Effects of the General Data Protection Regulation on Information Security: An Ontology of GDPR

Master-Studiengang Information Security

Dipl.-Ing. Melisa Geko, BSc

Betreuer: FH-Prof. Mag. Dr. Tjoa Simon

Ausgangslage

Viele Unternehmen haben erkannt, dass der richtige Einsatz der Datenanalyse ein entscheidender Wettbewerbsvorteil ist. Dieser Umstand und geringe Strafen bei Nichteinhaltung führten dazu, dass der Schutz der Privatsphäre oft vernachlässigt wurde. Um dies zu ändern und den Datenschutz in der gesamten Europäischen Union zu harmonisieren, hat die EU-Kommission ein neues Gesetz beschlossen, welches die Rechte des/der Betroffenen klärt und einen angemessenen Schutz personenbezogener Daten ermöglicht. Die neue EU-Datenschutzverordnung (DSGVO) vereinheitlich den Umgang und die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit. Durch hohe Strafen bei Nichteinhaltung (d.h. zwischen zu 2% - 4% des weltweiten Jahresumsatzes) übt die neue Datenschutzverordnung einen hohen Druck auf die Organisationen aus, sich den Anforderungen der DSGVO anzupassen. Studien haben jedoch gezeigt, dass Unternehmen von den tatsächlichen Anforderungen überfordert sind.

Ziel

Das Ziel dieser Arbeit ist, eine Struktur zu schaffen, die die wichtigsten Anforderungen der Datenschutzgrundverordnung an die Informationssicherheit festlegt, um Organisationen bei diesem komplexen Thema mit einer Wissensbasis zu unterstützen.

Ergebnis

Die Anforderungen der DSGVO, die relevant für die Informationssicherheit sind, wurden in einer Ontologie dargestellt. Diese Ontologie besteht aus fünf Hauptbereichen: Data, Organisation, Prinzipien, Rechte und Pflichten der Datenschutzgrundsätze, die Pflichten des/der für die Verarbeitung Verantwortlichen und die Rechte der betroffenen Person. Die vorgestellte Ontologie kann von Organisationen genutzt werden, um ein erstes Verständnis der DSGVO-Anforderungen zu erhalten, aber auch die für die Verarbeitung Verantwortlichen und AuftragsverarbeiterInnen können bestimmen, welche Pflichten sie gegenüber der betroffenen Person haben und was sie bei der Verarbeitung personenbezogener oder sensibler Daten beachten müssen. In dieser Ontologie wird dies durch die Verknüpfung der Grundsätze der Datenverarbeitung mit den Pflichten des/der für die Verarbeitung Verantwortlichen und den Rechten des/der Betroffenen erreicht.