Integrität allgemein

Die Integrität von personenbezogenen Daten ist ein Schutzziel im Datenschutz. Genauso wie die anderen Schutziele gewährleisten Sie auch die Integrität durch technische und organisatorische Maßnahmen – auch TOMs genannt. Integrität ist neben Vertraulichkeit, Verfügbarkeit und Belastbarkeit der Systeme sogar eines der wesentlichen Schutzziele der DSGVO. Generell gilt: personenbezogene Daten haben immer einen Schutzbedarf. Wenn Sie Maßnahmen umsetzen und damit Schutzziele erfüllen, erhöhen Sie automatisch auch die Sicherheit der Verarbeitung – besonders im Zusammenhang mit personenbezogenen Daten geht es im Datenschutz immer genau darum. Im Gesetz tauchen die genannten Begriffe vermehrt in Art. 32 Abs. 1 DSGVO auf. Integrität ist ein Teil der Sicherheit der Verarbeitung von personenbezogenen Daten.

Das ist Ihnen zu viel Text / zu viel zu lesen?

Sie hätten aber trotzdem gerne die enthaltenen Informationen und Hintergründe?

Fragen Sie uns doch einfach direkt.

Kontakt aufnehmen

Integrität in der DSGVO

Die Vorschriften zur Wahrung der Integrität sind in der DSGVO wenig konkret. Manch einen verwirrt es umso mehr, weil in der Verordnung klare Vorgaben fehlen. In Art. 32 Abs. 1 DSGVO ist die Rede von „der Fähigkeit, die Verfügbarkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“.

Leider kann man damit kann erstmal recht wenig anfangen. Die DSGVO sagt Ihnen nicht, was genau Sie tun müssen, um das Schutzziel Integrität zu erfüllen. Eigentlich steht darin nur indirekt, dass Sie etwas tun müssen. Was genau bleibt wie gesagt offen. Genaueres ergibt sich aus dem Schutzbedarf personenbezogener Daten.

Der Begriff Integrität

Allgemein gesehen bedeutet der Begriff Integrität, dass jemand glaubwürdig ist. Weitere Bedeutungen sind Ehrlichkeit, Anständigkeit, Makellosigkeit, Rechtschaffenheit oder auch Unbestechlichkeit. OK, dabei denkt man wohl eher an eine Person. Zurück zu personenbezogenen Daten und dem Datenschutz. Stellen Sie sich vor, diese Eigenschaften könnten auch Dateneigenschaften beschreiben. Jetzt helfen Ihnen die Begriffe hoffentlich bei der Einordnung und dem Verständnis etwas weiter. Wir sprechen von glaubwürdigen und unverfälschten Daten. Integre Daten sind echte Daten, oder Daten von denen die Echtheit nachvollziehbar ist.
Aus der Integrität ergibt sich im Datenschutz eine enge Verbundenheit mit der Vertraulichkeit – einem anderen Schutzziel im Datenschutz. Denn nur wenn Sie sicherstellen, dass Daten nicht unberechtigt verändert werden, verfügen Sie über echte unverfälschte Daten. Sie sehen, das eine greift ins andere.

Integrität umsetzen

Sie können Integrität sicherstellen, indem Sie Maßnahmen ergreifen (umsetzen) und sicherstellen, dass sie funktionieren. Nun stellen Sie sich bestimmt die Frage, welche genau, und wie Sie das machen…

Denken Sie noch einmal an Ihr Ziel, die Echtheit und Unverfälschtheit von personenbezogenen Daten sicherzustellen.
Was müssen Sie tun um zu verhindern, dass personenbezogene Daten verändert werden? (Sie können davon ausgehen, dass das unbefugt, also ohne Erlaubnis stattfindet.)
Wie können Sie feststellen, was „echt“ eigentlich ist, bzw. welchen Ursprung Daten hatten?
Als ersten wesentlichen Punkt kontrollieren Sie die Übertragung der personenbezogenen Daten.

Das bedeutet, Sie kontrollieren alles, was mit der Übertragung von personenbezogenen Daten zu tun hat. Personenbezogene Daten dürfen während ihres Transports / ihrer Übertragung von Unbefugten nicht gelesen, kopiert, verändert oder gelöscht werden können. Diese Maßnahme nennt man Weitergabekontrolle.

Das erreichen Sie mit einer Verschlüsselung von Daten, verschlüsselter Verbindungen oder sicheren Transportbehältern wie abgeschlossene Aktenkoffer o.ä. Auch die sorgfältige Auswahl von Dienstleistern und deren vertragliche Verpflichtung kann darunter fallen.
Dabei ist die korrekte Funktion Ihrer Systeme maßgeblich. Ihre IT muss funktionieren.

