforderungen de...
Pseudonymisierung und Verschlüsselung. Angemessene Maßnahmen, die eine Pseudonymisierung und Verschlüsselung der Daten um- setzen: • RS265 Verschlüsselung in der Datenbank