concept#Sicherheit#Governance#Daten

Datenschutz

Schutz personenbezogener und sensibler Daten durch organisatorische, technische und rechtliche Maßnahmen.

Datenschutz beschreibt Prinzipien, organisatorische Vorgaben und technische Maßnahmen zum Schutz personenbezogener sowie sensibler Daten vor Missbrauch, Verlust oder unbefugtem Zugriff.

Reifegrad

Etabliert

Cognitive LoadMittel

Klassifikation

KomplexitätMittel
AuswirkungOrganisatorisch
EntscheidungstypOrganisation
OrganisationsreifeFortgeschritten

Technischer Kontext

Integrationen

Identity- und Access-Management-Systeme (IAM)Security Information and Event Management (SIEM)Data Loss Prevention (DLP) und Verschlüsselungslösungen

Prinzipien & Ziele

Prinzipien

Datenminimierung: nur notwendige Daten erheben und verarbeiten.Transparenz: Nachvollziehbarkeit von Verarbeitung und Zwecken sicherstellen.Verantwortlichkeit: klare Rollen, Zuständigkeiten und Nachweisbarkeit.

Value Stream

Betrieb

Organisationsebene

Unternehmen, Domäne, Team

Use Cases & Szenarien

Use Cases

Szenarien

Kompromisse

Risiken

Unvollständige Inventarisierung führt zu blinden Flecken.
Fehlende Verantwortlichkeiten verzögern Reaktionen im Vorfallfall.
Technische Maßnahmen werden falsch konfiguriert und umgangen.

Best Practices

Datenminimierung bereits in der Anforderungsphase berücksichtigen.
Automatisiertes Lifecycle-Management und Löschkonzepte einführen.
Regelmäßige Pflichtschulungen und Awareness-Maßnahmen durchführen.

I/O & Ressourcen

Eingaben

Dateninventar mit Verarbeitungszwecken
Rechtliche Anforderungen und Richtlinien
Technische Architektur- und Systemübersichten

Ausgaben

Datenschutzrichtlinien und Arbeitsanweisungen
DPIA-Berichte und Risikobewertungen
Audit- und Nachweisdokumente

Ressourcen

Beschreibung

Datenschutz beschreibt Prinzipien, organisatorische Vorgaben und technische Maßnahmen zum Schutz personenbezogener sowie sensibler Daten vor Missbrauch, Verlust oder unbefugtem Zugriff. Er umfasst rechtliche Grundlagen, Rollen, Verantwortlichkeiten und Kontrollen entlang des Datenlebenszyklus, um Risiken zu minimieren und Compliance-Anforderungen zu erfüllen, sowie überprüfbare Audits.

✔Vorteile

Reduziertes Risiko von Datenschutzverletzungen und Bußgeldern.
Höheres Vertrauen von Kunden und Geschäftspartnern.
Klar definierte Prozesse erleichtern Audits und Nachweise.

✖Limitationen

Vollständiger Schutz ist nicht erreichbar; Rest-Risiken bleiben.
Rechtliche Anforderungen variieren je Rechtsraum und Zeit.
Implementierung kann initialen Aufwand und Kosten erzeugen.

Trade-offs

Metriken

Anzahl gemeldeter Datenschutzverletzungen
Zählt sicherheits- oder datenschutzrelevante Vorfälle im Zeitraum.
Time-to-Detect (Entdeckungszeit)
Zeitspanne zwischen Eintritt des Vorfalls und dessen Entdeckung.
Anteil verschlüsselter sensibler Datensätze
Prozentualer Anteil sensibler Daten, die verschlüsselt gespeichert werden.

Beispiele & Implementierungen

Implementierung der DSGVO im Finanzbereich

Konzernweite Einführung von Verarbeitungsverzeichnissen, Verschlüsselungspflichten und Meldeprozessen zur Erfüllung regulatorischer Anforderungen.

DPIA für ein Analyseprojekt

Durchführung einer Datenschutz-Folgenabschätzung vor Einsatz neuer Tracking- und Analysefunktionen.

Rollout eines Zugriffskontrollsystems

Einführung rollenbasierter Zugriffskontrollen und Protokollierung für HR- und Kundendaten.

Implementierungsschritte

Inventarisierung aller relevanten personenbezogenen Daten und Systeme.

Durchführung von Data Protection Impact Assessments für kritische Verarbeitungen.

Einführung technischer Kontrollen (Verschlüsselung, RBAC, Logging).

Definition von Verantwortlichkeiten und Schulungen der Mitarbeitenden.

Regelmäßiges Monitoring, Audits und kontinuierliche Verbesserung.

⚠️ Technische Schulden & Engpässe

Tech Debt

Legacy-Systeme ohne Verschlüsselung oder Audit-Logs.
Manuelle Prozesse für Löschung und Anfragen statt Automatisierung.
Keine zentrale Inventarisierung führt zu inkonsistenten Kontrollen.

Bekannte Engpässe

Zugriffsverwaltung und BerechtigungenDateninventarisierung und KlassifizierungVerschlüsselungs- und Schlüsselmanagement

Beispiele für Missbrauch

Ungeprüftes Sammeln von Kundendaten für Marketingzwecke.
Weitergabe personenbezogener Daten an Drittanbieter ohne Vertrag.
Aussetzen von Verschlüsselung wegen Performance-Bedenken.

Typische Fallen

Unklare Datenverantwortung zwischen Geschäftsbereichen.
Veraltete Richtlinien, die aktuelle Technologien nicht abdecken.
Fehlende Berücksichtigung internationaler Datenübermittlungen.

Erforderliche Fähigkeiten

Rechts- und Compliance-Kenntnisse (z. B. DSGVO)IT-Sicherheit und Kryptographie-GrundwissenDatenklassifikation und Risikoanalyse-Fähigkeiten

Drivers (Architectural Drivers)

Schutz sensibler und personenbezogener DatenNachweisbarkeit für Audits und gesetzliche AnforderungenVerfügbarkeit sicherer Zugriffskontrollen und Verschlüsselung

Constraints

• Rechtliche Vorgaben je Rechtsraum (z. B. DSGVO, lokale Gesetze).
• Technologische Grenzen existierender Systeme.
• Budgetäre und personelle Ressourcen für Umsetzung und Betrieb.