Als zweites halten Sie fest, wer was wann mit welchen personenbezogenen Daten gemacht hat. Konkret geht es um die Protokollierung von Eingabe und Änderung. SO können Sie nachvollziehen, ob Daten von Unberechtigten verfälscht wurden. Zusammengefasst nennt man das die Eingabekontrolle.
Um die Eingabe zu kontrollieren, müssen Sie beispielsweise über Log-Dateien verfügen (Protokoll auf Ihrem Server). Natürlich müssen Sie die Eingabe, Änderung und Löschung daraus auch herauslesen können. (Log-Dateien müssen absolut integer sein!)
Abgesehen davon, kontrollieren Sie natürlich den Zugriff auf personenbezogene Daten. Das ist nichts anderes als dass Sie einschränken und vorgeben, wer worauf zugreifen darf. Im Idealfall mit einem Berechtigungskonzept.

Mit dem Begriff Kontrolle ist hier übrigens die Vorgabe gemeint. Sie müssen über den Vorgang bescheid wissen und ihn steuern. Sie bestimmen und geben vor.

Beispiel Integrität

Sie senden einem zukünftigen Mitarbeiter Ihres Unternehmens den unterschriebenen Arbeitsvertrag per Post zu. Das ist eine Übertragung von personenbezogenen Daten. Im Vertrag sind personenbezogene Daten enthalten. Die müssen vor Unberechtigten geschützt werden – klassischer Datenschutz.
Sie tun das indem ein dazu berechtigter Mitarbeiter der Personalabteilung den unterschriebenen Vertrag in einem verschlossenen Umschlag an die hinterlegte Adresse des neuen Mitarbeiters versendet. Ein unterschriebenes Original behalten Sie für Ihre Unterlagen.
(Falls sie elektronisch versenden möchten, ersetzen Sie den verschlossenen Umschlag durch „verschlüsselte E-Mail“.)

Zusammenfassung von Maßnahmen

  • Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle).
  • Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle/Verarbeitungskontrolle).
  •  Maßnahmen, die gewährleisten, dass die Verfahrensweisen bei der Verarbeitung personenbezogener Daten in einer Weise dokumentiert werden, dass sie in zumutbarer Weise nachvollzogen werden können (Dokumentationskontrolle).
  • Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle).

Senden Sie uns Ihre Nachricht

Immer Up-to-date?

Abonnieren Sie unseren Newsletter!


Brandaktuelle Entwicklungen und Insiderwissen aus den Bereichen Datenschutz, Informationssicherheit und Hinweisgeberschutz liefern wir Ihnen 1x monatlich frei Haus in Ihr Mail-Postfach.


Jetzt für den Newsletter eintragen:

Mit dem Klick auf ‚E-Mail Newsletter abonnieren‘ erklären Sie sich mit dem regelmäßigen Empfang unseres Newsletters mit Informationen zu Datenschutz-, Informationssicherheits- und Compliancethemen sowie mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Öffnungsraten und der Klickraten in Empfängerprofilen zu Zwecken der Gestaltung künftiger Newsletter entsprechend den Interessen unserer Leser einverstanden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unseren Datenschutzhinweisen.

Unser Angebot – passgenau für die Anforderungen in Ihrem Unternehmen


Was ist beim Thema Datenschutz und Informationssicherheit in Ihrem Unternehmen wirklich zu tun? Ob Sie Ihren Datenschutz selbst organisieren, vorhandene Strukturen optimieren möchten oder Ihr Datenschutzmanagement auf professionelle Beine stellen wollen – wir sind Ihr Partner!

Gerne prüfen wir Ihren Status quo und erstellen Ihnen daraufhin ein passgenaues Angebot, das die oben genannten Bausteine beinhalten kann.

Unsere Zusammenarbeit gestalten wir nach Ihren Wünschen vor Ort im Raum München oder remote in ganz Deutschland.


DSK360 GmbH
Alpenblickstr. 9
82386 Oberhausen

Nutzen Sie unser Kontaktformular:

Ich freue mich darauf, Sie persönlich kennenzulernen.

Christian Schröder ist GDD Mitglied

Rechtliches

Impressum

Datenschutzhinweise

Grundsätze der Datenverarbeitung

Onlinemeetings mit Zoom

SchutzzieleSchutzzieleVertraulichkeitVertraulichkeit